O que são dados pessoais?
Os dados pessoais são qualquer informação que permite identificar um indivíduo. Pode ser o nome, o apelido, a morada, um endereço de IP, dados de localização, um número de cartão de cidadão ou um email. Dados anonimizados não contam como dados pessoais.

Há categorias de dados pessoais?
Há dados pessoais que são considerados sensíveis e que, por isso, têm uma protecção acrescida. É o caso da origem racial ou étnica, opiniões políticas, crenças religiosas, associação a um sindicato, dados genéticos, orientação sexual ou dados sobre saúde. Regra geral o tratamento destes dados é proibido. Mas admite-se que possa ser feito em determinadas situações se existir consentimento explícito nesse sentido ou se a legislação o permitir, por exemplo, no âmbito de uma investigação científica. 

A quem é que se aplica o Regulamento Geral de Protecção de Dados (RGPD)?
Este regulamento estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na União Europeia — mesmo que a empresa que trata os dados dos cidadãos europeus não esteja em território europeu. Em regra, não se aplica ao tratamento de dados pessoais de pessoas falecidas ou de pessoas colectivas. A recolha, o registo, a conservação, a divulgação e a própria consulta de dados pessoais são consideradas operações de tratamento de dados, bem como o seu apagamento e destruição.

Qual a importância de consentir no tratamento dos meus dados?
O consentimento é uma das situações que torna legal o tratamento dos dados pessoais. Um dos aspectos fundamentais deste regulamento é a forma como este consentimento tem que ser obtido. Tem que ser livre, específico para uma determinada finalidade, explícito e informado — o que implica conhecimento de todos os dados pessoais objecto de tratamento. O pedido de consentimento deve ser apresentado “de forma clara e concisa, utilizar linguagem que é fácil de entender e ser distinguível de outras informações como os termos e condições”, detalha a Comissão Europeia. Esse documento deve incluir o tipo de uso que será feito aos dados e incluir detalhes de contacto da empresa que vai processar essa informação.

O que mudou no consentimento?
Até agora o consentimento podia ser tácito, ou seja, incluído numa longa lista de termos e condições que raramente as pessoas liam. Isso deixa de ser válido. Se um tratamento de dados foi autorizado com base num consentimento que não cumpre as novas regras, a entidade que trata esses dados vai ter que pedir novamente esse consentimento. Por isso é que muitas entidades estão a solicitar uma nova subscrição das suas newsletters, já que muitas vezes não obtiveram os emails dos destinatários especificamente para essa finalidade.

Que direitos têm os cidadãos no contexto do RGPD?
A ideia por trás do RGPD é dar aos cidadãos maior controlo sobre os seus dados pessoais. Com a entrada em vigor do regulamento, mantém-se a possibilidade de aceder aos dados pessoais detidos por uma entidade (direito de acesso), e acrescenta-se a possibilidade de pedido ao prestador de serviços para que transmita os seus dados pessoais a outro prestador de serviços (direito à portabilidade) e o direito ao “esquecimento”, o que significa que o titular poderá solicitar que os seus dados pessoais sejam apagados caso pretenda cessar o seu tratamento e se não houver motivos que justifiquem a sua conservação por parte da empresa ou entidade que os detém.

É possível pedir a uma empresa que pare de tratar os dados pessoais de alguém?
Sim. O direito de se opor ao tratamento já estava previsto legalmente e mantém-se no regulamento. Possibilita, por exemplo, que obrigue uma empresa de que é cliente a não lhe enviar publicidade sobre todos os produtos que comercializa. Deve ser a empresa ou entidade que trata os dados a primeira a informar o detentor dos mesmos que esse direito existe.

Como é que as empresas decidem que dados tratar e de que forma?
Até agora em determinados casos, como o tratamento de dados de saúde ou a instalação de sistemas de videovigilância, as entidades tinham que pedir uma autorização prévia à Comissão Nacional de Protecção de Dados (CNPD). Esta autoridade analisava a situação em concreto e dizia em que termos e de que forma os dados podiam ser tratados. O regulamento muda o paradigma para um modelo de auto-regulação onde são as entidades ou empresas que avaliam as próprias práticas e a comissão passa a ter essencialmente um papel fiscalizador.

