As normas por que gerimos a sociedade surgem frequentemente com algum atraso relativamente às inovações. Finalmente, o legislador apercebeu-se da importância dos dados pessoais e do facto de estes terem valor comercial, o qual tem enriquecido algumas empresas que conseguem agregar grandes quantidades destes dados.
O Regulamento Geral de Proteção de Dados (RGPD) surge, assim, como uma resposta a esta nova era dos dados digitais. Neste regulamento estabelecem-se novas regras relativas à proteção dos dados pessoais de pessoas singulares ou coletivas que se encontrem na UE, não sendo necessário que sejam nela residentes ou nacionais de Estados-Membros.Tendo por base a globalização, o RGPD é aplicável igualmente a entidades que não se situem no território da UE, mas que desenvolvam atividades de oferta de bens e serviços aos titulares na UE.
Se uma pessoa que se encontre em Portugal aceder a um site de compras online que seja propriedade de uma empresa chinesa, e esse site estiver redigido em línguas oficiais da UE, essa empresa, ainda que estando sediada na China, é obrigada a cumprir as normas do RGPD da UE pelo facto de propor a compra de bens ou serviços à comunidade da UE, mesmo que o titular dos dados que entrou no site não proceda a nenhum pagamento.
É importante referir que este regulamento introduz uma alteração significativa relativamente às normas vigentes em Portugal, na medida em que desloca a proteção dos dados pessoais para o titular dos dados, que tem de ter um papel ativo no processo. Assim, é importante esclarecer os indivíduos dos seus direitos para que os possam exercer convenientemente.
No entanto, o RGPD distingue as situações em que o tratamento de dados é feito para uso doméstico, como por exemplo uma lista de contactos pessoais, às quais o RGPD não se aplica. À exclusão destas situações, todos aqueles que tratem dados pessoais estão obrigados a cumprir o RGPD, independentemente da sua dimensão e da sua natureza pública ou privada.
Mas afinal o que são dados pessoais, para o legislador?
Os dados pessoais são todos e quaisquer elementos relativos a uma pessoa singular que sejam suscetíveis de o identificar. Assim, qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular, que a permita identificar de forma direta ou indireta, imediata ou agregando diversos elementos, é um dado pessoal.
É importante perceber que, muitas vezes, basta que se juntem vários elementos informativos sobre um indivíduo para que ele, não sendo identificado por nenhum deles separadamente, seja identificável através da associação dos dados relacionáveis. Note ainda que hoje é possível identificar uma pessoa através do Internet Protocol (IP), que identifica cada ponto de acesso à internet, dos cookies, que registam dados de navegação, para saber quem fez um download ou uma pesquisa.
Além dos dados pessoais a legislação reconhece igualmente dados sensíveis, cujo tratamento é, em regra, proibido ou sujeito a condições especiais. Os dados sensíveis são elementos que identificam ou permitem identificar inequivocamente uma pessoa com características como a raça ou etnia, as convicções filosóficas ou religiosas, as opiniões políticas, a filiação sindical, bem como dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual.
É frequente confundir a segurança com a proteção de dados pessoais. A proteção de dados pessoais dá garantias que estes serão tratados de acordo com um conjunto de princípios, mas também assegura mecanismos para exercer os seus direitos sobre os dados. A proteção de dados pessoais não se esgota na adoção de medidas de segurança, exigindo muito mais.
De acordo com o RGPD, tratar dados pessoais é realizar uma operação ou um conjunto de operações de qualquer tipo por meios automatizados ou não automatizados, ex.: recolha, registo, organização, estruturação, conservação, alteração, consulta, utilização, divulgação, limitação ou destruição. Ou seja, praticamente tudo.
São seis os grandes princípios que regem o tratamento de dados pessoais no RGPD.
O RGPD identifica os fundamentos de licitude, tais como as normas legais, o consentimento dado pelo titular dos dados, acelebração do contrato e a defesa dos interesses do titular ou de outra pessoa.Neste último caso, por exemplo, se estiver em causa a vida de um doente, o médico assistente poderá transmitir a outro médico as alergias graves de que o seu paciente sofre, por se tratar de uma situação em que o titular não está em condições de dar o seu consentimento.
