Análise do Regulamento n 728/2018 – Regulamento Geral sobre Proteção de Dados

Desde o passado dia 25 de maio de 2018, o tão falado Regulamento Geral sobre Proteção de Dados (RGPD) passou a ser plenamente aplicável em todos os Estados Membros da União Europeia, sendo a legislação comunitária anteriormente vigente nesta matéria, a Diretiva de 1995 (que veio a dar origem à nossa – ainda – atual Lei de Proteção de Dados), revogada a partir dessa data. E o que mudou desde esse dia até hoje? Podemos seguramente responder a esta resposta com um “praticamente nada”.

O Regulamento introduziu novos direitos para as pessoas singulares e novas obrigações para as empresas no que respeita à Proteção dos Dados Pessoais.

Facilmente, compreendemos que esta mudança era urgente e necessária, visto que, com a era digital assistimos a uma banalização do acesso e circulação de dados pessoais além de que princípios constitucionais como os da reserva da vida privada e do direito à imagem viam-se ameaçados e desrespeitados diariamente. Todas estas mudanças e transformações, fruto da evolução tecnológica, clamavam por uma solução, um limite. O RGPD veio responder a essas solicitações e espelha as preocupações dos países membros da União Europeia. Procura-se, através das normas estabelecidas no RGPD, promover uma mudança comportamental e promover a proteção das pessoas enquanto seres livres e dotados de direito à sua privacidade e intimidade.

No entanto, o regulamento apresenta uma visão muito geral das medidas que devem ser efetivamente implementadas, visto que se destina a ser aplicado em países com realidades distintas, deixando assim margem para que os países legislem internamente no sentido de assegurarem a concreta aplicação do regulamento nos seus ordenamentos internos e conseguir, deste modo, a aplicação concreta das normas. Assim, foi deixada margem para que os países legislassem a nível interno de forma a esclarecerem os conceitos indeterminados (abundantes) incluídos no regulamento, de forma a definirem concretamente procedimentos adequados à sua realidade e, consequentemente, passíveis de implementação.

Nesse sentido, surge o Regulamento n.º 728/2018 que pretende dar cumprimento ao previsto no n.º 4 do artigo 35º do Regulamento Geral sobre Proteção de Dados, ou seja, elencar as situações em que é obrigatória a realização de uma avaliação de impacto. Nos termos do n.º 1 do artigo 35.º do RGPD, os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares têm de ser precedidos de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). O legislador europeu define, a título exemplificativo, três tipos de situações em que é obrigatório a elaboração desde procedimento. Para além destes, cada autoridade de controlo nacional tem de elencar outros tratamentos que considere. A elaboração da lista de atividades que as autoridades de controlo interno considerem suscetíveis de obrigação de realização de uma avaliação de impacto, são definidas de acordo com a realidade interna de cada país e tendo por base as orientações constantes das Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD), que determinam se o tratamento é “suscetível de resultar num elevado risco” para efeitos do Regulamento (UE) 2016/679, aprovadas pelo Grupo de Trabalho do Artigo 29.º e assumidas pelo Comité Europeu de Proteção de Dados.

Neste sentido consideramos de elevada importância fazer uma análise do Regulamento n.º 728/2018.

Assim, após a realização da referida consulta pública e tendo ponderado as sugestões proferidas nessa sede, a CNPD aprova a seguinte lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados, que acrescem aos previstos no n.º 3 do artigo 35.º do RGPD:
– Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde;
– Interconexão de dados pessoais ou tratamento que relacione dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida ou orientação sexual de uma pessoa; dados pessoais relacionados com condenações pessoais e infrações ou, ainda, dados de natureza altamente pessoal;
– Tratamento de dados pessoais mencionados na alínea b) com base em recolha indireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD;
– Tratamento de dados pessoais mencionados na alínea b) para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares;
– Tratamento de dados pessoais mencionados na alínea b) com utilização de novas tecnologias ou nova utilização de tecnologias já existentes;
– Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala. Para determinar se o tratamento é ou não efetuado em larga escala devem ser considerados os seguintes fatores:
– o número de titulares de dados envolvidos, quer através de um número específico quer através de uma percentagem da população pertinente;
– o volume de dados e/ou a diversidade de dados diferentes a tratar;
– a duração da atividade de tratamento de dados ou a sua pertinência;
– a dimensão geográfica da atividade de tratamento.
– Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (trabalhadores, clientes, transeuntes, etc.), que tenha como efeito a avaliação ou classificação dos mesmos, exceto quando o tratamento seja indispensável no âmbito de contrato de prestação de serviços requeridos especificamente pelos mesmos;
– Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de avaliação de impacto sobre proteção de dados. Os titulares de dados vulneráveis podem incluir crianças (estas podem ser consideradas incapazes de consentir ou opor-se consciente e criteriosamente ao tratamento dos seus dados), empregados, segmentos mais vulneráveis da população que necessitem de proteção especial (pessoas com doenças mentais, requerentes de asilo, idosos, doentes, etc.) e todos os casos em que possa ser identificado um desequilíbrio na relação entre a posição do titular dos dados e o responsável pelo tratamento;
– Tratamento de dados genéticos de pessoas vulneráveis, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados.

Fonte: O Informador Fiscal

Link: https://www.informador.pt/artigos/F15B.014C/Analise-do-Regulamento-n-728-2018?utm_content=info_analise_regulamento728&utm_campaign=infoutilcompleta&utm_source=newsletter&utm_medium=email

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *