O NOVO REGULAMENTO DE

PROTECÇÃO DE DADOS
O Novo Regulamento da Protecção de Dados que passará a ser aplicado directamente nos
Estados Membros da União Europeia, incluindo Portugal, a partir de 25 de Maio de 2018,
introduzindo uma disciplina jurídica particularmente exigente nesta matéria,
Apresenta-se um resumo das novidades introduzidas por este Regulamento, bem como
as medidas e as potenciais correcções a implementar nos procedimentos empresariais actuais,
Notas Relevantes sobre o Regulamento
1. Âmbito de Aplicação Subjectivo - A Quem Será Aplicável
O Regulamento aplica-se a todas as entidades que tratem dados pessoais, ou seja, que realizem
operações que envolvam dados pessoais, sejam aquelas que determinam as finalidades e os
meios de tratamento de dados pessoais, mas também as que efetuam essas operações em regime
de subcontratação.
2. Âmbito de Aplicação no Território
Em todo o território da União Europeia.
3. Definição de Dados Pessoais
A definição de dados pessoais é alargada e passa a incluir, nomeadamente, dados de localização
e identificadores por via eletrónica. Para além disso, passa a existir uma definição do que é a
"definição de perfis", "pseudonimização", "dados genéticos", "dados biométricos e "dados
relativos à saúde".
4. Tratamento de Dados Pessoais dos Menores
Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o
consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da
criança. Os Estados-Membros têm liberdade para legislar uma idade inferior para os efeitos
referidos, desde que não seja inferior a 13 anos.
5. Tratamento de Dados Lícito
O tratamento é lícito quando:
a) Há consentimento do titular dos dados
b) É necessário para a execução de um contrato no qual o titular dos dados é parte
c) É necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo
tratamento esteja sujeito
d) É necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular
e) É necessário ao exercício de funções de interesse público ou ao exercício da autoridade
pública
f) É necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo
tratamento ou por terceiros
6. Significado de Consentimento neste Regulamento
O Regulamento define consentimento como uma manifestação de vontade, que deve ser livre,
específica, informada e explícita. Essa manifestação de vontade representa a aceitação, que deve
ser uma acção positiva, que os dados pessoais que lhe dizem respeito sejam objecto de
tratamento. Significa isto que o consentimento tácito é manifestamente tido por inválido.

7. Casos em que é Necessário Contratar um "Encarregado da Proteção de Dados" (Data

Protection Officer) ( Neste ponto aguarda-se legislação nacional)

Deve ser designado um Encarregado da Proteção de Dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo público
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo
regular e sistemático dos titulares dos dados em grande escala ouc) As atividades principais do
responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em
grande escala de categorias especiais de dados
8. Avaliação de Impacto de Privacidade sobre a Proteção de Dados

Se o tipo de tratamento, nomeadamente quando utilize novas tecnologias e tendo em conta a sua
natureza, âmbito, contexto e finalidades, for susceptível de implicar um elevado risco para os
titulares dos dados, deve ser efectuada uma avaliação de impacto das operações de tratamento
previstas sobre a protecção de dados pessoais.

A avaliação é obrigatória caso ocorram:

a) Avaliações sistemáticas e completas dos aspectos pessoais, baseada no tratamento
automatizado, incluindo a definição de perfis;
b) Operações de tratamento em grande escala de categorias especiais de dados; ou,
c) Controlos sistemáticos de zonas acessíveis ao público em grande escala,
Esta avaliação a ser efectuada antes de iniciar o tratamento deve conter uma descrição
sistemática das operações de tratamento previstas e quais as finalidades e fundamentos dos
tratamentos, bem como, a avaliação da necessidade e proporcionalidade das operações de
tratamento em relação aos objetivos, dos riscos para os titulares dos dados e das medidas
previstas para fazer face a esses mesmos riscos.
9. Obrigações em Caso de Violações de Dados Pessoais

O responsável pelo tratamento notifica a autoridade de controlo competente da violação de

dados pessoais até 72 horas após ter tido conhecimento da mesma. Se este prazo não for
cumprido, a notificação à autoridade de controlo deve ser acompanhada dos motivos do atraso.
O subcontratante deve notificar o responsável pelo tratamento sem demora injustificada, após
ter conhecimento de uma violação de dados pessoais.
Quaisquer violações de dados pessoais devem ser documentadas, compreendendo os factos
relacionados com as mesmas, os respectivos efeitos e a medida de reparação adoptada.
Sempre que a violação dos dados pessoais for suscetível de implicar um elevado risco para os
titulares dos dados, o responsável pelo tratamento comunica a violação de dados pessoais ao
titular dos dados sem demora injustificada, descrevendo em linguagem clara e simples a
natureza da violação dos dados pessoais e fornecendo as informações e recomendações previstas
no Regulamento.
10. Direito ao Esquecimento

O Regulamento consagra o Direito ao Apagamento dos Dados ("direito a ser esquecido"),

significando isto que o titular dos dados tem o direito de obter do responsável pelo tratamento o
apagamento dos seus dados pessoais, sem demora injustificada.

