Tiago Félix da Costa e Helena Tapp Barroso
Tiago Félix da Costa e Helena Tapp Barroso 06 de julho de 2016 às 10:11

"It's now or never": o novo Regulamento sobre a Protecção de Dados Pessoais

Se ao ler este título pensou imediatamente que se trata de tema que não lhe interessa por nada ter que ver com a sua empresa ou organização, está, com toda a probabilidade, enganado.
Basta considerar que os dados pessoais abrangem toda e qualquer informação (até a que possa ser incorrecta ou falsa) respeitante a pessoas singulares identificadas ou identificáveis, seja qual for a sua natureza ou suporte (papel, digital, imagem ou som), para concluir que todas as empresas e organizações realizam inúmeros tratamentos de dados pessoais.

A partir de 25 de Maio de 2018, o recente "Regulamento sobre a Protecção de Dados Pessoais" será directamente aplicável a todas as empresas e à grande maioria dos organismos públicos, independentemente dos respectivos sectores de actividade, em todo o espaço europeu.

Todas as empresas e organizações passam, assim, a estar sujeitas às obrigações decorrentes do Regulamento e às pesadas sanções previstas para o seu incumprimento, com coimas que podem ir até vinte milhões de euros ou 4% do volume de negócios anual do infractor.

A maior novidade do Regulamento reside na instituição de um novo e exigente paradigma regulatório sobre qualquer actividade que envolva o tratamento de dados pessoais, ou seja, sobre praticamente tudo o que se possa fazer com dados pessoais.

Se, por um lado, esta nova legislação põe fim à burocracia gerada pela necessidade de notificar ou solicitar autorização prévia à Comissão Nacional de Protecção de Dados para proceder a tratamentos de dados pessoais, por outro, obriga ao levantamento e registo interno, pelas próprias organizações, de todos os tratamentos de dados que realizem, à avaliação aprofundada, nos casos de maior risco, dos impactos de tais tratamentos na privacidade e à adopção de normas, procedimentos e sistemas tecnológicos não só capazes de assegurar elevados níveis de segurança como de respeitar os princípios fundamentais da protecção de dados pessoais (de que são exemplo o princípio da minimização ou da privacidade por defeito; estes exigem o mínimo de impacto possível do tratamento na privacidade e a implementação de medidas que assegurem, por defeito, que só sejam tratados os dados pessoais necessários para cada finalidade específica).

Além disso, a obrigação da existência de um "Chief Data Protection Officer" (encarregado da protecção de dados) em certos casos, a eventual obrigação de comunicar a violação de dados pessoais ("data breach") à CNPD e, nalgumas situações, aos respectivos titulares e a obrigação de ajustar as políticas, procedimentos e práticas empresariais a um vasto conjunto de direitos dos titulares dos dados (como o direito ao esquecimento, o direito à portabilidade dos dados pessoais e o direito à informação) resultam na necessidade de um conjunto de mudanças consideráveis para todas as organizações.

Neste período de preparação até Maio de 2018, que em face das medidas de preparação que se impõem às organizações será certamente curto, o principal desafio para as empresas será o de definir, de acordo com a sua cultura e com os meios disponíveis, o nível de "compliance" com a legislação em matéria de protecção de dados pessoais que pretendem alcançar.

A partir daí, importa traçar um plano de acção que estabeleça as prioridades na conformação com as normas sobre a protecção de dados pessoais e que defina os recursos humanos, técnicos e financeiros necessários à sua execução.

Os próximos dois anos são também um tempo de desafio para o poder político, na medida em que urge aprovar alguma legislação necessária em matéria de protecção de dados pessoais, mas, sobretudo, dotar a Comissão Nacional de Protecção de Dados dos meios humanos, técnicos e financeiros indispensáveis para que se torne um efectivo regulador no novo quadro do Regulamento e que, mais do que um "fiscal dos dados pessoais", funcione como um apoio às empresas e às organizações nos exigentes desafios que enfrentam, promovendo o compromisso entre as necessidades de tratamento de dados pessoais e a protecção da privacidade.

A aprovação do novo Regulamento está a gerar, um pouco por toda a Europa, um grande burburinho e alguma apreensão, uma vez que impõe uma real e significativa mudança de paradigma na forma como se trata a privacidade e exige investimentos significativos. Todavia, com ponderação, bom senso, algum investimento e alguma criatividade, as empresas e as organizações poderão preparar-se convenientemente para a aplicação do Regulamento a partir de 2018. Uma coisa é certa: "it's now or never".


A sua opinião0
Este é o seu espaço para poder comentar o nosso artigo. A sua opinião conta e nós contamos com ela.
Faltam 300 caracteres
Negócios oferece este espaço de comentário, reflexão e debate e apela aos leitores que respeitem o seu estatuto editorial, promovam a discussão construtiva e combatam o insulto. O Negócios reserva-se ao direito de editar, apagar ou mesmo modificar os comentários dos seus leitores se atentarem contra o bom senso e seriedade.O acesso a todas as funcionalidades dos comentários está limitada a leitores registados e a Assinantes.
comentar