Regulamento de Proteção de Dados entra em vigor

O Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia entra em aplicação dia 25 de maio (Regulamento (UE) n.º 2016/679, de 27.04.2016, artigos 3.º, n.º 2, 37.º, n.º 1, alínea c), 41.º, 42.º, n.º 7, 43.º, 57.º, alínea p), artigo 64.º, 65.º, n.º 1, alínea a), 69.º, n.º 2, 70.º, n.º 1, alíneas l), o) e p); respeita à proteção das pessoas singulares em matéria de tratamento de dados pessoais e livre circulação desses dados e revoga a Diretiva de 1995.
A Comissão Nacional da proteção de Dados (CNPD) começou a disponibilizar os formulários no seu site, necessários para notificar sobre o Encarregado de Proteção de Dados (EPD) designado, que não permite ainda preenchimento online, e a violação de dados pessoais.Refira-se que esta semana, no dia 23, foi publicada uma retificação ao RGPD que ajusta o texto de algumas normas e, na prática, altera o âmbito de aplicação do Regulamento. Assim, nos termos desta retificação, o RGPD aplica-se ao tratamento de dados pessoais de titulares que se encontrem no território da UE e não apenas a residentes como previa a versão inicial do diploma, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na UE, quando as atividades de tratamento estejam relacionadas com certas atividades.

As restantes retificações não alteram a substância do regulamento e respeitam, nomeadamente à clarificação terminológica em vários artigos dos requisitos de acreditação e certificação (e não de critérios) dos organismos de certificação.

Aprovação das regras nacionais de aplicação está atrasada

A aplicação das novas regras de proteção de dados está atrasada, apesar de a CNPD ter definido há mais de ano e meio as 10 áreas principais a trabalhar para preparar a aplicação do novo regulamento europeu.

Assim, está ainda em falta o diploma do Governo que deve assegurar a execução em Portugal do RGPD. Neste momento está na Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias do Parlamento, onde ficará até 8 de junho. Entretanto, a CNPD deu já parecer negativo ao projeto de lei.

Matérias como registos centralizados de saúde inadmissíveis, regras contraordenacionais vagas, falta de regras para o uso dispositivos de vídeo em drones e de regimes legitimadores de tratamentos de dados biométricos dos trabalhadores ou de tratamentos de dados de saúde em contratos de seguros são alvo de crítica pela CNPD.

Portanto, enquanto o regulamento nacional não estiver em vigor, estão em falta as regras de aplicação em relação às seguintes matérias:
– portabilidade dos dados e direito ao apagamento;
– definição de categorias especiais de dados pessoais como dados biométricos e de saúde;
– obrigação de autoavaliação dos responsáveis do tratamento de dados pessoais e dos subcontratantes (é o que fará desaparecer a atual obrigação de notificação prévia à CNPD);
– mecanismos de certificação para comprovação da conformidade das operações de tratamento realizadas por responsáveis e subcontratantes;
– obrigação de notificação à CNPD em caso de violação de dados pessoais;
– obrigação de existência do EPD nas entidades públicas e privadas;
– agravamento dos valores das coimas, já que o RGPD prevê aplicação de sanções às grandes empresas até 20 milhões de euros, ou 4% do volume de negócios anual, para contraordenações muito graves.

Está também em falta a transposição da Diretiva relativa à proteção dos dados destinados às autoridades policiais e judiciais), que entrou em vigor a 6 de maio. A proposta de lei que a transpõe ainda está no Parlamento para análise e votação.

Enquanto as regras nacionais não estiverem em vigor, aplicam-se no país o regulamento e a Diretiva da UE. O RGPD é obrigatório e diretamente aplicável em todos os Estados-membros e, conforme prevê o direito comunitário, a diretiva não transposta – e enquanto não o for – tem efeito direto pelo que pode ser invocada para proteção dos direitos dos envolvidos.

Notificações sobre o Encarregado de Proteção de Dados à CNPD

Enquanto responsáveis pelo tratamento (incluindo os subcontratantes) todas as entidades públicas e empresas privadas devem designar um EPD:
– autoridades ou organismos públicos (exceto tribunais);
– empresas cujas atividades principais consistam em operações de tratamento que exijam controlo regular e sistemático dos titulares dos dados em grande escala;
– empresas cujas atividades principais consistam em operações de tratamento em grande escala de categoria especiais de dados pessoais como raça ou etnia, dados de saúde, dados genéticos ou biométricos, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, orientação sexual, condenações penais e infrações.

O EPD pode pertencer do pessoal da entidade responsável ou exercer as funções como prestador de serviços); é o ponto de contacto para a CNPD sobre questões relacionadas com o tratamento, incluindo a consulta prévia.

As funções do EPD são, no essencial:
– informar e aconselhar os responsáveis e os trabalhadores que tratem os dados, a respeito das suas obrigações;
– controlar a formação do pessoal implicado nas operações de tratamento de dados, a repartição de responsabilidades e as auditorias no âmbito do controlo da conformidade das políticas de proteção de dados do responsável com a lei.

O formulário de notificação de encarregado de proteção de dados deve ser usado para comunicar à CNPD os dados do encarregado de proteção de dados (EPD). Deve ser descarregado, preenchido e remetido para o endereço epd@cnpd.pt O RGPD exige que exista um EPD, por exemplo, sempre que sejam tratados dados em grande escala.

Notificação de violação de dados pessoais à CNPD
Para cumprimento das obrigações dos responsáveis pelos tratamentos a CNPD disponibiliza um formulário de notificação de violação de dados pessoais.

Aceda aqui ao Formulário online de notificação de violação de dados pessoais.

Logo que o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, deverá notificá-la à CNPD, através do EPD, no prazo de 72 horas após ter tido conhecimento do ocorrido, sempre que possível, a não ser que consiga demonstrar que essa violação não é suscetível de implicar um risco para os direitos e liberdades daspessoas singulares.

Prevê o RGPD que o incumprimento desta obrigação constitui contraordenação grave punida com coima de:
▪ para grande empresa: entre € 2500 e € 10 000 000 ou 2% do volume de negócios anual a nível mundial, conforme o que for mais elevado;
▪ para PME: entre € 1000 a € 1 000 000 ou 2% do volume de negócios anual a nível mundial, conforme o que for mais elevado;
▪ para pessoas singulares: entre € 500 e € 250 000.

Informação disponibilizada pela CNPD
No site da CNPD pode ser consultada a informação sobre o RGPD disponibilizada pela Comissão Europeia e as Orientações já emitidas.