RGPD: O que muda na protecção dos seus dados pessoais?

A louca corrida aos dados pessoais tem novas regras na União Europeia e mão pesada para quem as violar. O direito à privacidade ganha força num mundo cada vez mais digital, em que a constituição dos Big Datas é tão valiosa como o ouro.

Por Renato Santos.

Numa sociedade rendida às tecnologias e onde metade da população mundial já tem acesso à internet, o direito à privacidade, instituído em qualquer país democrático – em Portugal está consagrado no artigo 35.º da Constituição –, ganha, a cada dia que passa, um peso cada vez maior. É difícil, ou quase impossível, não fornecer ou partilhar os nossos dados pessoais ao navegar na internet, sendo que muitas vezes fazemo-lo de forma voluntária, mas inconsciente, sem equacionar os potenciais efeitos que daí podem advir. Um simples like, postar uma foto, um comentário, uma partilha, a compra de um bilhete de avião, activar o GPS no carro, um simples jogo, muitas vezes conectado à nossa agenda de contactos, permitem aos gigantes da internet recolher e actualizar constantemente tudo sobre o nosso dia-a-dia. Depois, directas ou indirectamente fazem-nos chegar produtos e serviços à medida dos nossos desejos e há até quem já os tenha usado para influenciar eleições. Que o diga a Cambridge Analytica, que terá acedido, sem consentimento expresso, a dados pessoais de 87 milhões de utilizadores do Facebook, dos quais 63 080 portugueses, para ajudar a eleger Donald Trump, ou influenciar o Sim no Brexit.

Uma verdadeira mina de ouro da era digital, em que não pode valer tudo em nome do lucro e da ganância. É nesse sentido que entrou em vigor na União Europeia o Regulamento Geral de Protecção de Dados (RGPD), que estabelece regras de protecção, tratamento e livre circulação de dados pessoais em todos os países membros. A nova legislação, que é válida desde 25 de Maio último, foi aprovada em 2016, tem como objectivo reforçar a Protecção de Dados, prevista no art.º 8.º da Carta dos Direitos Fundamentais da União Europeia, e harmonizar a legislação existente nos Estados-membros, ou seja, constitui as bases do futuro mercado único digital.

No espaço europeu, «temos 250 milhões de utilizadores da internet [existem 500 milhões de habitantes] e que em grande parte envolve dados pessoais. (…) Cada pessoa, em média, usa dez aplicações por dia, sendo que parte dos dados pessoais fica registada», disse Carlos Coelho, eurodeputado do PSD que integra a Comissão do Mercado Interno e da Protecção dos Consumidores do Parlamento Europeu, citado pela Agência Lusa. «Quanto mais se utiliza a internet, mais pegada digital se usa», acrescentou Carlos Coelho, sublinhando que a nova legislação reforça os poderes de “policiamento” da Comissão Europeia. Em causa está um enquadramento penal mais pesado para quem violar a lei, pois as coimas às empresas podem atingir os 20 milhões de euros, ou 4% do volume de negócios anual, para contra-ordenações consideradas muito graves. «Dá “enforcement” a Bruxelas e tem um efeito dissuasor», admite o eurodeputado, que frisa ainda que o novo quadro legal pressupõe «o direito de um cidadão a ser esquecido» e revê as normas para o consentimento do uso de dados pessoais, que deixa de ser tácito e cujas normas passam a ser mais simples.

«O grande desafio está em garantir o controlo sobre a privacidade dos dados nesta nossa sociedade de informação, onde a crescente adopção da internet, das redes sociais e de modelos de negócio digitais criam uma equação de resolução difícil: por um lado, as pessoas sentem-se atraídas e partilham dados da sua vida pessoal, frequentemente, sem considerarem os potenciais efeitos colaterais; por outro, as organizações capturam cada vez mais informação sobre os seus clientes, geralmente com o objectivo de fornecer mais e melhores serviços ou como forma de monetizar a informação», explica Rui Gomes, partner da KPMG, no estudo “O Impacto do Regulamento Geral de Protecção de Dados em Portugal”, publicado em Março de 2017.

Em causa está o facto de muitas empresas e organizações utilizarem dados pessoais para traçar padrões de comportamento, hábitos, preferências de cada um e assim, através de marketing directo, redes sociais, mecanismos de profiling, Iot (Internet of Things), entre outros, fornecer serviços e produtos à medida do consumidor. Quem nunca recebeu publicidade sobre um determinado artigo ou serviço, minutos depois de andar à sua procura no espaço virtual? Que o diga o cibernauta norte-americano, que descobriu que ia ser avô, após a sua filha, ainda adolescente, começar a receber vouchers de desconto de produtos para bebé de uma das maiores empresas de retalho dos EUA, a Target, que, através de modelos analíticos avançados, determinou a provável data do parto. Mas o caso da Cambridge Analytica foi o despertar colectivo para a ponta do icebergue. Não existe segurança a 100% na forma como a Google, o YouTube, a Yahoo, o eBay, o Baidu, a Tencent, o Facebook ou a Amazon, entre milhares de outras entidades, tratam e gerem os nossos dados pessoais. E este é um negócio que só na Eurolândia se calcula que valha cerca de 60 mil milhões de euros.

NOVO PARADIGMA

Para garantir o direito à privacidade, Bruxelas impõe então um novo paradigma, onde impera a auto-regulação em vez da hetero-regulação, com regras mais exigentes a aplicar às empresas, mas também a qualquer pessoa singular, organização, autoridade pública – no caso português existe para já um regime de excepção à aplicação de multas durante três anos a empresas do Estado –, agência ou outro organismo que proceda ao tratamento de dados pessoais e que esteja e/ ou faça negócios com a União Europeia.

