A nova legislação sobre a proteção de dados pessoais (NRPD) cobre a totalidade da economia. Não diz respeito apenas às redes sociais, às empresas de marketing ou de segurança, não diz respeito apenas às tecnologias de informação. Este novo regulamento impacta em todos os setores e todas as empresas serão afetadas. Veja como.
A nova legislação sobre a proteção de dados pessoais (NRPD) cobre a totalidade da economia. Não diz respeito apenas às redes sociais, às empresas de marketing ou de segurança, não diz respeito apenas às tecnologias de informação. Este novo regulamento impacta em todos os setores: seja nas finanças, no retalho, nos transportes ou nos serviços. Este ato normativo da UE regula a forma como todas as empresas recolhem, registam, organizam, estruturam, conservam, adaptam, alteram, recuperam, consultam, utilizam ou divulgam os dados pessoais. Todas as empresas serão afetadas.
NRPD - regular direitos fundamentais ou regular um novo mercado?
A este passo poderíamos questionar: a UE pretende regular direitos fundamentais ou procura regular um novo mercado? Diríamos: ambos. O interesse dos mercados e dos cidadãos. Esse é o grande objetivo: equilibrar os interesses do mercado e os interesses e direitos dos cidadãos.
A cerca de 10 meses do início da aplicação direta do Regulamento UE 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, podemos dizer que são muitas as dúvidas, mas muito mais os desafios que se colocam a todos aqueles a quem se aplica o regulamento.
Através deste ato normativo a UE além de regular o exercício e a proteção de um direito fundamental, considera poder intervir no mercado de diversas formas. Essa intervenção poderá concretizar-se através da criação de novos produtos e novos serviços e até criar novos mercados ou profissões (por exemplo a de encarregado de proteção de dados).
O regulamento preconiza afinal uma nova cultura de respeito pela privacidade nas empresas e na vida em geral, potenciada por uma nova gestão estratégica, consequência de uma necessária mudança organizacional a qual exige toda uma nova gama de competências e comportamentos. Com um regime de novos direitos, novos conceitos, novos deveres e obrigações, o regulamento pressupõe um vasto conjunto de desafios à gestão de todas as entidades às quais se aplica.
Matérias tratadas pelo NRPD
São inúmeras as matérias tratadas por este novo regulamento, sendo de salientar as seguintes:
i) o novo regime das coimas;
ii) a figura do encarregado de proteção de dados;
iii) a mudança da heteroregulação para a autorregulação no tratamento de dados;
iv) o desenho de sistemas de segurança e avaliação de risco;
v) novos direitos dos titulares dos dados;
vi) os novos requisitos do consentimento para o tratamento de dados;
vii) o regime de notificação de violação de dados pessoais;
viii) a nova política de compliance.
Estamos perante um enorme rol de temas e por isso toda a atenção por parte de todos: pessoas singulares, coletivas, privadas ou públicas.
Novo regime de coimas - desafios
Relativamente ao novo regime de coimas e dado os seus montantes tendencialmente ilimitados (volume mundial de negócios do último exercício), um dos grandes desafios para as entidades responsáveis pelo tratamento dos dados, consiste no modo como irão tratar contabilisticamente, um tema que passa a ser considerado um corporate risk. De facto, sabendo que o montante das coimas pode ascender a 20.000.000€ ou mais – se o volume mundial de negócios do ano transato for superior a vinte milhões - o que fazer na perspetiva contábil e, consequentemente, que decisão tomar no que ao provisionamento para coimas diz respeito?
Encarregado de proteção de dados
Quanto à nomeação do encarregado de proteção de dados, o desafio inicial passa, desde logo, por as entidades que são obrigadas a nomear um encarregado, conseguirem identificar alguém com as competências necessárias ao exercício excelente da função. A decisão pela “pessoa certa” exige também o evitar de conflitos de interesses, caso seja nomeado alguém que já pertence ao quadro de colaboradores permanentes da entidade nomeante e que, por isso, já exerce outras funções potencialmente conflituantes com as funções que vai passar a exercer. Desafio relacionado com este, será conseguir que um eventual profissional independente conheça profundamente a entidade e os sistemas dos quais terá que “encarregar-se”.
Ainda relativamente ao encarregado de proteção de dados, mais desafios se adivinham, desde logo a reestruturação orgânica e o conseguir, pela concretização de meios/mecanismos de gestão, assegurar a independência no exercício das funções que um cargo como este exige.
Por último, as entidades terão que mudar/assegurar novas metodologias de comunicação organizacional, uma vez que o encarregado de proteção de dados deverá ser permanentemente informado de todos os passos tendentes a eventuais tratamentos de dados, decididos por qualquer departamento.
No próximo artigo darei continuidade ao tema, nomeadamente os direitos a exercer pelos titulares dos dados.
Curso recomendado: O novo Regulamento Geral de Proteção de Dados (RGPD)
