A alteração na regulação na Proteção de Dados Pessoais

  • Cláudia Fernandes Martins
  • 17 Outubro 2017

A advogada sénior da Macedo Vitorino & Associados analisa os procedimentos que as organizações terão de adotar para cumprir com as novas exigências do novo regime da Protecção de Dados.

Se compararmos o Regulamento Geral de Proteção de Dados (“RGPD”) com a atual Lei de Proteção de Dados Pessoais parecem não existir alterações significativas ao nível dos princípios de proteção de dados. Os conceitos, os princípios fundamentais a que devem obedecer os tratamentos de dados e os respetivos fundamentos de licitude permanecem intocáveis.

As alterações, essas sim significativas, verificam-se ao nível das regras do jogo e da operacionalização desses princípios e com um impacto relevante no dia-a- dia das organizações, independentemente da sua dimensão, área de negócio e/ou setor de atividade. A questão da proteção dos dados pessoais não surge direta e necessariamente relacionada com a dimensão da empresa, a sua área de negócio, e/ou o respetivo setor de atividade, o que não significa que não existam setores de atividade sujeitos a um escrutínio mais rigoroso, como as áreas da saúde, financeira, seguros, comunicações eletrónicas, retalho.

Todas as empresas, que, no exercício da sua atividade tratem dados pessoais estarão sujeitas às novas exigências do RGPD. Difícil será dizer aquelas que não ficarão sujeitas, se é que este exercício é possível de ser feito! O ponto de partida é, sem dúvida, saber quais são as novas regras e os procedimentos que as organizações terão de adotar para cumprir com as novas exigências a partir de 25 de maio de 2018.

De entre as alterações introduzidas, destacaria uma, que considero central, e com um forte impacto ao nível da dinâmica das organizações: a alteração do modelo de regulação. O atual modelo de regulação é um modelo de hétero-regulação, em que as empresas estão obrigadas a notificar ou obter autorização da Comissão Nacional de Proteção de Dados para o tratamento de dados. Com a entrada em vigor do RGPD, o modelo de regulação passará a ser um modelo de autorregulação, ou seja, as organizações passam a ser responsáveis pela interpretação e operacionalização do RGPD, bem como por assegurar, de forma contínua, o cumprimento do RGPD e ficando sujeitas a fiscalização e supervisão da autoridade de supervisão. Uma avaliação prévia do impacto será apenas obrigatória nos casos em que exista um elevado risco para os direitos, liberdades e garantias dos cidadãos.

É, por isso, fundamental que as empresas, que realizem tratamentos de dados pessoais, comecem por perceber qual é o seu perfil de risco, o que implicará um autoconhecimento profundo da organização, exercício a partir do qual devem avaliar o que deve ser feito para se prepararem para o
RGPD.

Na data de hoje, se olharmos para realidade portuguesa, conseguimos distinguir, em termos de preparação para o que aí vem, diferentes níveis de maturidade. Segundo o estudo da KPMG de março de 2017, as empresas portuguesas estão atrasadas na implementação do RGPD. De um universo de 101 empresas participantes no estudo, 85% afirmaram que ainda não tinham iniciado um processo de implementação de medidas efetivas, ainda que 65% tivessem mencionado possuir um grau de consciência médio ou alto sobre o impacto do RGPD.

– 2 –

Acreditamos que, a mais de seis meses da elaboração deste estudo, este cenário se tenha alterado, embora não muito significativamente. Pela nossa experiência, há empresas, em particular empresas que atuam em setores regulados e filiais portuguesas de grandes empresas estrangeiras, que se encontram num nível mais avançado com iniciativas de implementação do RGPD; o restante universo, sobretudo as PME’s e o setor público, encontra-se, porém, num nível ainda embrionário, que varia entre o desconhecimento e/ou o desinteresse face às novas regras e o receio do aproximar da data de entrada em vigor do RGPD, e sem que um plano definido de ação tenha ainda sido traçado.

No plano das medidas a adotar, é preciso ter consciência que não há uma solução universal, que possa ser indistintamente aplicável a todas as organizações e que estas terão de se preparar, não apenas tendo em vista a data de início de vigência do RGPD, mas de uma forma contínua. O que está
em causa é, sem dúvida, um processo contínuo de adaptação das organizações ao RGPD e que obrigará as empresas a reverem a forma como lidam com o tratamento de dados pessoais hoje e no futuro. É caso para dizer que há mais vida para além de 25 de maio de 2018.

  • Cláudia Fernandes Martins

Comentários ({{ total }})

A alteração na regulação na Proteção de Dados Pessoais

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião