Está a pensar abrir uma empresa e vai ser necessário recolher, armazenar ou utilizar dados pessoais dos clientes? Então saiba que que existem regras específicas a seguir de acordo com o RGPD - Regulamento Geral sobre a Proteção de Dados. E caso não as cumpra, a sua empresa fica sujeita à aplicação de coimas bastante elevadas.
A quem se aplica o RGPD?
- uma empresa ou entidade que efetue o tratamento de dados pessoais com sede ou sucursal na Uniao Europeia, independentemente do local onde os dados são tratados; ou,
- uma empresa com sede fora da UE mas que oferece bens/serviços (pagos ou gratuitos) e que para isso tem acesso a dados de pessoas na UE.
Dados recentes da Comissão Europeia mostram que "apenas 15% das pessoas sentem que têm o controlo absoluto sobre as informações que fornecem na internet".
Porque razão sentiu a União Europeia necessidade em elaborar o RGPD?
A palavra de ordem é. harmonização sobre o tema da privacidade. Foi sentido que este tema da protecçao da privacidade nos dados estaria a ter diversas interpretações entre os vários países da UE, colocando desta forma, em causa , a proteççao da privacidade dos dados
Não nos podemos esquecer que a Privacidade é um direito fundamental à dignidade humana.
Na verdade esta desarmonização foi sentida por legisladores e reguladores da União Europeia que consideraram que a legislação que vigorava antes do RGPD, não protegia suficientemente os direitos de privacidade de dados dos titulares ao utilizarem redes sociais e serviços na internet.
O que é o RGPD?
O RGPD (Regulamento Geral sobre a Proteção de Dados) entrou em vigor no dia 25 de maio de 2018, de forma a estabelecer regras relativas à proteção, tratamento, armazenamento e livre circulação dos dados pessoais das pessoas singulares.
Este regulamento é um conjunto de regras definidas pela União Europeia, que garantem a proteção da privacidade dos titulares que fornecem dados a empresas, concedendo o controlo aos titulares destes dados.
Ou seja, antes da aprovação deste regulamento, as empresas "assumiam" a propriedade dos dados pessoais dos seus clientes e não só. Mas atualmente é evidente que a propriedade dos dados não pertence às empresas que os recolhem ou processam, e sim dos titulares.
Isto significa que o RGPD concede aos titulares dos dados vários direitos entre eles o direito de acesso aos seus dados a todo o momento , o direito à retificação dos seus dados, o direito a Oposiçao na utilização de dados pessoais para fins de "criação de perfis“, o Direito à Legitimidade no tratamento dos seus dados, o Direito ao Esquecimento e/ou apagamento dos seus dados, e o Direito à portabilidade.
O Direito ao apagamento dos dados pessoais poderá em algumas situações não ser possível , em situações previstas na legislação. De qualquer forma cabe a Entidade ou empresa justificar e apresentar um motivo legalmente válido para não realizar o apagamento de dados a pedido do titular.
E o que são considerados dados pessoais? Dados pessoais são todos os dados ou informações que permitem identificar uma pessoa em particular, de forma direta ou indireta, sem esforço razoável.
Por exemplo, informações como nome, morada, endereços de email, números de telefone, NIF ou número do cartão do cidadão, número de contas bancárias.
O RGPD traz também uma nova categoria de dados são eles os dados sensíveis.
E o que são dados sensíveis? São todos os dados biométricos e genéticos, clínicos e ainda dados sobre a raça, etnia, religião, opiniões políticas e orientação sexual
Quais os princípios a seguir no tratamento de dados pessoais dos clientes?
Segundo o Regulamento Geral sobre a Proteção de Dados, as empresas devem seguir determinados princípios na hora de tratarem os dados pessoais, destacando-se os seguintes sete princípios:
- Os dados pessoais devem ser tratados de forma lícita, leal e transparente em relação ao titular dos dados.
Neste principio o RGPD traz como pilar fundamental ,o consentimento prévio e esclarecido , como forma de licitude.
Mas o que é o Consentimento prévio?
É uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento para aquelas finalidades.
2. Estes dados devem ser recolhidos para certas finalidades explícitas e legítimas. Ou seja, a sua empresa não poderá tratar posteriormente estes dados de forma incompatível com a finalidade que usou para recolhê-los. Atenção que existem exceções quando o tratamento é para fins de arquivo de interesse público, investigação científica, histórica ou para fins estatísticos (deve consultar o artigo 89.º do RGPD artigo nº1).
3. Os dados recolhidos devem ser adequados, pertinentes e limitados ao que é necessário para concretizar a (as) finalidade(s). Ou seja, apenas deve recolher o mínimo de dados possíveis para alcançar a finalidade que comunicou ao titular dos dados.