O princípio da limitação das finalidades significa que os dados pessoais só podem ser tratados para fins específicos, explícitos e legítimos. Importa ter em consideração que o tratamento subsequente para fins de interesse público, de investigação científica, histórica ou para efeitos estatísticos não é considerado como violação do princípio da limitação das finalidades.
O princípio da minimização dos dados, por seu lado, garante que apenas podem ser tratados os dados pessoais que sejam relevantes e estritamente necessários para cumprimento da finalidade para a qual são tratados. Não podem, por isso, recolher-se junto dos titulares mais dados pessoais do que aqueles que são necessários e suficientes para o efeito em causa (need to know).
O princípio da exatidão exige que os dados pessoais estejam sempre atualizados e sejam corretos, devendo ser eliminados ou retificados os que não sejam exatos. O princípio da limitação de conservação garante que os dados apenas podem ser conservados durante o tempo necessário. Por seu lado, o princípio da integridade e da confidencialidade garante que o tratamento de dados tem de ser realizado de forma segura, protegida contra acessos e tratamentos ilícitos e contra perdas acidentais, danos ou destruição.
Além destes princípios o RGPD estabelece igualmente direitos ao titular dos dados. O titular de dados pessoais tem o direito de ser informado sobre a finalidade do tratamento, o prazo de conservação dos dados eo contacto do responsável pelo tratamento dos dados. O titular dos dados tem ainda o direito de aceder aos dados sem restrições, sem demoras ou custos excessivos e obtendo as informações disponíveis sobre a origem desses dados. Além disso, o titular dos dados tem o direito de solicitar a sua retificação ou eliminação (“direito a ser esquecido”).
Importa perceber que o direito de acesso a dados de saúde, incluindo os dados genéticos, é exercido por intermédio de um médico escolhido pelo titular dos dados, uma vez que os dados médicos apenas podem ser acedidos por esses profissionais.
O RGPD confere ao titular dos dados o direito a opor-seao tratamento dos seus dados pessoais para efeitos de marketing direto ou de qualquer outra forma de prospeção, ou a que os seus dados pessoais sejam comunicados a terceiros. Quando o tratamento de dados pessoais se realizam por meios automatizados e se baseiam no consentimento do titular dos dados ou na necessidade de cumprimento de uma obrigação contratual, o titular tem o direito a receber os seus dados pessoais, no prazo máximo de 1 mês e caso o responsável pelo tratamento pretenda resistir ao pedido tem de o justificar por escrito.
O RGPD prevê ainda a não adoção de tomadas de decisões baseadas só em sistemas automáticos. Por exemplo, os atos de um software que automaticamente proceda à abertura de procedimento disciplinar a um trabalhador sempre que detete a existência de mais de cinco faltas seguidas injustificadas, são ilegais. No entanto, existem exceções em que é permitida a tomada de decisão automatizada caso o titular de dados tenha dado o seu consentimento, seja necessária para a execução de um contrato ou esteja permitido pelo direito da UE.
No que toca a exercer os direitos, o regulamento prevê a existência de uma figura designada Encarregado de Proteção de Dados (EPD) à qual o titular dos dados se pode dirigir para solicitar esclarecimentos sobre os seus dados pessoais. Além disso, o titular dos dados pessoais tem sempre ao seu alcance a possibilidade de contactar a autoridade nacional de controlo. Em último caso, o titular dos dados pessoais pode propor ainda uma ação judicial junto do tribunal. O RGPD prevê coimas com limite máximo muito alto, com o objetivo de fomentar o cumprimento das normas por parte das organizações.
Baseado nos seguintes textos
e publicações web:
Filomena Vieira (2018) “RGPD para cidadãos atentos: manual de curso online“ Direção-Geral da Qualificação dos Trabalhadores em Funções Públicas (INA), Lisboa
“The general data protection regulation applies in all Member States from 25 May 2018” (2018) https://eur-lex.europa.eu/content/news/general-data-protection-regulation-GDPR-applies-from-25-May-2018.html
“General Data Protection Regulation (GDPR) – Final text neatly arranged” (2018) https://gdpr-info.eu/
Armando B. Mendes
Professor Auxiliar
Departamento de Informática
Universidade dos Açores
armando.b.mendes@uac.pt