PROTECÇÃO DE DADOS
O Novo Regulamento da Protecção de Dados que passará a ser aplicado directamente nos
Estados Membros da União Europeia, incluindo Portugal, a partir de 25 de Maio de 2018,
introduzindo uma disciplina jurídica particularmente exigente nesta matéria,
Apresenta-se um resumo das novidades introduzidas por este Regulamento, bem como
as medidas e as potenciais correcções a implementar nos procedimentos empresariais actuais,
Notas Relevantes sobre o Regulamento
1. Âmbito de Aplicação Subjectivo - A Quem Será Aplicável
O Regulamento aplica-se a todas as entidades que tratem dados pessoais, ou seja, que realizem
operações que envolvam dados pessoais, sejam aquelas que determinam as finalidades e os
meios de tratamento de dados pessoais, mas também as que efetuam essas operações em regime
de subcontratação.
2. Âmbito de Aplicação no Território
Em todo o território da União Europeia.
3. Definição de Dados Pessoais
A definição de dados pessoais é alargada e passa a incluir, nomeadamente, dados de localização
e identificadores por via eletrónica. Para além disso, passa a existir uma definição do que é a
"definição de perfis", "pseudonimização", "dados genéticos", "dados biométricos e "dados
relativos à saúde".
4. Tratamento de Dados Pessoais dos Menores
Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o
consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da
criança. Os Estados-Membros têm liberdade para legislar uma idade inferior para os efeitos
referidos, desde que não seja inferior a 13 anos.
5. Tratamento de Dados Lícito
O tratamento é lícito quando:
a) Há consentimento do titular dos dados
b) É necessário para a execução de um contrato no qual o titular dos dados é parte
c) É necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo
tratamento esteja sujeito
d) É necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular
e) É necessário ao exercício de funções de interesse público ou ao exercício da autoridade
pública
f) É necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo
tratamento ou por terceiros
6. Significado de Consentimento neste Regulamento
O Regulamento define consentimento como uma manifestação de vontade, que deve ser livre,
específica, informada e explícita. Essa manifestação de vontade representa a aceitação, que deve
ser uma acção positiva, que os dados pessoais que lhe dizem respeito sejam objecto de
tratamento. Significa isto que o consentimento tácito é manifestamente tido por inválido.
Se o tipo de tratamento, nomeadamente quando utilize novas tecnologias e tendo em conta a sua
natureza, âmbito, contexto e finalidades, for susceptível de implicar um elevado risco para os
titulares dos dados, deve ser efectuada uma avaliação de impacto das operações de tratamento
previstas sobre a protecção de dados pessoais.
As regras relativas às transferências de dados pessoais para um país terceiro são reforçadas.
Na ausência de uma decisão de adequação do nível de proteção, os responsáveis pelo tratamento
ou subcontratantes só podem transferir dados pessoais para um país terceiro se tiverem
apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos
oponíveis e de medidas jurídicas correctivas eficazes.
O Regulamento elenca um conjunto de elementos que podem ser utilizados para prever as
garantias adequadas, sem requerer nenhuma autorização específica de uma autoridade de
controlo, nomeadamente, regras vinculativas aplicáveis às empresas, cláusulas-tipo de proteção
de dados adoptadas pela Comissão, códigos de conduta devidamente aprovados, processo de
certificação aprovado.
Em determinadas situações o titular dos dados tem o direito de receber os dados pessoais que
lhe digam respeito e que tenha fornecido a um responsável pelo tratamento e o direito de
transmitir esses dados a outro responsável por tratamento.
16. Protecção de Dados desde a sua Génese
O responsável pelo tratamento deverá adoptar orientações internas e aplicar medidas que
respeitem, em especial, os princípios da protecção de dados desde a génese, podendo tais
medidas incluir a minimização do tratamento de dados pessoais, a pseudonimização de dados
pessoais, encriptação, entre outros.