Multas de milhões obrigam a revolução empresarial

Opinião de Nuno Cerejeira Namora e de Tatiana Marinho, respetivamente Sócio Fundador e Advogada da Nuno Cerejeira Namora, Pedro Marinho Falcão & Associados.

165

 

Num mundo em constante evolução tecnológica, com um aumento crescente de empresas multinacionais, surge a necessidade de serem harmonizadas regras sobre um dos principais direitos fundamentais dos cidadãos – a protecção dos seus dados pessoais. A lei anteriormente em vigor foi publicada em 1995, altura em que a era digital dava os seus primeiros passos. Hoje, as empresas vão ter de se adaptar às novas regras, sob pena de sofrerem penalizações de milhões de euros.

Tatiana Marinho

Nuno Cerejeira NamoraDepois de vários anos de negociações (cujo processo veio mesmo a dar origem a um interessante documentário de David Bernet, intitulado, “Democracy”), entrou em vigor em Maio de 2016 o Novo Regulamento Geral de Protecção de Dados (RGPD) – REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO, de 27 de Abril de 2016.

Depois de vários anos de negociações (cujo processo veio mesmo a dar origem a um interessante documentário de David Bernet, intitulado, “Democracy”), entrou em vigor em Maio de 2016 o Novo Regulamento Geral de Protecção de Dados (RGPD) – REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO, de 27 de Abril de 2016.

No entanto, prevendo este Regulamento um período transitório de dois anos para a sua total aplicação aos 28 Estados Membros, apenas a partir de 25 de Maio de 2018, o panorama geral de protecção de dados será amplamente alterado e harmonizado em toda a União Europeia.

Até lá, (sobretudo) as empresas têm (agora, menos de um ano) de se adaptar às novas e substancialmente diferentes regras, cujo incumprimento acarretará coimas avultadas e que podem ascender a 4% da facturação anual global ou até 20 milhões de euros, sendo extremamente importante que as empresas comecem, desde já, a adaptar a sua organização para a aplicação do RGPD, para que até Maio de 2018 tudo esteja em conformidade. Alguns analistas avançam no entanto que, neste momento, apenas 20% das empresas em Portugal estão aptas a funcionar de acordo com as novas regras.

Em pleno século XXI, a rápida evolução tecnologia, a globalização e as perspectivas de modernização constantes, obrigam a uma regulamentação mais sólida e mais coerente (pelo menos) em todo o território Europeu.

A protecção de dados pessoais trata-se de um direito fundamental de todos os cidadãos (hoje em dia com especial relevância para os consumidores de produtos e serviços online), que, com a entrada em vigor deste Regulamento, sai reforçado. A protecção conferida pelo RGPD é aplicável às pessoas singulares, independentemente da sua nacionalidade ou do seu local de residência ou de trabalho, relativamente ao tratamento dos seus dados pessoais.

Desde logo são clarificados vários conceitos, nascem novos direitos para os titulares dos dados e são reforçados direitos preexistentes.

Um dos direitos que sai claramente reforçado com a entrada em vigor deste Regulamento é o direito ao esquecimento.

De salientar que ainda se discutia a aprovação do Regulamento e já o Tribunal de Justiça da União Europeia (em Maio de 2014) proferia uma decisão no sentido de que os cidadãos têm direito a, reunidas determinadas condições e/ou pressupostos (não se tratar de figura pública; inexistência de interesse histórico, etc.), exigir que o seu nome não seja associado a determinadas buscas efectuadas online, quando surja elencado em notícias ou outro tipo de conteúdos públicos que entenda afectar negativamente a sua imagem.

O Regulamento prevê ainda um especial reforço na tutela dos dados pessoais de crianças e menores.

Já para as empresas, surgem obrigações mais rígidas. Estas passam, nomeadamente, a ser obrigadas a manter registos sobre a actividade interna de tratamento de dados e a realizar auditorias periódicas.

Impõe-se também uma maior transparência no relacionamento entre a empresa e o cliente no que respeita à informação que consta das políticas de privacidade, existindo a obrigação das políticas serem redigidas numa linguagem clara e perceptível (o que implicará e reformulação de impressos, políticas de privacidade e todos os textos que prestem informação aos titulares dos dados).

Ainda no âmbito da relação com o cliente, sempre que uma empresa constate que o seu sistema de armazenamento de dados foi, por qualquer forma, violado, tem a obrigação de notificar não só as autoridades de protecção de dados, como também os próprios indivíduos afectados.

A quantidade de dados passiveis de recolha e tratamento diminui significativamente. Apenas podem ser recolhidos e tratados os “dados pessoais mínimos necessários para cada finalidade específica” e “conservados apenas durante o período considerado necessário”. Na verdade, as empresas passam a possuir menos dados (quantitativos) dos cidadãos, mas qualitativamente mais relevantes, de acordo com as necessidades para as quais são recolhidos, o que visa igualmente uma maior segurança não só dos dados dos indivíduos, como também da própria empresa, tendo presente os crescentes ciberataques.

Este novo Regulamento vai obrigar a céleres e avultados investimentos em todo o tecido empresarial, quer em meios humanos, quer tecnológicos, e a uma assessoria jurídica sobretudo preventiva, mas também reactiva, para se evitarem ou minorarem as pesadíssimas multas já anunciadas.

Os empresários que preventivamente acatarem este novo desafio, vencerão o problema; os que adiarem a resposta irão sofrer o cutelo de multas de milhões de euros.