Ao longo dos últimos meses temos vindo a assistir a intensas (e nalguns casos controversas) discussões e movimentações em matéria de proteção de dados pessoais, sendo que o denominador comum tem sido uma consciência cada vez mais abrangente e transversal de que o direito à privacidade, à proteção dos dados pessoais constitui uma garantia universal e irrenunciável de todos os cidadãos.
No passado recente vários foram os casos levados às instâncias judiciais, nomeadamente junto do Tribunal Europeu, que culminaram no reconhecimento de que nem sempre são dadas as necessárias garantias e salvaguardas de proteção de dados pessoais.
Ora, é justamente neste referido contexto de acrescida consciencialização, que foi aprovado na sessão plenária do passado dia 14 de Abril do Parlamento Europeu um pacote legislativo, composto por um Regulamento e uma Diretiva, dirigido à proteção de dados pessoais.
Estes instrumentos têm como principal objetivo garantir aos cidadãos um maior controlo sobre os seus dados pessoais, procurando dar mais clareza e segurança jurídica às empresas e sujeitando as transferências para países fora da União Europeia a requisitos mais apertados. Não foi deixada de fora a preocupação na prevenção da criminalidade, encontrando-se especificamente na Diretiva regras que visam dar resposta a tal preocupação.
Das diversas alterações introduzidas, escolhemos comentar aquela que implicará para muitas empresas uma nova obrigação a cumprir: a criação do Delegado para a Proteção de Dados.
O Regulamento, de forma totalmente inovadora e com grande impacto para as empresas, introduziu a obrigação de cada responsável por tratamento de dados designar um Delegado para a Proteção de Dados, sempre que:
- O tratamento for efetuado por uma autoridade ou um organismo público, com exceção dos tribunais;
- As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares de dados em grande escala; ou
- As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados e de dados pessoais relacionados com condenações e infrações.
O Regulamento determina, ainda, que os grupos empresariais possam designar um único Delegado de Proteção de Dados, desde que o mesmo seja facilmente acessível a partir de cada estabelecimento.
Este Delegado de Proteção de Dados pode ser um trabalhador pertencente ao quadro da empresa ou um prestador de serviços, terá é que demonstrar qualidades profissionais, designadamente conhecimentos especializados no domínio do direito e das práticas de proteção de dados e capacidade para desempenhar as funções que lhe são distribuídas.
Incumbe ao responsável pelo tratamento de dados apoiar o Delegado no exercício das suas funções, fornecendo-lhe todos os recursos necessários ao desempenho das mesmas e à manutenção dos seus conhecimentos, bem como concedendo acesso aos dados pessoais e às operações de tratamento.
As funções do Delegado consistem, essencialmente, em:
- Informar e aconselhar o responsável pelo tratamento de dados sobre as obrigações decorrentes do Regulamento de proteção de dados;
- Controlar a conformidade das atuações da empresa com o Regulamento, nomeadamente através da repartição de responsabilidades, sensibilização e formação de pessoas envolvidas no tratamento de dados;
- Prestar aconselhamento no que respeita à avaliação de impacto sobre a proteção de dados;
- Cooperar com a autoridade de controlo;
- Servir de ponto de contato com a autoridade de controlo sobre as questões relacionados com o tratamento.
Em suma, as empresas terão que desenvolver esforços no sentido de terem alguém responsável pela fiscalização do cumprimento das obrigações de proteção de dados, sendo que o incumprimento destas normas fará o responsável pelo tratamento de dados incorrer numa coima até 10 milhões de euros ou, no caso de empresas, até 2% do seu volume de negócios global a nível mundial, consoante o que for mais elevado.
Prevê-se que as regras impostas pelo Regulamento sejam transpostas para os Estados Membros no prazo máximo de dois anos, tornando-se obrigatórias em igual período, ou seja, até ao segundo trimestre de 2018.
As regras serão aplicáveis a todas as empresas, do sector público ou privado, que ofereçam produtos e serviços aos consumidores europeus, independentemente de se situarem dentro ou fora da União Europeia.
Apesar de o ano de 2018 poder parecer ainda distante, a verdade é que a alteração por nós aqui tratada, bem como todas as restantes que constam do Regulamento, implicarão uma transformação generalizada dos procedimentos das empresas em matéria de proteção de dados, o que, até em função das severas penalidades associadas ao incumprimento, recomenda que cada empresa inicie desde já a avaliação de impactos na respetiva organização.
Gonçalo Pinto Ferreira e
Sofia Pamplona