Qual o impacto do RGPD?

O Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 - o Regulamento Geral de Protecção de Dados («RGPD») – e que entrará em vigor em 25 de maio de 2018 – vai ter um impacto significativo em todas as empresas e entidades que tratem dados de cidadãos da União Europeia.

133

Tendo como principal objetivo assegurar o respeito pelo direito fundamental de cada pessoa à privacidade dos seus dados, o RGPD prevê sanções muito elevadas em caso de incumprimento das regras que estabelece, as quais podem ascender a 20M€ ou a 4% do volume de negócios anual da empresa a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

O papel da Comissão Nacional de Proteção de Dados («CNPD») é profundamente alterado, deixando de ter os atuais poderes prévios de controlo, consubstanciados nos procedimentos de notificação e autorização para o tratamento de dados pessoais, e passando a concentrar os seus esforços em ações inspetivas. O “outro lado da moeda” desta alteração no papel da CNPD é a completa internalização da responsabilidade pelo cumprimento das normas previstas no RGPD nas empresas, cabendo notar que passa a incumbir sobre as empresas o dever de notificarem a CNPD e os titulares dos dados de violações de dados pessoais que comportem um risco para os direitos e liberdades destes últimos (dever este cujo incumprimento está sujeita à aplicação de uma coima).

Tendo em conta este cenário, as empresas têm vindo a implementar, sobretudo durante este ano, projetos de adaptação dos seus procedimentos internos às regras do RGPD de forma a estarem em cumprimento com as mesmas em maio de 2018, os quais têm vindo a encontrar vários desafios.

Um dos grandes desafios tem sido a necessidade de as empresas assegurarem o cumprimento do novo direito dos titulares dos dados à sua portabilidade que lhes visa atribuir um maior controlo sobre os seus dados, incluindo a possibilidade de os transmitir em ficheiro informático a outro prestador de serviços. Saber quais os dados que devem ser incluídos nesse ficheiro e quais os formatos em que o ficheiro deve ser disponibilizado são questões que se colocam neste âmbito.

Um outro desafio significativo é a necessidade de as empresas garantirem o dever que o RGPD lhes impõe de comprovarem que o tratamento dos dados pessoais é feito nos termos exigidos pelo RGPD, incluindo o dever de registo de todas as atividades de tratamento sob a sua responsabilidade (pelo menos no caso das empresas de maior dimensão ou no caso de tratamento de categorias especiais de dados).

Outra novidade introduzida pelo RGPD, e que exige adaptação por parte das empresas que tratam um volume significativo de dados, é a obrigação de designarem um Encarregado de Proteção de Dados independente, interno ou externo à empresa («DPO»), a quem caberá controlar o cumprimento, pela empresa, das regras do RGPD e das políticas definidas internamente em matéria de proteção de dados. Assim, o DPO deve ter um conhecimento aprofundado do RGPD e da organização interna da empresa.

Por fim, cabe sublinhar a necessidade de as empresas promoverem a uma avaliação de impacto sobre proteção de dados quando um certo tipo de tratamento, sobretudo o que utilize novas tecnologias, for suscetível de implicar um elevado risco para os direitos e liberdades dos titulares dos dados (avaliação de risco); matéria esta que exige às empresas a definição de metodologias para a elaboração da referida avaliação de impacto. Acresce que os requisitos identificados na avaliação de impacto permitirão às empresas introduzir o «privacy by design».

Todas estas matérias são novas na proteção de dados e exigem às empresas um processo de adaptação consistente, quer em termos jurídicos quer em termos tecnológicos, que passe pela implementação de soluções operacionais adequadas.

Resta saber se todas as empresas têm presente a prioridade a dar ao projeto de adaptação ao RGPD ou se, até, já começaram com o mesmo.