NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS – RGPD elaborado pelo Parlamento Europeu e pelo Conselho

O Regulamento UE 2016/679 de 27 de Abril relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados revoga a anterior Diretiva 95/46/CE (Regulamento Geral sobre a Protecção de Dados), e entrará em vigor em Portugal a 25 de Maio de 2018.

O nº 1 do artigo 4º do Regulamento define desde logo o que são dados pessoais: “informação relativa a uma pessoa singular identificada ou identificável, (…) [nomeadamente] nome, número de identificação, dados de localização (…)”

As obrigações previstas no Regulamento aplicam-se a empresas sediadas na U.E. ou fora dela quando prestem serviços ou operem na U.E e aos responsáveis pelo tratamento e subcontratantes estabelecidos na U.E. Nos termos do artigo 19º e seguintes do Regulamento, o responsável pelo tratamento e o subcontratante “deverão executar medidas técnicas e organizativas adequadas, de modo a que o tratamento satisfaça os requisitos estabelecidos na presente diretiva e assegure a proteção dos direitos do titular dos dados”.

O responsável pelo tratamento de dados deverá facultar ao titular dos dados as seguintes informações, nos termos do artigo 13º:

a) A identidade e os contactos do responsável pelo tratamento;
b) Os contactos do encarregado da protecção de dados, se for caso disso;
c) As finalidades do tratamento a que os dados pessoais se destinam;
d) O direito de apresentar reclamação à autoridade de controlo e de obter os contactos dessa autoridade;
e) A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que dizem respeito ao titular, bem como a sua retificação ou o seu apagamento e a limitação do tratamento.

A alteração que mais se destaca com a entrada em vigor do Regulamento é a da transferência do controlo prévio dos dados pessoais da Comissão Nacional de Protecção de Dados (através de pedidos de autorização), para os responsáveis das empresas e organismos públicos, que terão de passar a autorregular-se.

Outra das alterações de maior importância é a obrigação de designação de um Encarregado da Proteção de Dados (EPD) ou Data Protection Officer (DPO) em cada empresa e organismo público nas seguintes situações:

a) Sempre que o tratamento for efectuado por uma autoridade ou um organismo público, exceptuando os tribunais no exercício da sua função jurisdicional;
b) sempre que as actividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
c) sempre que as actividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infracções a que se refere o artigo 10.o.

A Directiva 95/46/CE criou um grupo de trabalho que se destina a analisar as questões levantadas por esta temática, dar pareceres e aconselhar a Comissão, no sentido de uniformizar as práticas na União Europeia, e esse Grupo já se pronunciou quanto à interpretação do artigo 37º do Regulamento, no qual são estabelecidas as situações em que deve ser nomeado um encarregado de protecção de dados (EPD) ou data protection officer (DPO).

Em relação ao conceito de autoridade ou organismo público, mencionado na alínea a), o grupo de trabalho recomenda, como boa prática, que as organizações privadas que desempenhem serviço público ou compreendam o exercício de autoridade pública designem um DPO, e que a sua actividade compreenda mesmo as tarefas não relacionadas com o serviço público ou o exercício da autoridade pública.

O conceito de “actividades principais” aparece também referido nas orientações do grupo de trabalho, com alguns exemplos de actividades acessórias que são fundamentais para a actividade principal e podem dar lugar à necessidade de designação de um DPO. Tal é o caso da recolha e tratamento de dados de saúde efectuado por um hospital, tendo em consideração que a actividade principal do mesmo não é essa recolha mas sim a prestação de serviços de saúde. No entanto, entende-se que, neste caso, será obrigatória a designação de um DPO para assistir e controlar essa recolha e tratamento de dados.

Em relação ao “tratamento em grande escala” e ao “controlo regular e sistemático” que determinam a necessidade de designação de um DPO, o grupo de trabalho confessa a actual impossibilidade de definir o número exacto que poderá ser enquadrado na “grande escala”. No entanto, define algumas linhas de orientação.

O DPO – Encarregado de Protecção de Dados deverá manter registos dos tratamentos de dados efectuados, supervisionando o cumprimento das regras de protecção de dados; informar e prestar consultoria em matéria de protecção de dados, e ser o porta-voz/interlocutor da empresa relativamente às Autoridades de Proteção de Dados e aos Titulares dos Dados.

O DPO pode ser um funcionário da empresa ou uma entidade externa; pode ser o mesmo para todas as empresas de um grupo; e exige-se que tenha, para o desempenho do cargo, qualidades profissionais, conhecimentos de direito, bons conhecimentos da organização da empresa e das actividades de processamento existentes, e elevados padrões de ética profissional. Deve ser independente na sua função e reportar apenas à administração.


DPO da Santa Casa da Misericórdia de Serpa: Eng.ª Magda Fabela