O que é o RGPD, que tanto está a assustar empresas?

Novas regras da Protecção de Dados estão a chegar. O que muda?

Regulamento Geral de Protecção de Dados

O RGPD ou Regulamento Geral de Protecção de Dados vai entrar em vigor em toda a União Europeia (UE) no dia 25 de Maio. Abrange todas as empresas e organizações, independentemente da sua dimensão ou nacionalidade (o que importa é que actuem em países da União Europeia), e significa para nós – utilizadores da Internet – mais protecção da nossa informação pessoal. Quem não cumprir as novas regras vai sofrer severas sanções.

O que é o Regulamento Geral de Protecção de Dados?

Um dos temas continuamente esmiuçados é a privacidade (ou falta dela) de quem navega online e a utilização por parte de tecnológicas e outras empresas de dados pessoais nos seus modelos de negócio. Para fazer face a esta problemática, no dia 25 de Maio, vão ser implementadas novas regras de protecção de dados – Regulamento Geral de Protecção de Dados (RGPD).

Segundo a União Europeia, este regulamento “estabelece regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE”. Actualmente, em Portugal, a protecção de dados é regulamentada pela lei nº67/1998.

O RGPD reconhece que o mundo evoluiu para um nível em que já não nos sentimos seguros e onde a nossa liberdade individual é posta em causa – caso do Facebook, que, como se sabe, faz dinheiro com os dados de mais de 2 mil milhões de utilizadores. Na verdade, quando nos inscrevemos em redes sociais, como o Facebook, Instagram ou Twitter, e concordamos com os seus “termos e condições”, estamos logo aí a permitir que essas plataformas digitais tenham acesso a informações pessoais que muitas vezes nem imaginamos que lhes estamos a dar, e isso não acontece só com essas empresas. Outro exemplo clássico encontramos nas nossas caixas de e-mail e na centena de vezes em que o nosso e-mail acaba em listas que não subscrevemos.

Quem é abrangido pelo RGPD?

O Regulamento Geral de Protecção de Dados é aplicável a todas as empresas e organizações – públicas ou privadas, grandes ou pequenas – que efectuem tratamento de dados pessoais e que actuem dentro da União Europeia. Quer isso dizer que mesmo uma entidade constituída fora do espaço europeu, como o Facebook ou a Google, é afecta pelo RGPD se oferecer “bens/serviços (pagos ou gratuitos)” ou controlar o “comportamento de pessoas” na União Europeia.

Contudo, no caso de se tratar de uma pequena ou média empresa (PME) cuja “parte principal do seu negócio” não seja o tratamento de dados pessoais e cujo negócio não crie “riscos para as pessoas”, “então algumas obrigações do RGPD não se aplicam” – é o caso da obrigação a contratar uma pessoa que fique encarregue da protecção de dados. Nesta página, a União Europeia é clara: “Do mesmo modo, as PME apenas terão de nomear um encarregado da protecção de dados se o tratamento for o seu principal negócio e constituir uma ameaça específica aos direitos e liberdades das pessoas (como o controlo de pessoas ou o tratamento de dados sensíveis ou registos criminais), sobretudo por ser efectuado em grande escala.”

Que informações têm as empresas de prestar às pessoas?

As empresas e organizações que recolham e, por consequente, tratem dados pessoais ficam obrigadas a informar as pessoas do seguinte:

  • que essa recolha está a ser feita;
  • porque é que essa recolha é feita (isto é, qual a finalidade dos nossos dados);
  • que informações nossas estão a ser recolhidas;
  • durante quanto tempo são conservados os dados;
  • quem mais, além da empresa que recolhe, poderá receber os dados;
  • se os dados serão transferidos a alguém ou alguma entidade fora da UE.

Estas informações podem ser providenciadas gratuitamente “por escrito ou oralmente” a pedido do utilizador, com “de forma concisa, transparente, inteligível e de fácil acesso” e “utilizando uma linguagem clara e simples”. Mais, as pessoas devem ser informadas sobre se existem “decisões automatizadas e a lógica envolvida, incluindo as suas consequências”, no tratamento da informação – isto é, se os seus dados são processados de forma automatizada para, por exemplo, envio de campanhas de marketing por e-mail.

Que direitos é que ganhamos enquanto pessoas?

Com a chegada deste novo regulamento, passamos a ter uma melhor clarividência do que é feito com os nossos dados, que informações são recolhidas e para que são utilizadas. As empresas ficam obrigadas a confirmar se estão ou não a efectuar o tratamento de dados pessoas que nos digam respeito. Para além disso, ganhamos também o direito a obter uma cópia dos seus dados de uma forma que não seja demasiado complicada para nós e que não tenha qualquer custo.

