Novo RGPD — figuras e obrigações

Autor:
Sérgio Ferreira
Auditor e Coordenador Digital & Innovation, SGS Portugal
 

O Regulamento Geral sobre Proteção de Dados (RGPD) representa uma mudança de paradigma na proteção de dados pessoais, passando de uma lógica centrada nas organizações que tratam dados pessoais para uma lógica alinhada com a proteção dos titulares dos dados. 

O RGPD trouxe uma inversão do ónus de prova, que antes do RGPD estava do lado do titular dos dados e que agora passa a estar do lado das organizações. De uma forma prática, isto significa que quem trata dados pessoais passa então a ter a obrigação de provar em que situações é que processou esses dados, para que fim e porquê, quando no passado bastava submeter um pedido de autorização prévia à autoridade competente.

Esta e outras novidades, sempre colocando a responsabilidade de uma atuação dentro da legalidade e capaz de salvaguardar a privacidade dos indivíduos singulares do lado das organizações, vem introduzir um conjunto de figuras e obrigações dentro das empresas.

Responsáveis pelo tratamento dos dados

O Data Protection Officer (DPO) pode ser interno ou externo, e a sua nomeação é obrigatória em determinados casos, como para autoridades e organismos públicos (excetuando os tribunais).

Nos termos do artigo 4.º do RGPD, define-se ainda a figura do “subcontratante”, uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais no lugar do original responsável pelo seu tratamento.

Novas obrigações

O RGPD apresenta novos conceitos que representam novos desafios para as organizações que tratam dados pessoais, independentemente de serem “Responsáveis pelo tratamento” ou “Subcontratantes”.

Notificação de violação de dados pessoais: em caso de violação de dados pessoais, o responsável pelo tratamento é obrigado a notificar esse facto à autoridade de controlo competente sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma. Quando essa violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento também é obrigado a comunicar a violação de dados pessoais aos titulares dos dados sem demora injustificada.

Proteção de dados desde a conceção e por defeito: o responsável pelo tratamento é obrigado a aplicar, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a anonimização de dados ou controlos de acesso, destinadas a aplicar com eficácia os princípios da proteção de dados, e a incluir as garantias necessárias no tratamento, de forma a que este cumpra os requisitos do RGPD e proteja os direitos dos titulares dos dados.

Registo das atividades de tratamento: cada responsável ou subcontratante que efetue o tratamento de dados é obrigado a conservar um registo de todas as atividades de tratamento sob a sua responsabilidade. Deve conservar, por exemplo, o nome e os contactos do responsável pelo tratamento e do DPO, as finalidades do tratamento, a descrição das categorias de titulares de dados e das categorias de dados pessoais envolvidos no tratamento.

Avaliação de impacto sobre a proteção de dados: quando um certo tipo de tratamento, particularmente um que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Por exemplo, sempre que a organização utilize um novo software de tratamento de dados ou execute o tratamento de um novo tipo de dados (dados especiais).