Quem é que controla a forma como os dados pessoais são tratados dentro das empresas ou outras entidades?
O RGPD introduz a figura do encarregado da protecção de dados. A figura é obrigatória para todas as entidades públicas e para as entidades privadas que tratam dados em larga escala ou dados sensíveis vão ter que ter um responsável deste tipo. É com este encarregado que os cidadãos devem interagir para saber como os seus dados são tratados ou para exercer o direito ao esquecimento ou acesso aos seus dados. Segundo o regulamento, é  função deste encarregado, entre outras coisas, informar e aconselhar o responsável pelo tratamento dos dados sobre as suas obrigações, prestar aconselhamento sobre as políticas da protecção de dados pessoais, cooperar com a autoridade de controlo e servir de ponto de contacto entre a entidade que faz o tratamento dos dados e a autoridade nacional. 

O que acontece a quem não cumpre as regras do regulamento?
As sanções previstas no RGPD chegam aos 20 milhões de euros, ou 4% do volume de negócios anual de uma empresa. Mas o quadro sancionatório prevê também punições mais suaves que podem ir de uma reprimenda à proibição do tratamento dos dados durante um período de tempo. O Governo, na proposta de lei que deu entrada no final de Março no Parlamento e que serve para adaptar alguns dos aspectos do regulamento à realidade portuguesa, prevê a isenção das entidades públicas dessas coimas. Mas essa questão não está fechada porque PSD, CDS e Bloco de Esquerda já se manifestaram contra essa solução.  

Se não existir obrigatoriedade de pagamento de coimas para as entidades públicas, como é que se garante que o RGPD é aplicado pela administração pública?
Esta possibilidade era já prevista no regulamento, que deixava essa decisão ao critério dos Estados-membros da União Europeia. O Ministério da Presidência, responsável pela proposta da lei, diz que “os direitos dos cidadãos serão plenamente assegurados uma vez que a Administração Pública se encontra vinculada ao cumprimento do RGPD e os organismos públicos estão sujeitos aos poderes correctivos” da CNPD. Além disso, diz o ministério, “as regras relativas às operações de tratamento dos dados e aos direitos dos titulares são iguais tanto para a administração pública como para o sector  privado e social, como as associações”.

A quem é que os cidadãos se podem queixar do incumprimento no tratamento dos seus dados?
A autoridade nacional de controlo responsável por assegurar que as regras contidas no documento são cumpridas é a CNPD.

O que é que acontece se houver um problema e os dados ficarem comprometidos?
As entidades têm até 72 horas para comunicar à CNPD eventuais violações de dados pessoais. Se essa violação for considerada de alto risco para os direitos e liberdades dos cidadãos e se esse risco não tiver sido mitigado, então o indivíduo também direito a ser informado dessa fuga. Um exemplo que a Comissão Europeia dá numa dos sites que dedica ao RGPD é este: “Imagine que pediu um táxi através de uma aplicação online. A empresa sofreu uma violação maciça dos dados e tanto dados relativos aos condutores como aos utilizadores foram roubados. Não tinha sido implementada nenhuma medida para proteger os dados pessoais”. Nesse caso, é possível apresentar uma queixa à CNPD e se tiver sofrido um prejuízo pode intentar uma acção judicial a pedir uma indemnização.

Os dados das crianças são tratados de forma diferente?
O regulamento prevê que “as actividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial”. “Uma vez que as crianças merecem protecção específica, sempre que o tratamento lhes seja dirigido, qualquer informação e comunicação deverá estar redigida numa linguagem clara e simples que a criança compreenda facilmente”, diz o regulamento. Para usarem sites de jogos ou redes sociais as crianças com menos de 13 anos necessitam do consentimento dos pais — o regulamento prevê o limiar dos 16 anos, mas dá aos Estados-membros liberdade para tomar essa decisão. O Governo português defendeu os 13 anos na proposta de lei apresentada, apesar da CNPD e outras entidades preferirem os 16 anos. A questão não está decidida e só deve ficar resolvida com a aprovação da lei que vai adaptar o regulamento à realidade nacional.

Que tipo de dados pessoais é que um empregador pode usar?
No RGPD, a relação entre trabalhador e empregador é definida como “desequilibrada” e, por isso, há dificuldade em se considerar realmente livre o consentimento prestado para o tratamento dos dados. Mas há casos em que o processamento dos dados do trabalhador é considerado legal, especialmente se for para seu proveito. É autorizado, por exemplo, o tratamento dos dados dos trabalhadores para efeitos de processamento de salários.

É possível pedir indemnizações pelo mau uso dos dados?
Sim, caso a empresa ou entidade não tenha respeitado as leis da protecção de dados e, na sequência disso, o cidadão tenha sofrido prejuízos materiais ou de outro tipo, nomeadamente, danos de reputação.

Fonte: Comissão Europeia/PÚBLICO