Na “Era da Informação”, a proteção de informações pessoais e sensíveis tornou-se cada vez mais imperativa como forma de garantir a privacidade. Desde 1981, a Convenção n. 108 do Conselho da Europa examinou preocupações sobre o tratamento automatizado de dados pessoais, sendo o primeiro instrumento jurídico internacional adotado nas áreas da proteção de dados.
Com os avanços das tecnologias de informação, como a Internet, surgiu a necessidade de adequar a legislação sobre proteção de dados, pelo Regulamento (UE) 2016/679, Regulamento Geral de Proteção de Dados ou RGPD, e Lei 58/2019, de agosto 8, que assegurou a execução do RGPD em português, posteriormente aprovado.
Desta forma, como empresas públicas ou privadas e pessoas singulares que recolhem, armazenam, transmitem, estruturam e preservam os dados pessoais, são considerados responsáveis pelo tratamento dos dados e devem fazê-lo de forma lícita, leal e transparente, de acordo com as GDPR e legislação nacional.
Além disso, o GDPR é aplicável a entidades que tratem de dados pessoais de residentes no espaço europeu, ainda que previsto para a União Europeia. Portanto, qualquer empresa em todo o mundo pode ser considerada responsável pela gestão injusta de dados se pertencer a um residente na UE, independentemente da sua nacionalidade.
Normas de protecção de dados
As infracções podem implicar o pagamento de coimas da ordem dos 500 a 20 milhões de euros, dependendo da proporção da empresa. Em Portugal, a Comissão Nacional de Proteção de Dados de Portugal (CNPD) é uma autoridade nacional de controlo para efeitos do RGPD competente para aplicar multas.
Além disso, a figura do Data Protection Officer (EPD) ou Data Protection Officer (DPO) foi criada pela legislação recente. Para as entidades públicas, é sempre obrigatória a designação de uma EPD, enquanto nas empresas do setor privado a obrigação de contratar uma EPD é principalmente imposta em dois casos: (i) se a atividade principal consistir no tratamento de dados relevantes – informações pessoais como etnia, religião, orientação sexual, etc; ou (ii) quando houver processamento em grande escala que requer gerenciamento regular e sistemático de dados.
Conforme indicado pelo Grupo de Trabalho 29 – um conselho consultivo europeu independente sobre proteção de dados e privacidade [1] – uma empresa que não é obrigada por lei a designar um EPD e não pretende designá-lo por sua própria conta, pode usar consultores externos para garantir o cumprimento das disposições do RGPD e da legislação nacional.
Consultoria GDPR
Martins Castro é composto por advogados e consultores de tecnologia da informação que auxiliam diretamente empresas nacionais e internacionais na busca de uma gestão adequada dos dados processados.
O nosso serviço de consultoria oferece não só segurança aos clientes ao prevenir futuras infrações, mas também adequa necessidades específicas do negócio de acordo com as regras do GDPR, bem como a legislação nacional relativa ao tratamento correto de forma lícita, justa e transparente.
Os serviços consistem em:
– Gestão de contratos em conformidade com o GDPR;
– Análise de risco na criação ou alteração de procedimentos e implementação de novas tecnologias;
– Definição da política de privacidade;
– Desenvolvimento de relatório de avaliação de proteção de dados;
– Planejamento de prevenção para gerenciamento de dados;
– Procedimentos em caso de violação da proteção de dados.
[1] https://www.cnpd.pt/home/rgpd/docs/wp243rev01_pt.pdf
Legislação relacionada:
Regulamento Geral de Proteção de Dados, GDPR, Lei 58/2019, de 08 de agosto