O Regulamento Geral de Proteção de Dados (RGPD) é a legislação ao nível da União Europeia que cria um quadro de proteção e tratamento de dados pessoais uniforme para todos os países da União e respetivos cidadãos. O objetivo é dar mais poder às pessoas para controlar os seus dados e simplificar o seu processamento por parte de organizações internacionais. O não cumprimento do RGPD pode custar caro às empresas. Vê em seguida o essencial sobre o RGPD e os seus direitos.
RGPD: o que é?
O Regulamento Geral de Proteção de Dados (RGPD) é uma lei europeia (UE 2016/679), de adoção obrigatória e automática pelos estados-membros, que estabelece regras sobre a proteção, o processamento e a livre circulação dos dados pessoais dos cidadãos nos estados-membros da União Europeia.
A definição de dados pessoais, neste contexto, refere-se a informação relativa a uma pessoa singular identificada ou identificável (o chamado “titular dos dados”). Nome, número de cartão nacional de identificação, número de telefone e outros elementos similares são exemplos de dados pessoais.
Porque existe o RGPD, e a quem se aplica?
Este regulamento tem como inspiração o art.º 8.º da Carta dos Direitos Fundamentais da União Europeia (CDFUE), um tratado comunitário assinado em 2000 e que criou uma estrutura de proteção de direitos própria dos cidadãos da União. Até então os tratados europeus limitavam-se a questões de ordem política e económica, focados principalmente nas relações entre Estados e não se dirigindo diretamente aos cidadãos.
O artigo 8.º da CDFUE refere-se à proteção de dados pessoais, e o RGPD visa a harmonização das leis dos vários estados-membros da União sobre esta matéria.
O crescimento da internet nas últimas décadas fez aumentar exponencialmente a quantidade de dados de clientes e utilizadores na posse das empresas e organizações. Consequentemente, surgiram questões sobre a privacidade desses dados, o seu uso por terceiros e riscos de roubos ou fugas de dados.
O RGPD aplica-se ao tratamento de dados pessoais efetuado por uma entidade responsável (diretamente ou por subcontratação), situada no território da União. O RGPD estende-se também à proteção de dados de pessoas que se encontrem num país da União, quando esses dados forem tratados por uma entidade não estabelecida na União mas que impliquem oferta de bens e serviços aos titulares desses dados na União.
Um dos principais exemplos do RGPD aplicado à prática é a forma como as grandes empresas tecnológicas norte-americanas devem submeter-se a ele se quiserem atuar em território europeu. De resto, esta é uma luta que promete continuar, como se viu na “troca de galhardetes” pública entre Elon Musk, novo proprietário do Twitter, e Thierry Breton, comissário europeu para o Mercado Interno, nos finais de 2022 e inícios de 2023.
Os sete princípios do RGPD
O RGPD estabelece sete princípios sobre a forma como as organizações devem recolher, usar e proteger os dados dos utilizadores, configurando um regime de proteção de dados. Os sete princípios são:
- Licitude, lealdade e transparência. As organizações devem assegurar-se que o processamento de dados cumpre a lei, é claro, e não fere os interesses do cidadão.
- Limitação da finalidade. As organizações devem especificar qual o motivo concreto pelo qual precisam de conservar e armazenas dados pessoais.
- Minimização dos dados. A organização não deve recolher mais dados que os necessários, tendo em conta o motivo ou propósito que as leva a recolher esses dados. Trata-se de um princípio estreitamente associado ao anterior.
- Exatidão. Os dados que estejam incorretos ou que não sejam relevantes para o objetivo da organização devem ser corrigidos ou apagados.
- Limitação da conservação. A organização só deve conservar os dados pessoais pelo tempo necessário para atingir o objetivo ou cumprir o propósito que motivou a sua recolha.
- Integridade e confidencialidade. A organização assume uma responsabilidade perante o cidadão e a lei, no sentido em que deve tomar medidas para impedir o uso não autorizado ou ilegal dos dados que lhe são confiados.
- Responsabilidade. No sentido do princípio anterior, este princípio requer às organizações que demonstrem, de forma factual e com provas, que estão a cumprir os requisitos legais de proteção dos dados pessoais que conservam.
O que significa a conformidade com o RGPD?
Significa, simplesmente, conformidade com os requisitos e procedimentos exigidos pela lei RGPD sobre o tratamento de dados pessoais. As organizações que desrespeitem a lei podem ser confrontadas com multas e outras penalizações; no caso de violações graves, a multa pode chegar a 20 milhões de euros ou 4% da receita anual (o que for mais alto).
Conhece os teus direitos RGPD
O foco do RGPD é os dados pessoais vistos como um bem frágil e que é necessário proteger, com o foco na parte considerada mais fraca nesta equação: o cidadão, individualmente considerado. Se é verdade que alguns administradores ou CEOs de empresas podem alinhar vários exemplos em que o RGPD veio dificultar a sua atividade, se se virem como utilizadores rapidamente compreendem a pertinência deste instrumento. As gigantes tecnológicas (Meta, Twitter, Amazon, etc.) acumulam dados pessoais em grande escala e têm no RGPD um obstáculo à respetiva livre utilização – e ao livre abuso.
