Skip BreadcrumbHome / Fiscalidade / Tratamento e circulação de dados pessoais na Europa

Empresas - Particulares

Tratamento e circulação de dados pessoais na Europa

O novo regulamento que estabelece as regras de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados será aplicável a partir de 25 de maio de 2018. Vai regular os tratamentos de dados pessoais por meios automatizados, bem como o tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados, incluindo o tratamento de dados pessoais por instituições, órgãos, organismos ou agências da União Europeia (UE).

Os dados pessoais traduzem-se em informação relativa a uma pessoa singular identificada ou identificável - que é o titular dos dados. Uma pessoa será identificável (direta ou indiretamente) por referência a um identificador como um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Ficam fora destas regras os tratamentos de dados pessoais efetuados pelas pessoas singulares no exercício de atividades exclusivamente pessoais ou domésticas e os que sejam efetuados pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

Estarão sob a alçada do novo regulamento os tratamentos de dados pessoais efetuados no contexto das atividades de estabelecimentos de responsáveis por tratamentos ou de subcontratantes situados na UE, independentemente de o tratamento ocorrer dentro ou fora da União e por responsáveis estabelecidos em locais onde se aplique o direito de um Estado-membro por força do direito internacional público. Também se sujeitam ao regulamento os tratamentos de dados pessoais de titulares residentes na UE efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na UE, quando as atividades de tratamento estejam relacionadas com:

  • Oferta de bens ou serviços a esses titulares de dados na UE, independentemente da exigência de os titulares dos dados procederem a um pagamento;
  • Controlo do seu comportamento, desde que esse comportamento tenha lugar na UE.

Qualquer pessoa que sofra danos materiais ou imateriais devido a uma violação do novo regulamento terá direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos. Qualquer responsável envolvido no tratamento será responsável pelos danos causados, bem como o subcontratante, se não tiver cumprido as obrigações que lhe são especificamente dirigidas, ou se não tiver seguido as instruções lícitas do responsável pelo tratamento.

 Novo direito a ser esquecido

O regulamento consagra o direito ao apagamento dos dados - o «direito a ser esquecido». Assim, o titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada.

O apagamento dos dados tem de fazer-se quando ocorra qualquer dos seguintes motivos:

  • os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
  • o titular retira o consentimento em que se baseia o tratamento dos dados e se não existe outro fundamento jurídico para o tratamento;
  • o titular opõe-se ao tratamento e não existem interesses legítimos prevalecentes que o justifiquem;
  • os dados pessoais foram tratados ilicitamente;
  • os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da UE ou de um Estado-membro a que o responsável pelo tratamento esteja sujeito;
  • os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação.

Além disso, o titular dos dados pessoais tem ainda o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito.

Mas o direito ao esquecimento tem exceções.

São elas:

  • o exercício da liberdade de expressão e de informação;
  • o cumprimento de uma obrigação legal que exija o tratamento, para exercício de funções de interesse público ou exercício da autoridade pública do responsável pelo tratamento;
  • motivos de interesse público no domínio da saúde pública;
  • para arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos;
  • declaração, exercício ou defesa de um direito num processo judicial.

Proteção especial das crianças

Conforme prevê o regulamento, as crianças merecem proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais.

Essa proteção específica deverá aplicar-se, nomeadamente, à utilização de dados pessoais de crianças para efeitos de comercialização ou de criação de perfis de personalidade ou de utilizador, bem como à recolha de dados pessoais em relação às crianças aquando da utilização de serviços disponibilizados diretamente às crianças.

O consentimento do titular das responsabilidades parentais não será necessário no contexto de serviços preventivos ou de aconselhamento oferecidos diretamente a uma criança.

Quando se trate de tratamento de dados pessoais em matéria de oferta direta de serviços da sociedade da informação às crianças, é preciso o consentimento dos titulares das responsabilidades parentais sempre que a criança tenha menos de 16 anos.

Contudo, os Estados-membros da UE podem dispor no seu direito uma idade inferior, com uma idade limite mínima de 13 anos.

O responsável pelo tratamento terá de verificar que o consentimento foi dado ou autorizado.

Em matéria de transparência, uma vez que as crianças merecem proteção específica, sempre
que o tratamento lhes seja dirigido, qualquer informação e comunicação deverá estar redigida numa linguagem clara e simples que a criança compreenda facilmente.

Quando esteja em causa a retificação dos dados, este direito tem particularidades quando envolva crianças – nomeadamente quando o titular dos dados tenha dado o seu consentimento quando era criança, não estando totalmente ciente dos riscos inerentes ao tratamento e, mais tarde, queira suprimir esses dados pessoais, especialmente na Internet.

Refira-se ainda que as crianças estão fora da aplicação do tratamento automatizado, ou seja, decisões baseadas em avaliação de aspetos pessoais com efeitos jurídicos, como a recusa
automática de um pedido de crédito por via eletrónica ou práticas de recrutamento eletrónico sem qualquer intervenção humana.

 Tratamento lícito de dados pessoais

O tratamento só é lícito se e na medida em que se verifique pelo menos uma de cinco situações:
o titular dos dados tiver dado o seu consentimento para uma ou mais finalidades específicas. Sendo realizado com base no consentimento, o responsável pelo tratamento terá de poder sempre demonstrar que o titular dos dados deu o seu consentimento;
seja necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
seja preciso para cumprir uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
seja necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
seja necessário para exercer funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
seja para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

O tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas é permitido, mas tem de ser efetuado sob o controlo de uma autoridade pública. Também os registos completos das condenações penais só podem ser conservados sob o controlo das autoridades pública.

Códigos de conduta

Em todos os países da UE se irá promover a elaboração de códigos de conduta para uma correta aplicação do novo regulamento, atendendo às características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas. Associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes poderão elaborar códigos de conduta, alterar ou aditar a esses códigos, em matéria de, nomeadamente:

  • Informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido;
  • Informação prestada ao público e aos titulares dos dados;
  • Exercício dos direitos dos titulares dos dados;
  • Pseudonimização dos dados pessoais;
  • Notificação de violações de dados pessoais às autoridades de controlo e a comunicação dessas violações de dados pessoais aos titulares dos dados; legítimos interesses dos responsáveis pelo ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados em relação ao tratamento em contextos específicos;
  • transferência de dados pessoais para países terceiros ou organizações internacionais.

Coimas

Para reforçar a execução das novas regras, os países da UE terão de impor sanções, incluindo coimas, para além, ou em substituição, das medidas adequadas que venham a ser impostas pela autoridade de controlo.

Em caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode ser feita uma repreensão em vez de ser aplicada uma coima.

A falta de consentimento de crianças ou falhas na proteção de dados estão sujeitas a coimas até 10.000.000 euros ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

A violação de outras disposições estará sujeita a coimas até 20.000.000 euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual. Será o caso de incumprimento dos princípios básicos do tratamento, incluindo as condições de consentimento, violação das regras relativas à informação e acesso aos dados pessoais dos titulares, transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional, incumprimento de uma ordem de limitação relativa ao tratamento ou à suspensão de fluxos de dados emitida pela autoridade de controlo, ou o facto de não facultar acesso.

 

Referências
Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, JO L n.º 1109, de 04.05.2016

 

 


Informação da responsabilidade de LexPoint

© Todos os direitos reservados à LexPoint, Lda
Este texto é meramente informativo e não constitui nem dispensa a consulta ou apoio de profissionais especializados.


 

13.05.2016