O Regulamento Geral sobre a Proteção de Dados foi publicado no jornal oficial da União Europeia no dia 4 de maio de 2016. Este diploma legal revogará a legislação atualmente em vigor sobre a proteção de dados pessoais, publicada em 1995, ou seja, revogará a legislação que foi aprovada em momento anterior à utilização generalizada da internet e ao surgimento da economia digital.

Os princípios subjacentes são os mesmos – proteger a privacidade dos cidadãos e garantir a livre circulação de dados pessoais dentro da União Europeia. As novidades resultam da necessidade de responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas.

Num primeiro momento é natural que as empresas portuguesas dediquem a sua atenção às duas alterações mais óbvias: o enorme aumento do valor das sanções aplicáveis e o desaparecimento da obrigação de notificar e obter autorização, por parte da Comissão Nacional de Proteção de Dados, previamente ao início do tratamento.

A coima máxima na legislação em vigor é de aproximadamente 30 mil euros. No novo Regulamento, a coima máxima será de 20 milhões de euros ou até 4% do volume de negócios anual da empresa a nível mundial e correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Atualmente, e em relação ao sistema de autorizações, o tratamento de dados sensíveis (categoria que inclui por exemplo, dados de saúde e dados sobre a vida privada), está sujeito a autorização prévia da Comissão Nacional de Proteção de Dados, um processo que demora meses, chegando por vezes a demorar mais de um ano. Com o novo Regulamento, as empresas terão de avaliar internamente o impacto dos tratamentos de dados pessoais, não sendo necessário obter qualquer autorização prévia.

Existem contudo, muitas outras alterações relevantes. Um ponto muito contestado, sobretudo por empresas norte-americanas como a Google, o Facebook e a Microsoft, diz respeito ao âmbito territorial das novas regras. O novo Regulamento será aplicável a todas as empresas que procedam ao tratamento de dados pessoais no espaço da União Europeia, mesmo que estejam sediadas fora da União Europeia.

Os cidadãos terão dois novos direitos: o direito ao esquecimento e o direito de portabilidade dos seus dados. O direito ao esquecimento mais não é do que a extensão do direito existente ao bloqueio dos seus dados. Já de acordo com o direito de portabilidade, os cidadãos passam a poder transferir os dados fornecidos a uma empresa ou entidade pública para outra empresa ou entidade. As empresas e as entidades públicas ficam, assim, obrigadas a fornecer ao cidadão, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido ou, sempre que tal seja tecnicamente possível, a transmitir diretamente esses dados a outro responsável pelo seu tratamento.

As empresas terão novas obrigações. Uma novidade importada do direito alemão é a criação da função de Data Protection Officer (“encarregado da proteção de dados” na tradução portuguesa), o qual deve ter conhecimentos especializados neste domínio do direito e das práticas da proteção de dados e que terá como principal função controlar o cumprimento das regras do novo Regulamento pela empresa. Só algumas empresas e entidades públicas estão obrigadas a nomear um encarregado da proteção de dados; não obstante, acredito que muitas outras empresas decidirão voluntariamente criar esta função para facilitar o cumprimento das novas regras.

Outra obrigação nova para as empresas – atualmente apenas aplicável às empresas do setor das comunicações eletrónicas – será a notificação de casos de violação de dados pessoais, por exemplo resultantes de falhas de segurança, às autoridades competentes e aos próprios cidadãos afetados.

O novo Regulamento será diretamente aplicável em todos os Estados-Membros sem necessidade de legislação adicional. Sem prejuízo, existe alguma margem de manobra para Portugal. Por exemplo, o novo Regulamento prevê a impossibilidade de menores com idade inferior a 16 anos prestarem o seu consentimento para tratamentos de dados em serviços online. Contudo, Portugal tem o direito de determinar se os jovens com idades compreendidas entre os 13 e 16 anos poderão ter acesso a serviços online.

O novo diploma entra em vigor no dia de 25 de Maio de 2018. Este período de dois anos entre a publicação e a entrada em vigor será fundamental para as empresas se adaptarem às novas regras. Pode parecer muito tempo, mas não é.

Advogado, sócio e coordenador de PLMJ TMT