Eis o exemplo do Facebook:

A União Europeia esclarece ainda que “o exercício do direito de acesso está estreitamente ligado ao exercício do direito à portabilidade dos dados, que permite à pessoa transmitir os seus dados para outra organização”.

Podemos pedir a eliminação dos nossos dados a uma empresa?

As pessoas tendem a achar que os seus dados, uma vez estando armazenados determinada rede, não podem ser retirados dessa plataforma. Errado. Com o RGPD, ganhamos o direito a pedir que os nossos dados sejam eliminados se os mesmos estiverem a ser tratados para uma comercialização directa, recolha de estatísticas ou se estiverem a ser usados de forma ilícita.

As empresas e organizações têm de apagar os dados das pessoas se estes foram recolhidos quando ela era menor.

Quando é que não pode apagar?

Contudo, uma empresa pode continuar a tratar dos seus dados pessoais, apesar de nós não aceitarmos, em determinadas situações:

  • quando são necessários para exercer o direito à liberdade de expressão;
  • no caso de uma obrigação jurídica que obrigue uma empresa/organização a conservar os dados;
  • por motivos de interesse público (saúde pública, investigação científica ou histórica).

Um exemplo que pode ajudar a clarificar esta questão pode ser o facto de uma pessoa comprar um bilhete a uma empresa para ver a sua banda preferida tocar. Depois da transacção, passa tradicionalmente a receber publicidade/campanhas direccionadas sobre futuros eventos no quais, se calhar, não está interessado. Automaticamente, a pessoa informa a empresa de que não quer receber mais esse tipo de informação e a organização tem de cessar o tratamento dos seus dados para efeitos de comercialização directa.

Nesta página, a União Europeia dá um exemplo prático para organizações que sejam responsáveis por um órgão de comunicação social como o Shifter: “A sua empresa/organização gere um jornal online. Um dos seus jornalistas publica um artigo sobre um político acusado de branqueamento de capitais em bancos offshore. O político pede-lhe que elimine o artigo em questão porque os seus dados pessoais estão a ser objecto de tratamento. Uma vez que está a utilizar os dados pessoais para exercer o direito à liberdade de expressão, em princípio não será obrigado a apagar os dados. No entanto, tal dependerá da legislação nacional em vigor.”

Durante quanto tempo as empresas podem ficar com os nossos dados?

Em outros casos, os dados podem não ser pagados de imediato. Como exemplo, temos o caso de um banco, que é obrigado a conservar todos os dados de um cliente durante dez anos. A pessoa pode sim, solicitar a limitação do tratamento dos seus dados pessoais.

Contudo, regra geral, “os dados devem ser conservados durante o mínimo de tempo possível” e as empresas “estabelecer prazos para o apagamento ou revisão dos dados conservados”. A União Europeia diz ainda que “os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios. Sempre que possível, é preferível utilizar dados anónimos. Sempre que sejam necessários dados pessoais, estes devem ser adequados, pertinentes e limitados ao que é necessário relativamente à finalidade em questão”.

A questão dos menores

As empresas só podem controlar as informações das crianças com o consentimento explicito do progenitor até uma determinada idade. Isto porque o limite para obter o consentimento parental varia entre os 13 e os 16 anos, dependendo da idade definida em cada país.

Visto que existe uma panóplia gigante de tecnologias, tem de ser feito um esforço para que seja possível controlar ver se está tudo em conformidade com a lei da UE. Uma tarefa que se antevê complicada, porque uma criança de 13/14 anos, ou até menos, facilmente consegue enganar estas redes e mentir na sua idade apesar de todas as perguntas de controlo. Para verificar qual é a idade definida no teu país, clica aqui.

Caso uma empresa ou organização tenha como público-alvo as crianças, é imprescindível que a sua linguagem seja clara e simples, e de fácil compreensão.

O que acontece a quem infringir as regras?

Caso o novo regulamento, imposto a 25 de Maio, não seja cumprido por uma determinada empresa ou organização, a UE criou um regime de sanções que inclui coimas que podem chegar até aos 20 milhões de euros ou 4% do volume de negócios anual.

Para mais detalhes sobre o RGPD, recomendamos a consulta desta página da UE, bastante clara e elucidativa das mudanças a caminho e do que vai mudar no dia 25.