4. As empresas que recolhem dados pessoais devem tratar os dados de forma exata e atualizá-los sempre que seja necessário. Todos os dados inexatos devem ser apagados ou retificados o mais breve possível.
5. Outro dos princípios é que deve conservar os dados de forma a permitir a identificação dos titulares apenas pelo período necessário de acordo com as suas finalidades. Contudo, existem dados que podem ser conservados durante um período de tempo mais elevado, como os referidos no artigo 89.º do RGPD.
6. O sexto princípio é que os dados devem ser tratados de uma forma segura. Isto significa que estes dados devem ser protegidos contra o tratamento não autorizado, ilícito e contra a sua perda, destruição ou danificação acidental. Na prática isto quer dizer que a sua empresa deve adotar medidas técnicas ou organizativas para garantir a integridade e confidencialidade dos dados pessoais dos seus clientes.
7. O último princípio a considerar é o de responsabilidade. As empresas serão responsáveis pela utilização incorreta dos dados ou por eventuais danos causados pelo acesso indevido aos mesmos. E é neste sentido que o RGPD introduz coimas avultadas. A coima por incumprimento da privacidade de dados sempre foi uma realidade, mas a novidade no RGPD são os valores das coimas que poderão corresponder que pode corresponder a 4% do volume de negócios anual global da sua empresa até aos 20 milhões de euros.
Quais são as principais regras?
O RGPD e as leis relativas à proteção de dados definem inúmeras regras e são documentos bastante extensos que deve consultar com tempo e com atenção. Contudo, para ter uma ideia geral das principais regras impostas por este regulamento, apresentamos um pequeno resumo do que deve saber.
- Na hora de recolher dados e informar as pessoas sobre o que fará com estes dados pessoais use uma linguagem simples. Explique aos consumidores quem é, porque precisa dos seus dados pessoais, porque é que vai tratar destes dados, quem irá recebê-los e durante quanto tempo serão conservados.
- Ao celebrar contratos, apresentar documentos sobre obrigações legais, etc., a sua empresa deve apresentar aos clientes um documento que garante a forma de licitude escolhida, o o consentimento prévio da recolha e tratamento de dados pessoais é uma forma de licitude. Atualmente, o consentimento é um dos fundamentos legais para o processamento de dados. E por isso, toda a informação deve ser apresentada de forma clara e afirmativa. Assim, as pessoas saberão exatamente o que estão a consentir.
- Qualquer pessoa tem direito a aceder aos dados que forneceu. Segundo o artigo 15.º do RGPD as pessoas podem solicitar o acesso aos seus dados pessoais a qualquer altura. Ou seja, qualquer pessoa pode solicitar informações sobre quais são as finalidades do tratamento dos dados, as categorias em que se inserem, os destinatários, o prazo de conservação, como foram recolhidos, se os seus dados estão sujeitos a decisões automatizadas (por meios tecnológicos sem envolvimento humano), etc.
- Direito ao esquecimento: A sua empresa deve garantir, quando solicitado, que os dados pessoais são apagados, desde que isso não coloque em causa a liberdade de expressão ou capacidade de pesquisa. Além disso, também deverá assegurar o direito à limitação do tratamento. Isto significa que ao alcançar a finalidade inicial e confirmar a inutilidade dos dados, estes podem e devem ser apagados.
- A sua empresa deve conceder às pessoas o direito de portabilidade dos dados fornecidos. Isto significa que se um cliente autoriza a transmissão automática dos seus dados a um novo fornecedor, deverá proceder à portabilidade dos dados.
- Dê às pessoas o direito de oposição. Por exemplo, segundo as regras do RGPD, as empresas devem garantir que as pessoas podem escolher se pretendem ou não receber campanhas de marketing direito com os seus dados pessoais.
- No caso da sua empresa utilizar a caraterização de perfis para processar pedidos de acordos juridicamente vinculativos, como empréstimos, terá de informar os seus clientes de tal. Além disso, deve certificar-se que o processo é feito por uma pessoa se o pedido for recusado. Por fim, o requerente pode contestar a decisão, e todo o procedimento de caraterização de perfis deverá seguir a base legal mais adequada.
- Se a sua empresa trata dados sobre saúde, raça, orientação sexual, religião ou convicções políticas deve ter salvaguardas medidas de proteção extraordinárias para essas informações.
- Todos os dados pessoais recolhidos devem ser salvaguardados de forma segura desde a primeira fase, com acesso limitado apenas a quem tem necessidade de aceder aos dados para cumprimento das finalidades de tratamento.
- E não se esqueça, caso um titular exerça , por escrito, algum dos seus direitos como por exemplo o direito ao apagamento dos dados tem no máximo 30 dias para responder a este pedido.
Quais as regras do RGPD quanto a dados pessoais de menores de idade?
