Regulamento Geral de Proteção de Dados

No dia 25 de maio de 2018 entrará em vigor o novo Regulamento Geral de Proteção de Dados (RGPD). A partir desse dia será obrigatório informar os titulares acerca da sua base legal para o tratamento de dados, prazo de conservação e transferência dos mesmos. Esta medida abrange as empresas que recolhem os dados e as entidades que realizam o tratamento (dentro ou fora da União Europeia) e determina que só poderão ser utilizadas informações que se relacionem diretamente com a finalidade a que se destinam.

Quanto ao consentimento dos cidadãos, este terá de ser suportado por uma declaração ou ato semelhante e quaisquer atos que não sejam passíveis de ser validados, como opções pré-selecionadas em websites, não serão permitidos. O RGPD inclui, ainda, a portabilidade de dados onde as pessoas têm o direito de circulação, cópia ou transferência dos mesmos (como por exemplo transferir dados de uma determinada empresa para outra empresa).

Sempre que existir uma violação destas medidas, as entidades competentes terão de notificar a CNPD (no caso de Portugal) no prazo máximo de 72 horas após tomarem conhecimento da situação, sendo que as violações graves terão de ser reportadas, também, às pessoas singulares. Em situações menos graves a coima poderá atingir o valor de 10 milhões de euros ou 2% do volume de negócio anual a nível mundial e em situações mais graves a coima poderá alcançar os 20 milhões de euros ou 4% do volume de negócios anual a nível mundial.  Em ambos os casos, serão aplicados os montantes mais elevados.

Neste regulamento é criada a posição do Encarregado de Proteção de Dados ou DPO – Data Protection Officer. As suas funções passarão por controlar os processos de segurança e certificar a proteção de dados no dia a dia. Não é uma medida obrigatória para todas as empresas, contudo, pode ser uma mais valia nos processos de cumprimento das obrigações. As empresas poderão inserir um DPO ou então contratar um serviço externo.