O Parlamento Europeu aprovou no passado mês de abril o novo Regulamento Geral sobre a Proteção de Dados, regulamento que depois de dois anos de adaptação entrará em vigor em maio de 2018 para responder aos desafios criados pela revolução tecnológica e para proteger os cidadãos europeus.
Um dos principais resultados desta ‘reforma’ na lei europeia é o reforço do controlo que os cidadãos têm sobre os seus dados, nomeadamente em relação a todas as informações que digam respeito a uma pessoa, sejam dados sobre a vida privada, profissional ou pública. Quer isto dizer que os cidadãos do espaço europeu passam a ter mais controlo sobre informações como o seu nome, fotografias, endereços de correio eletrónico, informações bancárias, mensagens publicadas em redes sociais, informações médicas ou endereço IP do seu computador, podendo exigir saber o que é que as empresas fazem com os seus dados.
As regras serão aplicáveis a todas as empresas que ofereçam produtos e serviços aos consumidores europeus, independentemente de os respetivos servidores se situarem dentro ou fora da UE. Assim, se um cidadão europeu quiser que os seus dados sejam apagados, isto é, quiser “ser esquecido”, será mais fácil, uma vez que as empresas que violem as regras constantes no regulamento estarão sujeitas a regras mais apertadas.
Daniel Reis, Sócio Coordenador da PLMJ TMT – Telecomunicações, Media e Tecnologias de Informação, explicou à DISTRIBUIÇÃO HOJE que as alterações ao documento de 1995 “são profundas” e o assunto é de extrema importância para todos os setores de negócio.
Entre as maiores alterações, o sócio coordenador da PLMJ destaca o valor das coimas, que “aumenta de forma impressionante”, passando de um teto máximo de 30 mil euros para multas que podem chegar aos 20 milhões de euros ou a 4% do volume de negócios anual da empresa a nível mundial.
Mas é não é só o valor das coimas que se altera. Com a nova normativa europeia, o sistema de notificações e autorizações junto da Comissão Nacional de Proteção de Dados (CNPD) deixa de existir, passando a ser obrigatório notificar a CNPD e os cidadãos afetados “quando houver quebras de segurança que afetem dados pessoais”, refere Daniel Reis.
De acordo com o advogado, “algumas empresas irão ser obrigadas a nomear um encarregado para a proteção de dados (data protection officer)” e “será necessário avaliar previamente o impacto dos tratamentos de dados pessoais antes do início de tratamentos que possam afetar os direitos dos cidadãos”, uma forma de criar novos direitos para os cidadãos.
Do lado das empresas, as alterações que terão que fazer para cumprirem a lei são importantes. “As empresas que tratam dados pessoais serão obrigadas a integrar a proteção de dados pessoais em todos os seus processos”, o que, de acordo com Daniel Reis, significa que “este tema vai ter de deixar de ser um tema de nicho, uma preocupação exclusiva do departamento jurídico”. Para isso, refere, serão importantes “a formação e obtenção de recursos – internos e externos” – para que as empresas “garantam o cumprimento da lei a partir de 25 de maio de 2018.”
E apesar das regras serem transversais a todos os setores de atividade, “as empresas que tratam dados sensíveis, como o sector financeiro, sector da saúde, operadores de comunicações eletrónicas e quem desenvolva atividades de marketing que inclua o profiling, estarão sujeitos a regras mais restritivas.”
Segundo Daniel Reis, “as empresas que tratam dados em grande escala terão de ter preocupações acrescidas no que diz respeito à segurança da informação e implementação de procedimentos para garantir o cumprimento da lei.”
Do lado do cidadão, as vantagens criadas pelo regulamento são mais que muitas e foram, numa primeira fase, alvo de alguma contestação por parte de grandes tecnológicas como o Facebook e a Google. É que a partir de agora, os cidadãos europeus passam a ter “o direito ao esquecimento e o direito de portabilidade dos seus dados”. Para além disso, “o direito de informação (já existente), também foi reforçado com a obrigação de prestar mais informação aos cidadãos. Um dos objetivos do Regulamento é precisamente reforçar a proteção dos direitos dos cidadãos”, sublinha o sócio da PLMJ.
Como as disposições do regulamento são aplicáveis às empresas mesmo que estas não tenham um estabelecimento na União Europeia, as exigências para que estas prestem contas serão maiores. A pensar nas alterações, a Google já criou uma ferramenta para que qualquer pessoa possa pedir que alguns dos resultados do motor de busca possam ‘desparecer’ das pesquisas feitas com o seu nome.
É importante referir que para as empresas esta nova lei europeia significa também menos burocracia, pelo menos no que diz respeito à proteção de dados, com a criação de uma espécie de ‘balcão único’ onde será possível tratar dos assuntos referentes à normativa.
O tema estará em debate no próximo dia 30 de maio, em Lisboa, numa conferência organizada pela IFE – International Faculty for Executives.