Preparado para as novas regras sobre dados pessoais?

As novidades resultam sobretudo da necessidade de responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas

Preparado para as novas regras sobre dados pessoais?

O Regulamento Geral sobre a Proteção de Dados, Regulamento (UE) 2016/679, foi publicado no jornal oficial da União Europeia no dia 4 de maio de 2016. Este diploma legal revoga a legislação atualmente em vigor sobre a proteção de dados pessoais, publicada em 1995, ou seja, revoga legislação que foi aprovada em momento anterior à utilização generalizada da Internet e ao surgimento da economia digital.

O novo diploma é aplicável a partir do dia 25 de Maio de 2018. Este período de dois anos entre a publicação e a aplicação é fundamental para as empresas se adaptarem às novas regras. Pode parecer muito tempo, mas não é... Os princípios subjacentes ao Regulamento são os mesmos que enformam a legislação atual: proteger a privacidade dos cidadãos e garantir a livre circulação de dados pessoais dentro da União Europeia.

As novidades resultam sobretudo da necessidade de responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas. Num primeiro momento é natural que as empresas portuguesas se foquem no aspeto mais bombástico do diploma, o enorme aumento do valor das sanções aplicáveis.

A coima máxima na legislação atual é de aproximadamente 30 mil euros. No novo Regulamento, a coima máxima será de 20 milhões de euros ou até 4% do volume de negócios anual da empresa, a nível mundial, e correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Não obstante, a alteração que terá porventura um maior impacto é o desaparecimento da obrigação de notificar ou obter autorização, junto da Comissão Nacional de Proteção de Dados (CNPD), previamente ao início de um tratamento de dados pessoais. Atualmente, e em relação ao sistema de autorizações, o tratamento de dados sensíveis e de dados relativos ao crédito e à solvabilidade (categorias que incluem, por exemplo, dados de saúde e informação sobre transações bancárias), está sujeito a autorização prévia da Comissão Nacional de Proteção de Dados, um processo que demora meses, chegando por vezes a demorar mais de um ano.

Este mecanismo representa um obstáculo administrativo muito prejudicial para as empresas, que deixam de poder controlar a data de início dos seus projetos. Com o Regulamento existe uma mudança de paradigma: as empresas terão de avaliar elas próprias o impacto dos tratamentos de dados pessoais, não sendo necessário obter qualquer autorização prévia ou sequer notificar a CNPD.

Esta alteração irá trazer maior flexibilidade e liberdade para às empresas. O desafio está na criação dos procedimentos internos que permitirão as empresas fazer esta avaliação, pois hoje são muito poucas as empresas que têm esta capacidade.

Neste sentido, o processo simples de preencher um formulário e esperar (sentado) pela resposta da CNPD será substituído por uma análise complexa, tanto do ponto de vista jurídico como técnico, sobre o tratamento que se pretende realizar. Ter informação atualizada sobre todos os tratamentos de dados pessoais realizados, saber avaliar os riscos associados a novos tratamentos, conseguir aconselhar a empresa sobre as medidas adequadas a implementar para mitigar os riscos associados e cumprir as obrigações relacionadas com a comunicação de informação sobre quebras de segurança são apenas algumas das tarefas que terão de ser realizadas dentro de menos de dois anos.

Conhecer o Regulamento em detalhe e começar a repensar a organização da empresa são os primeiros passos deste processo de preparação para 25 de maio de 2018.

Tags

REVISTA DIGITAL

IT INSIGHT Nº 5 Dezembro 2016

IT INSIGHT Nº 5 Dezembro 2016

NEWSLETTER

Receba todas as novidades na sua caixa de correio!