Proteção de dados: o que precisa de saber sobre o regulamento europeu

O Regulamento Geral de Proteção de Dados (RGPD) da União Europeia visa permitir uma maior proteção na forma como são usados os dados pessoais dos consumidores, por parte, por exemplo, das grandes empresas e serviços da sociedade de informação.

O RGPD começou a ser aplicado em 25 de maio de 2018 e inclui um conjunto de normas que permite que cada país faça adaptações à sua legislação. Em Portugal, a lei de execução do RGPD prevê algumas situações específicas.

A lei da proteção de dados em 8 pontos

O Regulamento Geral de Proteção de Dados prevê, entre outros:

• o consentimento para transmissão de dados a terceiros, que é obrigatório e tem de ser claro;
• a proteção de dados sensíveis de pessoas falecidas;
• a autorização do tratamento de dados por parte dos menores;
• e as limitações nos sistemas de videovigilância.

A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional do RGPD e da lei que assegura a sua execução.

Autorização de transmissão de dados tem de ser inequívoca

Antes da aplicação do RGPD, nalguns casos, o consentimento de utilização de dados pessoais para fins comerciais era tácito. Ou seja, ao aceitar os termos e condições de um produto ou serviço, por exemplo, o consumidor também estava a autorizar a utilização de dados por terceiros para fins comerciais. Com a aplicação do RGPD, a informação que surge a perguntar se o consumidor cede os seus dados tem de ser clara e a autorização tem de ser dada de forma inequívoca.

Menores podem autorizar tratamento de dados a partir dos 13 anos

O RGDP admite que os Estados-membros definam a idade, entre os 13 e os 16 anos, como a idade mínima para que os menores possam autorizar o tratamento dos seus dados pessoais nas redes sociais ou noutros serviços online, sem necessidade de consentimento dos pais ou dos representantes legais. Por defeito, consideram-se os 16 anos. De acordo com a lei portuguesa (ou seja, a lei que executa o RGPD no nosso país), a idade mínima é de 13 anos, pelo que o tratamento de dados de menores com idade inferior só pode ser feito com a autorização dos respetivos representantes.

Pode pedir para apagar dados pessoais recolhidos e partilhados com terceiros

O RGDP permite que um consumidor possa, em qualquer altura, solicitar que os dados pessoais recolhidos possam ser apagados pela empresa que os recolheu ou por outras com quem tenham sido partilhados.

Além disso, os dados devem ser apagados a partir do momento em que já não sejam necessários para oferecer o serviço proposto ou no caso de terem sido obtidos (ou tratados) de forma não conforme com a lei.

Em caso de morte, o direito de aceder, retificar ou apagar esses conteúdos deve ser exercido por alguém que a pessoa falecida tenha designado. Caso não exista, o direito é exercido pelos herdeiros.

Quanto ao pedido para apagar dados pessoais, o acórdão do Tribunal de Justiça da União Europeia de 27 de outubro de 2022 confirmou que o responsável pelo tratamento destes deve tomar as medidas (técnicas e organizacionais) adequadas para informar os outros responsáveis sobre a retirada do consentimento por parte do titular dos dados. Quando diferentes responsáveis pelo tratamento dos dados têm o consentimento único do titular em causa, este deve dirigir-se a qualquer um dos responsáveis para retirar o seu consentimento. 

Titular dos dados tem o direito de os receber

O RGDP é claro quanto ao direito de portabilidade dos dados: o titular tem o direito de os receber. De acordo com a proposta de lei portuguesa, o direito de portabilidade abrange apenas os dados fornecidos pelos respetivos titulares. A portabilidade deve, sempre que possível, ter lugar em formato aberto, ou seja, de forma a poder ser consultada com um software-padrão.

Sistemas de videovigilância limitados

A lei sobre o RGDP implica algumas limitações para os sistemas de videovigilância. As câmaras ou outros meios de captação de som e de imagem não podem incidir, entre outros, sobre:

• vias públicas ou propriedades limítrofes, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
• zonas de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
• interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade (por exemplo, instalações sanitárias, zonas de espera e provadores de vestuário);
• interior de áreas reservadas aos trabalhadores, como vestiários e instalações sanitárias.

Conservação de dados pessoais limitada no tempo

O prazo de conservação de dados pessoais é o que estiver fixado na lei. Na falta dessa definição, deverá ser o que se revele necessário para o fim a que os dados se destinam. Quando o que motivou o tratamento dos dados já não se justificar, o responsável pelo tratamento deve destruí-los ou torná-los anónimos. Sempre que a lei imponha um determinado prazo de conservação de dados, o direito de apagamento dos dados ("direito a ser esquecido") só pode ser exercido quando o prazo terminar.

Dados podem ser tratados para várias finalidades

A lei prevê ainda a possibilidade de tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas pela recolha, desde que esteja em causa a continuação do interesse público.

Imagens no trabalho só para processos disciplinares

Todas as imagens gravadas ou dados pessoais registados no âmbito das relações laborais, através de sistemas de vídeo ou outros meios de vigilância à distância, só podem ser utilizados no âmbito do processo penal. Nessas situações, as imagens gravadas podem utilizar-se para efeitos de apuramento de responsabilidade disciplinar. O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e de acessos às instalações do empregador.

Como reforçar a proteção de dados?

A aplicação do RGPD tem um forte impacto no dia-a-dia das empresas e dos consumidores. Deixamos alguns conselhos.

Defina novas palavras de acesso

Sempre que possível, deve definir uma nova password e nunca usar indefinidamente a original (como acontece com os routers domésticos). Ao definir a nova password, tente evitar uma password previsível, como o nome e a data de nascimento. Evite usar mais de oito carateres no total e inclua maiúsculas, minúsculas e algarismos. 

Leia os aspetos mais importantes dos termos e condições

Antes de aceitar os termos e condições, faça uma leitura atenta dos aspetos mais críticos. No caso de existir uma separação dos termos de utilização gerais dos que estão ligados à recolha de dados pessoais, leia bem estes últimos antes de os aceitar.

Reveja as opções de partilha

Mesmo que aceite as condições de privacidade das empresas, em qualquer altura pode rever as suas opções de partilha de dados pessoais.

Remova dados pessoais na altura da venda ou entrega de produto

Alguns equipamentos, como televisores ou eletrodomésticos, ligados entre si através da net, armazenam dados pessoais dos utilizadores. É a chamada IoT (Internet das Coisas). Antes de se desfazer de um destes equipamentos, limpe os dados pessoais, fotografias, documentos ou contas de e-mail associadas. Faça uma cópia de segurança dos dados que pretende manter e, depois, um reset ao aparelho, e verifique se ficou algum "rasto" da sua atividade.