A menos de um ano da entrada em vigor do Novo Regulamento Geral de Proteção de Dados, as dúvidas são mais do que muitas. Para começar, em concreto o que é que vai mudar?

A grande inovação trazida pelo RGPD é a uniformização do quadro legal, sendo obrigatório e diretamente aplicável a todos os Estados-Membro, sendo ainda que, por outro lado, o RGPD passa a aplicável não só aos responsáveis pelo tratamento de dados, mas também às entidades subcontratantes, ainda que uns e outros estejam estabelecidos fora da EU (designadamente quando as atividades de tratamentos destas respeitam a oferta de bens e serviços a titulares de dados da UE). Introduz, depois, o princípio da autorregulação, responsabilizando as empresas pela operacionalização e manutenção da conformidade dos tratamentos de dados com o RGPD, com a criação da figura do Encarregado de Proteção de dados (DPO), reservando para as autoridades de controlo (em Portugal, a CNPD) maior disponibilidade para desenvolver ações preventivas, fiscalização e sancionamento. Surgem novos direitos (como seja o da portabilidade) e são reforçados os demais (e.g. o direito ao apagamento dos dados). Outra novidade é a introdução de condições aplicáveis ao consentimento de crianças, bem como a maior importância e dada aos códigos de conduta e a possibilidade de certificação. Por fim, realçamos a definição das vias de recurso, tais como o direito de apresentar reclamação junto de autoridade de controlo e o direito de ação judicial.

O novo quadro legal traz algumas mudanças significativas que terão diferente impacto na vida das organizações. O que é que as empresas precisam de saber de antemão?

Com a introdução da autorregulação, as empresas devem avaliar, adequar e atuar. Avaliar, porque precisam identificar e definir, ao longo de todo o processo de tratamento, quais as categorias de dados que recolhem, o respetivo fundamento jurídico e finalidades dos tratamentos de dados pessoais que executam, bem como os riscos que possam advir do tratamento (com especial destaque para os dados considerados sensíveis, aqui desempenhando um papel importante a existência de um Encarregado de Proteção de dados (DPO). Adequar procedimentos e medidas que permitam o registo de todas as operações de tratamento de dados e respetivas alterações, mecanismos que assegurarem o exercício dos direitos dos titulares dos dados pessoais e que permitam o cumprimento da obrigação de notificação em caso de violação do tratamento de dados pessoais, devendo, ainda, consultar previamente a autoridade de controlo relativamente a tratamentos de dados que possam implicar um elevado risco para os titulares dos dados pessoais; devem ainda realizar auditorias, avaliações de impacto e implementar medidas que permitam a proteção de dados pessoais desde a conceção e por defeito e ao longo de todos o processo de execução do tratamento. E, por fim, atuar, adotando um comportamento proactivo e eficaz para uma ação célere e de prevenção de riscos e manutenção de conformidade e licitude dos tratamentos.

Que problemas poderão surgir aquando da aplicação do novo regulamento?

O RGDP tem previsto um período alargado de dois anos, ou seja, até 25/05/2018, para que os seus destinatários se possam informar e preparar, designadamente, e no que às empresas concerne, para que estas possam fazer a avaliação e adequação às novas exigências. Estarão numa situação mais problemática as empresas que, dentro deste período, não venham a implementar as medidas necessárias ao cumprimento do RGPD, correndo o risco de que os seus tratamentos sejam considerados ilícitos. Por outro lado, mesmo para as empresas que têm vindo já dar desenvolvimento às imposições do RGPD, poderá ser demorada a interação com a autoridade de controlo quando previamente consultada pelas empresas relativamente a tratamento de dados que implique um elevado risco para os titulares dos dados pessoais.

As empresas vão ser obrigadas a mudar os seus sistemas e a fazer uma nova recolha de dados?

Não necessariamente, desde que já atuem de forma compliant com o RGPD. Esta, não será, contudo, a realidade da maioria das empresas, pelo que, e em primeiro lugar, devem avaliar a conformidade dos seus tratamentos com o RGPD, para depois aferir da necessidade de obter dados adicionais, eliminar desnecessários ou desconformes com as finalidade dos tratamentos, obter novos consentimentos, rever contratos e instrumentos jurídicos que sirvam de fundamento jurídico aos tratamentos de dados pessoais. Realça-se o facto de que se o tratamento tiver como fundamento o consentimento do titular é necessária especial atenção em face das condições mais exigentes para a sua obtenção.

Mas a entrada em vigor do novo regulamento geral da proteção de dados não acarreta desafios apenas para as empresas…?

Correto. O RGPD representa também um desafio para todos quantos apoiamos a atividade empresarial, designadamente, advogados/juristas, técnicos de sistemas de informação e a própria CNPD, dai que seja essencial incentivar a cooperação entre todos de modo a colocar em prática as adaptações necessárias.

O Regulamento Geral de Proteção de Dados (RGPD) passará a ser aplicado diretamente a partir de 25 de maio de 2018, e vem substituir a atual diretiva e lei de proteção de dados pessoais. Era urgente um novo regulamento?

Nos já mais de 20 anos que tem o quadro legislativo atualmente aplicável, muito mudou – e a grande velocidade – na relacionamento entre empresas e sues clientes e potenciais cliente, nomeadamente, no que respeita à respetiva abrangência territorial. Concordamos que era necessário este novo regulamento, que será uma base mais sólida para a disciplina legal do tratamento de dados pessoais e proteção dos direitos fundamentais dos cidadãos

Qual será o maior desafio para a conformidade com o novo regulamento? O maior desafio será certamente a organização e capacidade de adequação das empresas ao cumprimento do RGPD antes do início da sua aplicação e, depois, o acompanhamento dos desenvolvimentos tecnológicos que permitam o desenvolvimento e melhoramento das medidas de compliance, designadamente aio nível de ações preventivas que possam mitigar os riscos resultantes da vulnerabilidade dos sistemas a ataques externos.

A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de Dados Pessoais exigindo um quadro de proteção sólido e mais coerente na União Europeia. O novo regulamento vem corresponder às mudanças necessárias?

O novo regulamento vem clarificar, complementar, desenvolver e uniformizar o quadro aplicável em matéria de proteção de dados ao nível da União Europeia, o que já constitui um passo importante e uma boa base para fazer face às evoluções tecnológicas e à globalização. Mas este é um terreno demasiado fértil e movediço, pelo que se antevê que o tratamento de dados pessoais ao nível legislativo deva merecer nova reflexão e nova atenção com mais regularidade.