11. Regras quanto à Segurança dos Dados Pessoais

O Regulamento obriga a que o responsável pelo tratamento e o subcontratante apliquem
medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado,
nomeadamente através da:
a) A pseudonimização e a cifragem dos dados pessoais;
b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência
permanentes dos sistemas e dos serviços de tratamento;
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma
atempada no caso de um incidente físico ou técnico.
O responsável pelo tratamento e o subcontratante devem ter um processo que permita testar,
apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a
segurança do tratamento, o que vai implicar nomeadamente, que muitas entidades
necessariamente se certifiquem, nomeadamente, a nível da ISO27001.
12. Os Subcontratantes no Regulamento

Os subcontratantes terão obrigações e responsabilidade directas, o que significa que os

subcontratantes podem ser diretamente responsabilizados.
O tratamento em subcontratação é regulado por contrato que vincule o subcontratante ao
responsável pelo tratamento, estabeleça o objecto e a duração do tratamento, a natureza e
finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as
obrigações e direitos do responsável pelo tratamento.
Os subcontratantes deverão apresentar garantias suficientes de execução de medidas técnicas e
organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do Regulamento.
Ademais, não poderão contratar outro subcontratante sem que o responsável pelo tratamento
tenha dado autorização prévia e por escrito.
13. Registos das Actividades de Tratamento
Passa a ser obrigatório que cada responsável pelo tratamento e subcontratante conserve um
registo de todas as atividades de tratamento sob a sua responsabilidade, do qual deverão constar
um conjunto específico de informações devidamente definido no Regulamento.
A Autoridade de Controlo poderá solicitar a disponibilização desses registos para verificação.
14. Transferência de Dados Pessoais para Países Terceiros

As regras relativas às transferências de dados pessoais para um país terceiro são reforçadas.
Na ausência de uma decisão de adequação do nível de proteção, os responsáveis pelo tratamento
ou subcontratantes só podem transferir dados pessoais para um país terceiro se tiverem
apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos
oponíveis e de medidas jurídicas correctivas eficazes.
O Regulamento elenca um conjunto de elementos que podem ser utilizados para prever as
garantias adequadas, sem requerer nenhuma autorização específica de uma autoridade de
controlo, nomeadamente, regras vinculativas aplicáveis às empresas, cláusulas-tipo de proteção
de dados adoptadas pela Comissão, códigos de conduta devidamente aprovados, processo de
certificação aprovado.

15. Portabilidade dos Dados

Em determinadas situações o titular dos dados tem o direito de receber os dados pessoais que
lhe digam respeito e que tenha fornecido a um responsável pelo tratamento e o direito de
transmitir esses dados a outro responsável por tratamento.
16. Protecção de Dados desde a sua Génese
O responsável pelo tratamento deverá adoptar orientações internas e aplicar medidas que
respeitem, em especial, os princípios da protecção de dados desde a génese, podendo tais
medidas incluir a minimização do tratamento de dados pessoais, a pseudonimização de dados
pessoais, encriptação, entre outros.

17. Mecanismo de Balcão Único

Maioritariamente, os responsáveis pelo tratamento e subcontratantes terão apenas que

comunicar com a autoridade de controlo principal. Porém, as autoridades de controlo locais
continuam a ter poderes em vários sectores e irão colaborar com as principais em investigações.
18. Sanções (Aguarda-se legislação nacional)
O Regulamento devido à sua natureza só pode definir coimas, ou seja, sanções
contraordenacionais. Significa isto que, ainda que o Regulamento venha revogar a Lei de
Protecção de Dados, as normas que respeitam à relevância e enquadramento penal de certos
incumprimentos continuarão em vigor até ser aprovada nova legislação.
As coimas previstas no Regulamento podem chegar aos €20.000.000,00 ou, no caso de uma
empresa, até 4% do seu volume de negócios anual a nível mundial correspondente ao exercício
financeiro anterior, consoante o montante que for mais elevado.
19. Entrada em Vigor

O Regulamento aplica-se em toda a UE a partir de 25 de Maio de 2018. Contudo, após a

publicação ( já de 2016) , as entidades deviam ter começado o processo de adaptação ao
mesmo.