Luís Teixeira
O regulamento geral da proteção de dados, vulgo “RGPD”, publicado no dia 4 de Maio de 2016, e tendo de ser implementado até ao dia 25 de Maio de 2018, constitui um marco importantíssimo na regulação do tratamento de dados pessoais, tendo como objetivo responder aos novos desafios na área de proteção de dados pessoais fruto da grande inovação tecnológica, sendo impreterível para reforçar a segurança das próprias pessoas.
Quando nos referimos a dados pessoais, não nos limitamos apenas ao nome das pessoas ou número do seu documento de identificação, abrangendo qualquer informação, de qualquer natureza e independente do suporte, incluindo som e imagem que sirva para identificar uma pessoa.
Apesar disto, existem dados pessoais que se encontram excluídos e na qual não se aplica o Regulamento, são eles o tratamento de dados efetuados por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas, como é o caso da lista de contactos de um telemóvel, e ainda, em situações de segurança nacional em que o tratamento de dados é considerado válido por ter um motivo que o justifica.
Em termos de responsabilidade, tanto a empresa como o responsável pelo tratamento são culpados pelo tratamento desadequado dos dados, sendo que quem efetivamente trata dos dados deve acautelar-se e verificar se está a cumprir o RGPD.
A nível de aplicação territorial, ainda que a empresa responsável pelo tratamento se situe fora da União Europeia, o RGPD aplica-se sempre que os titulares dos dados se encontrem na União Europeia.
Uma das grandes novidades passa pelo direito a ser “esquecido”, isto é, o direito de solicitar ao responsável pelo tratamento dos dados o apagamento dos seus dados pessoais. Acontece que, se o responsável pelo tratamento dos dados tiver divulgado os dados junto de outras entidades, deverá informar essas entidades que o titular dos dados ordenou o seu apagamento. A única limitação a este direito prende-se nomeadamente com prazos de conservação dos dados por razões de interesse público, segurança nacional, de faturação, comerciais, fiscais entre outros.
O próprio titular pode opor-se em qualquer momento ao tratamento dos seus dados, sendo que o responsável pelos dados deve cessar desde logo o tratamento, salvo se razões de cariz excecional e legítimo justifiquem a sua utilização, de salientar ainda que caso o titular desejar o apagamento ou modificação dos dados, o responsável deve responder ao pedido solicitado o maís rapidamente possível, tendo no máximo 30 dias para o fazer.
Uma questão que se coloca frequentemente é da lícitude do tratamento dos dados pessoais, sendo que só é lícito o tratamento de dados pessoais que preencham uma de entre várias condições, primeiramente fala-se do consentimento, que deve ser livre , informado e explícito, e o responsável pelo tratamento deve conseguir demonstrar que o consentimento foi dado de livre vontade (sendo que o consentimento realizado oralmente não oferece essas garantias).
Existe situações em que não é necessário o consentimento e são elas, a condição de os dados pessoais serem necessários para a execução de um contrato ou para diligências pré-contratuais, na qual deve haver um interligação entre os dados requeridos e o trabalho executado (a título de exemplo, o caso do pedido do registo criminal na inscrição da ordem de advogados), falamos de situações essas, em que a solicitação desse tipo de informações são essenciais para o exercício da atividade.
Podemos ainda ter o caso de o tratamento ser necessário para o cumprimento de uma obrigação jurídica em que o responsável pelo tratamento esteja sujeito ou ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento, situação que acontece quando uma autoridade pública pede os dados pessoais por motivos de segurança pública ou procedimento criminal.
O tratamento pode ainda ser permitido para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular, sendo o caso de situações médicas urgentes (situação de pessoas que não aceitam transfusões de sangue e que é necessário a consulta do seu testamento vital por exemplo).
Por fim, as situações em que o tratamento é necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
Existem dados pessoais especiais/sensíveis que o RGPD considera proibida o seu tratamento, como a origem racial ou étnica, opiniões políticas, convicções religiosas, dados genéticos, e ainda relativos à orientação sexual. Os dados relativos a condenações penais e infrações estão sujeitas a uma avaliação de impacto e ainda à obrigatoriedade da nomeação de um encarregado de proteção de dados.
Importa não olvidar que caso haja a violação do tratamento dos dados pessoais, sem prejuízo da intervenção da autoridade de controlo ou cumulativamente com esta, qualquer prejudicado poderá recorrer ás instâncias jurisdicionais e intentar contra o responsável pelo tratamento e/ou contra o subcontratante um processo judicial, tendo em vista a atribuição de uma compensação pelos danos sofridos que podem ser patrimoniais ou morais.