Por norma, a recolha de dados pessoais de menores levanta algumas questões quanto às regras estabelecidas no RGPD. Teoricamente, a recolha de dados pessoais de menores de 16 anos de idade requer o consentimento dos responsáveis legais do menor. No entanto, o Regulamento Geral sobre a Proteção de Dados dá a liberdade para os Estados Membros da União Europeia reduzirem esta limitação entre os 13 e os 16 anos de idade.
Após diversas discussões, em 2019, Portugal definiu os 13 anos como idade mínima para o consentimento requerido pelo RGPD, ou seja, para menores de 13 anos é obrigatório o consentimento prévio na utilização dos dados pelos responsáveis legais do menor .Contudo, as empresas devem sempre comprovar a idade dos menores, devendo dar preferência a meios de autenticação segura.
A minha empresa precisa de um encarregado de proteção de dados?
Depende. Na verdade, nem sempre é obrigatório uma empresa ter um responsável pela proteção de dados. De acordo com o RGPD, esta obrigação depende da quantidade de dados que a sua empresa recolhe, se o tratamento de dados é a sua atividade principal e se o faz em grande escala.
Contudo, as entidades públicas estão sempre obrigadas a ter um responsável pela proteção de dados, designado de EPD. Já as empresas que tratem dados sensíveis ou dados relativos a condenações penais e infrações também estão obrigadas a ter um EPD.
Caso tenha dúvidas, deixamos aqui três exemplos de atividade que requerem a contratação de um responsável pela proteção de dados:
- Recolha e tratamento de dados pessoais para selecionar publicidade através de motores de busca com base nos comportamentos das pessoas em linha;
- Tratamento de dados sensíveis sobre genética e saúde.
- Empresas Publicas
Contudo, avalie bem esta situação. Afinal, cabe à empresa avaliar se o tratamento de dados exige ou não a designação de um EPD. Ou seja, a Comissão Nacional de Proteção de Dados não se pronuncia sobre casos concretos, e por isso é a sua empresa que terá de fazer essa avaliação.
Apenas uma nota: caso a sua empresa contrate um Encarregado de Proteção de Dados deve comunicar à CNPD.
O que acontece caso se incumprir o RGPD?
Como referido, em Portugal é a Comissão Nacional de Proteção de Dados que efetua o controlo do cumprimento do RGPD, sendo este processo coordenado a nível da União Europeia. No entanto, saiba que se a sua empresa entrar em incumprimento, as coimas são bastante elevadas.
Por norma, a falta de cumprimento das regras gera uma advertência numa primeira fase, passando posteriormente a um processo de reprimenda. Caso o incumprimento se mantenha então a sua empresa ficará a suspensa do tratamento de dados. A partir daí aplica-se uma coima que pode chegar até aos 20 milhões de euros. No entanto, também existe a possibilidade de a coima corresponder a 4% do volume de negócios anual global da sua empresa.
Em Portugal foi-se ainda mais longe na parametrização das coimas, dado que se definiram valores mínimos caso se trate de uma contraordenação grave ou muito grave.
Assim, estão previstos os seguintes valores por tipologia de contraordenação:
No caso de uma contraordenação grave, as coimas mínimas previstas são:
- 1.000€ para PME;
- 2.500€ para grandes empresas;
- 500€ para pessoas singulares.
No caso de uma contraordenação muito grave, as coimas mínimas previstas são:
- 2.000€ para PME;
- 5.000€ para grandes empresas;
- 1.000€ para pessoas singulares
Assim, é fundamental que a sua empresa esteja bem informada sobre as regras do RGPD para garantir o cumprimento de todos os princípios legais e obrigações.
Onde posso ter acesso à totalidade das regras do RGPD?
As regras, normas, direitos e deveres das empresas e titulares dos dados constam no Regulamento Geral sobre a Proteção de Dados, que está disponível em português no site da Comissão Nacional de Proteção de Dados, mais concretamente no separador "Legislação".
Afinal, é a CNPD que controla e fiscaliza o cumprimento do RGPD em Portugal, bem como das disposições legais impostas na Lei 58/2019, Lei 59/2019 e da Lei 41/2004, entre outras matérias relativas à proteção de dados pessoais. Ou seja, a Comissão Nacional de Proteção de Dados controla e fiscaliza a proteção de dados para defender os direitos, liberdades e garantias das pessoas singulares.
Já em relação às empresas, estas devem colaborar com a CNPD, facultando as informações solicitadas, bem como o acesso ao sistema informático, a ficheiros de dados pessoais ou a qualquer documentação relativa a tratamento de dados pessoais.
Leia ainda: Estou a pensar abrir uma empresa. Como funciona o IRC?
(Artigo atualizado com mais informação no dia 3 de junho de 2022)