Direito de ser informado
O cidadão tem o direito a ser informado pela empresa ou organização sobre a forma como os seus dados vão ser processados, nas diversas vertentes, como por exemplo:
- Como vão ser recolhidos
- Como serão utilizados
- A quem serão disponibilizados
- Por quanto tempo serão conservados
Direito de acesso
A pessoa tem sempre o direito de aceder aos seus dados pessoais, de receber informação sobre o objetivo da recolha e como é que a organização conserva e faz a gestão desses dados. O RGPD prevê a figura específica do pedido de acesso a dados pessoais, submetido pelo próprio cidadão (e nunca por terceiros) através de um formulário próprio, devendo a organização responder formalmente no prazo de um mês.
Direito de retificação
As pessoas têm o direito de exigir junto da organização a retificação ou correção dos dados sempre que estejam incompletos, incorretos ou não sejam rigorosos. Naturalmente, sempre que determinados dados fixos ou permanentes sejam alterados (por exemplo, uma morada), a pessoa manterá o direito a pedir a alteração.
Direito a ser esquecido
Os titulares dos dados têm o direito de requerer que a entidade apague definitivamente um certo conjunto de informação. A organização não será, todavia, obrigada a apagar esses dados se precisar deles para cumprir obrigações legais.
Já é habitual que certas pesquisas em motores de pesquisa, nomeadamente no Google, devolvam uma mensagem a informar que determinados resultados não foram mostrados devido à exigência de cumprimento deste direito.
Direito a restringir o processamento
Se, por qualquer motivo, a pessoa exigir o apagamento dos dados e estes não possam ser apagados, a pessoa terá este direito suplementar, exigindo que o uso e processamento dos dados seja restrito.
Direito à portabilidade dos dados
Os cidadãos têm o direito de exigir que os seus dados pessoais sejam transferidos para outra organização. A organização que esteja na posse deles deve fornecê-los de uma forma estruturada, de acordo com os padrões técnicos correntes e para que possam ser lidos por computadores ou máquinas.
Direito à objeção
O cidadão tem direito a objetar que os seus dados sejam processados com determinado propósito (por exemplo, em ações de marketing direto).
Direito a não ser sujeito a decisões automatizadas
O cidadão pode exigir que a tomada de decisões sobre os seus dados seja diretamente executada por um humano, e não por um algoritmo, software ou outro elemento informaticamente automatizado. Este direito é especialmente interessante nos tempos em que vivemos, dada a explosão de ferramentas de inteligência artificial e a possibilidade crescente de que diversas decisões desta ordem sejam tomadas por máquinas.
A minha empresa perante o RGPD: o que fazer?
De uma forma geral, eis as medidas que deverás tomar, sem exclusão de outras:
- Implementar instrumentos que protejam os dados pessoais que a tua empresa ou organização armazena (firewalls, regras quanto ao estabelecimento de passwords seguras e alteradas regularmente, criar níveis diferenciados de acesso à informação armazenada, etc.);
- Mapear, estruturar e classificar por categorias os dados recolhidos;
- Dar formação aos colaboradores sobre o RGPD;
- Ponderar se será necessário ou até obrigatório nomear um Encarregado de Proteção de Dados, diretamente responsável por esta atividade;
- Criar procedimentos automáticos que simplifiquem o cumprimento do RGPD;
- Ter atenção ao prazo de 72 horas para comunicar à autoridade reguladora, a Comissão Nacional de Proteção de Dados, e aos titulares, um incidente relativo à segurança dos dados.
Os meus dados pessoais estão seguros?
Agora que sabes o que é o RGPD, poderás perguntar-te até que ponto os teus dados pessoais estão mesmo seguros. Por um lado, existe uma luta permanente entre empresas e reguladores quanto aos limites de atuação – algo a que aludimos acima, na disputa entre o Twitter e a Comissão Europeia.
Além disso, e como também referimos, as gigantes tecnológicas fazem questão de armazenar dados sobre os nossos padrões de utilização de internet, podendo vendê-los a terceiros com fins publicitários. Como se costuma dizer, o Facebook dispõe de informação sobre pessoas que nem sequer têm conta no Facebook – apenas graças aos dados sobre tais pessoas fornecidos ao Facebook por terceiros.
O RGPD é um passo no caminho certo, mas insuficiente para garantir a total privacidade online. Aplica-se também aquele que é, afinal, um princípio de base das sociedades liberais e democráticas: o princípio de liberdade e responsabilidade do utilizador. Cabe-te uma parte da tarefa de te protegeres na internet: adotando comportamentos preventivos, evitando aceder a sites perigosos, instalando uma VPN para que hackers e o seu próprio fornecedor de serviços de internet não consigam intercetar e ler o conteúdo das tuas mensagens, entre outras. Já paraste para pensar se estás a proteger-te ou à tua empresa?
Deixa o teu comentário