A escassos cem dias de terminar o prazo para a aplicação do novo Regulamento Geral de Protecção de Dados (RGPD), que vem revolucionar o enquadramento jurídico nesta área, os preparativos avançam a ritmos diferentes nos vários Estados-membros. Segundo disse ao Negócios fonte oficial do Executivo comunitário, Portugal está no grupo dos atrasados, dado que apenas a Alemanha e a Áustria já adoptaram "legislação nacional relevante". Os outros estão a ser aconselhados a acelerar o processo.

O conhecimento das PME sobre as novas regras de protecção de dados – entram em vigor a 25 de Maio de 2018 e que passam a ser as mesmas para todas as empresas que prestam serviços na União Europeia – é uma das pechas detectadas por Bruxelas, que acaba de lançar uma ferramenta online de informação, no formato de "perguntas e respostas". Para já só está disponível em inglês, mas a representação da Comissão Europeia em Lisboa promete que será "disponibilizada nas outras línguas da UE durante a próxima semana".



A que tipo de PME se vai aplicar esta nova legislação? Abrange também os dados relativos às próprias empresas? Não basta informar os consumidores que os seus dados vão ser recolhidos e processados? Que grau de detalhe sobre a informação deve ser passado aos indivíduos no momento da recolha? E podem ser tratados para outras finalidades? Qual a quantidade de dados que podem ser recolhidos e durante quanto tempo podem ser mantidos? Estas são algumas das maiores dúvidas que podem ser esclarecidas nesta página. Um ano antes da aplicação obrigatória, o tema da protecção de dados ainda estava fora da prioridade das empresas.



Ora, o espírito da nova lei é o de criar ou reforçar direitos aos cidadãos, nomeadamente os de informação, de acesso, de portabilidade (transferir os seus dados de uma empresa para outra) e até o de ser esquecido, que já existia, ficará mais claro. Se os dados pessoais saírem da Europa, onde foram recolhidos, a empresa terá de respeitar as normais europeias se os quiser analisar no estrangeiro.

Por outro lado, as empresas que sofram um ciber-ataque que exponha os dados dos clientes passam a ter de notificar o regulador em 72 horas. E as multas para quem não cumpra com as novas regras serão pesadas: podem ascender a 20 milhões de euros ou até 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

"Os dados estão em todo o lado. Quando utiliza o seu smartphone, poderão ser recolhidos dados sobre a sua localização, os seus gostos, os seus amigos, a sua saúde. Na Europa, a protecção de dados é um direito fundamental e temos de o proteger. (…) O direito a informações claras e compreensíveis impedirá que as empresas se escondam atrás de linguagem jurídica complicada para obter o seu consentimento", avisam os vice-presidentes da Comissão Europeia, Frans Timmermans e Andrus Ansip, e as comissárias Vera Jourová (com as pastas da Justiça, Consumidores e Igualdade de Género) e Mariya Gabriel (Economia Digital e Sociedade), numa declaração conjunta feita a propósito do Dia Europeu da Protecção de Dados, que se celebra a 28 de Janeiro.

Bases de dados passadas a pente fino

Outra das novidades, a que as empresas devem estar atentas, passa pela nomeação de um designado Encarregado de Protecção de Dados (DPO, na sigla inglesa), que irá monitorizar a vários níveis o cumprimento do regulamento e também ser o ponto de contacto com a entidade reguladora, a Comissão Nacional de Protecção de Dados. Passará a ser uma figura obrigatória nas organizações que tratam dados sensíveis em grande escala ou que fazem o tratamento de dados pessoais que, pela sua natureza, âmbito ou finalidade, exijam um controlo regular e sistemático.

Mas uma das tarefas que está a dar mais dores de cabeça às empresas – incluindo às de maior dimensão e que deverão estar mais adiantadas neste processo – é a de passar a pente fino a informação contida nas suas bases de dados. Em particular, se o consentimento dado pelos clientes aquando da recolha dos dados se enquadra e está em linha com as condições do novo regulamento.

Por exemplo, os formulários usados pela sua empresa têm umas caixinhas, que já vêm pré-preenchidas com o sinal de autorização, para permitir o tratamento dos dados dos clientes para determinada finalidade? Mesmo que essa informação estivesse escrita, fosse verdadeira e perceptível a qualquer consumidor, essa opção já vir assinalada faz com que, a partir de Maio, esse consentimento não seja válido, o que obriga a empresa a pedir novamente autorização ao proprietário dos dados caso queira continuar a usar essa informação.