Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados; revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)

Filipa Iglésias, Advogada, Abreu Advogados

1. No passado dia 25 de Maio entrou em vigor o novo Regulamento Geral de Protecção de Dados que, ao fim de mais de quatro anos de negociações, vem finalmente harmonizar e estabelecer um ordenamento comum nesta matéria em todos os países da União Europeia. O Regulamento aplica-se às operações de tratamento que incidam sobre titulares de dados pessoais europeus, independentemente de o responsável pelo tratamento (ou o subcontratante) se encontrar ou não localizado na UE..

2. Até aqui, cada Estado Membro, por via da transposição da Directiva 95/46/CE do Parlamento Europeu e do Conselho, dispunha das suas regras próprias com uma relativa dose de flexibilidade e liberdade. Em comum, cada operação de tratamento de dados pessoais, em momento prévio à sua realização, deve ser notificada à autoridade de controlo (em Portugal, a Comissão Nacional de Protecção de Dados, CNPD).
O regime ainda em vigor, além de centrado numa perspectiva ‘de controlo’ por parte da autoridade local, obrigava a pedidos de notificação gerais e indiscriminados. Uma das novidades traduz-se no tão antecipado 'balcão único', que vem beneficiar as organizações com estabelecimentos em diferentes países da União Europeia.
Ao mesmo tempo que se simplifica o sistema de notificação à autoridade de controlo, o Regulamento introduz novas obrigações que impõem aos responsáveis pelo tratamento de dados um maior cuidado, exigência (nomeadamente quanto à obtenção do consentimento dos titulares) e compromisso de 'compliance', reforçando o respeito pelas regras de protecção de dados e privacidade e alterando significativamente as penalidades pelo incumprimento, que podem ascender a 20 milhões de euros ou a 4% do seu volume total de negócios anual.

3. Dentro dessas obrigações, como o reforço da segurança dos dados, o Regulamento introduz ainda outras novidades com impacto para as organizações, tais como a introdução dos deveres de prestação de contas, a realização de avaliações de impacto sobre a Protecção de Dados, a notificação obrigatória às Autoridades de Protecção de Dados em caso de data breaches e a nomeação de Encarregados de Protecção de Dados.
Já no que diz respeito aos próprios titulares, isto é, à pessoa cujos dados são objecto de tratamento, o novo Regulamento vem clarificar o conceito de dados pessoais, daqui resultando novos direitos como o direito à portabilidade dos dados, o direito ao esquecimento e o direito de oposição a profiling, isto é, a utilização de dados pessoais para efeitos de definição de perfis.

4. Outra novidade é a introdução de novos princípios e conceitos que devem nortear o tratamento de dados pessoais, como a privacy by design and by default, ou a pseudonimização dos dados.

5. O Regulamento aplicar-se-á não apenas a responsáveis pelo tratamento dos dados (controllers), como também aos subcontratantes (processors), o que não acontecia até aqui com a Directiva, que centrava a responsabilidade apenas nos responsáveis pelo tratamento.

6. Com um período transitório de dois anos para adaptação às novas regras, o Regulamento passará a ser directamente aplicável aos 28 Estados-Membros a partir de 25 de Maio de 2018.