O Regulamento (UE) nº2016/679 do Parlamento Europeu e do Conselho, JO L nº1109, de 04.05.2016 que estabelece as regras de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação de tais dados entra em vigor no dia 25 de maio de 2018.

A União Europeia tem agora um novo quadro normativo para a proteção de dados.

Este diploma regula os tratamentos de dados pessoais, incluindo o tratamento de dados pessoais por instituições, órgãos, organismos ou agências da União Europeia (UE).

Os dados pessoais traduzem-se em informação relativa a uma pessoa singular identificada ou identificável. Uma pessoa será identificável por referência a um identificador como um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

A definição de dados pessoais é alargada e passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica. Para além disso, passa a existir uma definição do que é a “definição de perfis”, “pseudonimização”, “dados genéticos”, “dados biométricos” e “dados relativos à saúde”.

O Regulamento aplica-se a todas as entidades que tratem dados pessoais, ou seja, que realizem operações que envolvam dados pessoais, sendo aplicável em todo o território da União Europeia. Mas se uma empresa estabelecida fora do espaço da UE e sem presença na UE oferecer serviços e faça negócios que envolvam algum género de tratamento de dados pessoais, o Regulamento é-lhe igualmente aplicável.

Ficam de fora os tratamentos de dados pessoais efetuados pelas pessoas singulares no exercício de atividades exclusivamente pessoais ou domésticas e os que sejam efetuados pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

O regulamento consagra o direito ao apagamento dos dados, ou seja, o direito a ser esquecido. Tal significa que o titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada.

Contudo, para esse efeito, terá de ocorrer qualquer um dos seguintes motivos, nomeadamente:

. Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

. O titular retira o consentimento em que se baseia o tratamento dos dados e se não existe outro fundamento jurídico para o tratamento;

. O titular opõe-se ao tratamento e não existem interesses legítimos prevalecentes que o justifiquem;

. Os dados pessoais foram tratados ilicitamente;

O titular dos dados pessoais tem ainda o direito de obter a retificação dos dados pessoais inexatos que lhe digam respeito.

De realçar, no entanto, que o exercício da liberdade de expressão e de informação é uma das exceções consagradas ao direito de esquecimento.

Neste Regulamento as crianças merecem proteção especial quanto aos seus dados pessoais.

Quando se trate de tratamento de dados pessoais em matéria de oferta direta de serviços da sociedade da informação às crianças, é preciso o consentimento dos titulares das responsabilidades parentais sempre que a criança tenha menos de 16 anos.

Contudo, os Estados-membros da UE podem dispor no seu direito uma idade inferior, com uma idade limite mínima de 13 anos.

O tratamento dos dados pessoais é lícito quando:

. Há consentimento do titular dos dados;

. É necessário para a execução de um contrato no qual o titular dos dados é parte;

. É necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

. É necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

. É necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública;

. É necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros.

É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

O tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas é permitido mas tem de ser efetuado sob o controlo das autoridades públicas.

Em todos os países da UE será promovida a elaboração de códigos de conduta para uma correta aplicação do novo regulamento, atendendo às características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.

Regime sancionatório

Para reforçar a execução das novas regras, os países da UE terão de impor sanções.

Em caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode ser feita uma repreensão em vez de ser aplicada uma coima.

A falta de consentimento de crianças ou falhas na proteção de dados estão sujeitas a coimas até 10,000.000 euros ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

A violação de outras disposições estará sujeita a coimas até 20,000.000 euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual.

Outras novidades deste Regulamento prendem-se com o seguinte:

. Portabilidade dos dados: em determinadas situações o titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento e o direito de transmitir esses dados a outro responsável pelo tratamento;

. Proteção de dados desde a conceção e por defeito: o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito, podendo tais medidas incluir a minimização do tratamento de dados pessoais, a pseudonimização de dados pessoais, encriptação, etc.

. Mecanismo de balcão único: tendencialmente os responsáveis pelo tratamento e subcontratantes terão apenas que comunicar com a autoridade de controlo principal. Porém, as autoridades de controlo locais continuam a ter poderes em vários setores e irão colaborar com as principais em investigações.

Fonte: Boletim do Contribuinte, agosto 2016, nº15/16