PARTE I - Um Procedimento Incontornável para as Empresas - 10 Notas Relevantes sobre o Regulamento
1. Âmbito de Aplicação Subjectivo - A Quem Será Aplicável
O Regulamento aplica-se a todas as entidades que tratem dados pessoais, ou seja, que realizem operações que envolvam dados pessoais, sejam aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efetuam essas operações em regime de subcontratação.
2. Âmbito de Aplicação no Território
Em todo o território da União Europeia.
3. Definição de Dados Pessoais
A definição de dados pessoais é alargada e passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica. Para além disso, passa a existir uma definição do que é a "definição de perfis", "pseudonimização", "dados genéticos", "dados biométricos e "dados relativos à saúde".
4. Tratamento de Dados Pessoais dos Menores
Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança. Os Estados-Membros têm liberdade para legislar uma idade inferior para os efeitos referidos, desde que não seja inferior a 13 anos.
5. Tratamento de Dados Lícito
O tratamento é lícito quando:
a) Há consentimento do titular dos dados
b) É necessário para a execução de um contrato no qual o titular dos dados é parte
c) É necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito
d) É necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular
e) É necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública
f) É necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros
6. Significado de Consentimento neste Regulamento
O Regulamento define consentimento como uma manifestação de vontade, que deve ser livre, específica, informada e explícita. Essa manifestação de vontade representa a aceitação, que deve ser uma acção positiva, que os dados pessoais que lhe dizem respeito sejam objecto de tratamento. Significa isto que o consentimento tácito é manifestamente tido por inválido.
7. Casos em que é Necessário Contratar um "Encarregado da Proteção de Dados" (Data Protection Officer)
Deve ser designado um Encarregado da Proteção de Dados sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo público
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala ou
c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados
8. Avaliação de Impacto sobre a Proteção de Dados
Se o tipo de tratamento, nomeadamente quando utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for susceptível de implicar um elevado risco para os titulares dos dados, deve ser efectuada uma avaliação de impacto das operações de tratamento previstas sobre a protecção de dados pessoais.
A avaliação é obrigatória caso ocorram:
a) Avaliações sistemáticas e completas dos aspectos pessoais, baseada no tratamento automatizado, incluindo a definição de perfis;
b) Operações de tratamento em grande escala de categorias especiais de dados; ou,
c) Controlos sistemáticos de zonas acessíveis ao público em grande escala,
Esta avaliação a ser efectuada antes de iniciar o tratamento deve conter uma descrição sistemática das operações de tratamento previstas e quais as finalidades e fundamentos dos tratamentos, bem como, a avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos, dos riscos para os titulares dos dados e das medidas previstas para fazer face a esses mesmos riscos.
9. Obrigações em Caso de Violações de Dados Pessoais
O responsável pelo tratamento notifica a autoridade de controlo competente da violação de dados pessoais até 72 horas após ter tido conhecimento da mesma. Se este prazo não for cumprido, a notificação à autoridade de controlo deve ser acompanhada dos motivos do atraso. O subcontratante deve notificar o responsável pelo tratamento sem demora injustificada, após ter conhecimento de uma violação de dados pessoais.
Quaisquer violações de dados pessoais devem ser documentadas, compreendendo os factos relacionados com as mesmas, os respectivos efeitos e a medida de reparação adoptada.
Sempre que a violação dos dados pessoais for suscetível de implicar um elevado risco para os titulares dos dados, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada, descrevendo em linguagem clara e simples a natureza da violação dos dados pessoais e fornecendo as informações e recomendações previstas no Regulamento.
10. Direito ao Esquecimento
O Regulamento consagra o Direito ao Apagamento dos Dados ("direito a ser esquecido"), significando isto que o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada.