Notícias

Proteção de dados: o que precisa saber sobre o novo regulamento europeu

Início

A partir de 25 de maio, há novas regras para o tratamento de dados pessoais. Saiba o que muda e como pode ficar mais protegido com a proposta de lei sobre o Regulamento Geral de Proteção de Dados.

08 maio 2018
protecao dados

iStock

O Regulamento Geral de Proteção de Dados (RGPD) da União Europeia visa permitir uma maior proteção na forma como são usados os dados pessoais dos consumidores, por parte, por exemplo, das grandes empresas e serviços da sociedade de informação.

O RGPD inclui um conjunto de algumas normas que permite que cada país faça adaptações à sua legislação. Portugal já tem uma proposta de lei para aplicar o regulamento internamente, ainda sujeita a aprovação pelo Parlamento. Veja o que pode mudar.

Proposta de lei em 8 pontos

Entre as principais alterações no Regulamento Geral de Proteção de Dados incluem-se o consentimento para transmissão de dados a terceiros, que é obrigatório e tem de ser claro; a proteção de dados sensíveis de pessoas falecidas; a autorização do tratamento de dados por parte dos menores; e as limitações nos sistemas de videovigilância. A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional do RGPD e da lei que irá assegurar a sua execução.

Autorização de transmissão de dados tem de ser inequívoca

Até agora, nalguns casos, o consentimento de utilização de dados pessoais para fins comerciais era tácito. Ou seja, ao aceitar os termos e condições de um produto ou serviço, por exemplo, o consumidor também estava a autorizar a utilização de dados por terceiros para fins comerciais. Agora, a informação que surge a perguntar se o consumidor cede os seus dados tem de ser clara e a autorização tem de ser dada de forma inequívoca.

Menores podem autorizar tratamento de dados a partir dos 13 anos

O RGDP admite que os Estados-membros definam a idade, entre os 13 e os 16 anos (por defeito, considera os 16 anos), como a idade mínima para que os menores possam autorizar o tratamento dos seus dados pessoais nas redes sociais ou noutros serviços online, sem necessidade de consentimento dos pais ou dos representantes legais. A proposta de lei portuguesa considera adequada a idade mínima de 13 anos. O tratamento de dados de menores com idade inferior só pode ser feito com a autorização dos respetivos representantes.

Pode pedir para apagar dados pessoais recolhidos e partilhados com terceiros

O novo RGDP vai permitir que um consumidor possa, em qualquer altura, solicitar que os dados pessoais recolhidos possam ser apagados pela empresa que os recolheu ou por outras com quem tenham sido partilhados.

Além disso, os dados devem ser apagados a partir do momento em que já não sejam necessários para oferecer o serviço proposto ou no caso de terem sido obtidos (ou tratados) de forma não conforme com a lei.

Em caso de morte, o direito de aceder, retificar ou apagar esses conteúdos deve ser exercido por alguém que a pessoa falecida tenha designado. Caso não exista, o direito é exercido pelos herdeiros.

Titular dos dados tem o direito de os receber

O RGDP é claro quanto ao direito de portabilidade dos dados: o titular tem o direito de os receber. De acordo com a proposta de lei portuguesa, o direito de portabilidade abrange apenas os dados fornecidos pelos respetivos titulares. A portabilidade deve, sempre que possível, ter lugar em formato aberto, ou seja, de forma a poder ser consultada com um software padrão.

Sistemas de videovigilância limitados

A proposta de lei sobre o RGDP propõe algumas limitações para os sistemas de videovigilância. As câmaras ou outros meios de captação de som e de imagem não podem incidir sobre:

  • vias públicas ou propriedades limítrofes, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
  • zonas de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
  • interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade (por exemplo, instalações sanitárias, zonas de espera e provadores de vestuário);
  • interior de áreas reservadas aos trabalhadores, como vestiários e instalações sanitárias.

Conservação de dados pessoais limitada no tempo

A proposta de lei prevê, também, o prazo de conservação de dados pessoais, que será o que estiver fixado na lei. Na falta dessa definição, deverá ser o que se revele necessário para o fim a que os dados se destinam. Quando o que motivou o tratamento dos dados já não se justificar, o responsável pelo tratamento deve destrui-los ou torná-los anónimos. Sempre que a lei imponha um determinado prazo de conservação de dados, o direito de apagamento dos dados ("direito a ser esquecido") só pode ser exercido quando o prazo terminar.

Dados podem ser tratados para várias finalidades

A proposta de lei prevê ainda a possibilidade de tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas pela recolha, desde que esteja em causa a continuação do interesse público.

Imagens no trabalho só para processos disciplinares

Todas as imagens gravadas ou dados pessoais registados no âmbito das relações laborais, através de sistemas de vídeo ou outros meios de vigilância à distância, só podem ser utilizados no âmbito do processo penal. Nessas situações, as imagens gravadas podem utilizar-se para efeitos de apuramento de responsabilidade disciplinar. O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e de acessos às instalações do empregador.