As empresas e as organizações passam a ter a responsabilidade pela interpretação, operacionalização e cumprimento do novo regulamento, se quiserem evitar multas e coimas, em caso de fiscalização. Na prática, o novo regime obriga a que haja garantia dos direitos dos titulares dos dados, sendo que os pedidos de exercício desse direito passam a ser controlados e documentados com prazos máximos de resposta. Confere ainda o direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre alterações, apagamento ou limitação de tratamento pedidos pelos titulares. É ainda introduzida a figura do Encarregado de Protecção de Dados, que pode ser uma equipa interna ou externa à empresa, que terá um papel de supervisionar os processos de segurança para garantir a protecção de dados diariamente na empresa ou na organização. Esta figura é obrigatória para empresas que tratem dados sensíveis em grande escala como actividade principal, organismos públicos, excepto tribunais e empresas que façam “controlo regular e sistemático” dos titulares dos dados. O Encarregado da Protecção de Dados passa igualmente a ser extensível aos subcontratos. Cabe, assim, às várias entidades criarem os procedimentos internos que garantam a segurança, fiabilidade na gestão dos dados e evitem eventuais ataques que comprometam a confidencialidade ou a perda destes. E sempre que seja detectada alguma violação do RGPD é obrigatório comunicar de imediato à Comissão Nacional de Protecção de Dados, órgão que em Portugal está incumbido de supervisionar toda esta área.

MULTAS DE MILHÕES

Quem violar o RGPD poderá estar sujeito a multas milionárias. Para infracções consideradas graves, como, por exemplo, incumprimento de exigências organizacionais ou técnicas – falta de certificações, não comunicação de violações das suas bases de dados, deficiência na avaliação de impacto de roubo de dados, entre outros –, as multas poderão chegar aos 10 milhões de euros ou 2% da facturação anual. Mas estes valores poderão subir para os 20 milhões de euros ou chegar aos 4% do volume de negócios anual, caso a violação seja considerada muito grave. Em causa estão casos como o desrespeito do consentimento do consumidor, a transferência de dados pessoais a nível internacional, a violação dos princípios básicos da segurança dos dados, entre outros. No caso de pequenas e médias empresas (PME), o limite das coimas cai para dois milhões de euros, enquanto as pessoas singulares poderão ser punidas até 500 mil euros, se se tratar de contra-ordenações muito graves. As coimas cobradas revertem em 60% para o Estado e 40% para a Comissão Nacional de Protecção de Dados (CNPD).

O QUE MUDA PARA O CONSUMIDOR?

Segundo o novo regulamento europeu, o silêncio não significa consentimento para a recolha e utilização de dados, bem pelo contrário, reforça o direito à informação. Destaca-se ainda o facto dos consumidores poderem solicitar todos os seus dados guardados por qualquer entidade e pedir para serem esquecidos das bases de dados

(“direito a ser esquecido”), bem como a portabilidade dos dados.

As empresas de telecomunicações, de fornecimento de água, gás ou electricidade, entre outras, não têm de pedir autorização ao consumidor para tratar dados como o nome, a morada e o número de contribuinte, uma vez que estes dados são essenciais para que haja uma relação comercial entre as duas partes. No entanto, o consumidor tem de autorizar a cedência de um email ou o uso dos dados para marketing directo (newsletters), profiling (criação de perfil de consumidores) e decisões automatizadas (atendedores automáticos). E atenção que os dados necessários à relação contratual têm um prazo de conservação, a partir do qual têm de ser eliminados da empresa.

Já em relação à portabilidade, o RGPD é claro: é necessário o prévio consentimento do consumidor. As empresas privadas ou entidades públicas não podem transmitir dados pessoais dos seus clientes a terceiros sem a autorização prévia do titular dos dados. Um desses exemplos são os hipermercados que, através das informações recolhidas, sabem o padrão de consumo e fazem chegar ao consumidor, através de empresas de publicidade com que trabalham, as promoções e ofertas mais adequadas. Estas regras são também válidas para os dados recolhidos no espaço europeu por todas as empresas estrangeiras.

Agora, da próxima vez que estiver a navegar e for confrontado com o infindável tratado de termos e condições sobre os seus dados pessoais para entrar num site, pense duas vezes antes de carregar logo no “Ok”. É que, ao dar luz verde, parte da sua vida vai parar a uma gigante biblioteca de dados, os chamados “Big Data”, ou seja, a mina de ouro de qualquer grande empresa do século XXI, sem receber nada em troca.

O RGPD EM TRÊS QUESTÕES

Que cuidado devo ter a o ceder os meus dados?

Verifique que quem pede os seus dados pessoais lhe garante o direito à informação e que sabe quem será o responsável pelo tratamento dos seus dados, além da finalidade a que estes se destinam. Saiba quais são os destinatários, se é que existem, dos seus dados e se estes podem ser transferidos a nível internacional. Não se esqueça que na cedência de dados também devem ficar claros os seus direitos.

Quais os direitos que tenho no âmbito do RGPD?

A sigla ARCO (Acesso, Rectificação, Correcção e Oposição) ajuda a perceber quais os direitos aos dados pessoais. O direito ao esquecimento e à portabilidade dos dados assume também grande relevância e pode ser usado pelos cidadãos. No entanto, há situações em que esses direitos podem ser limitados, como, por exemplo, o direito ao esquecimento, devido à necessidade de manutenção da informação para cumprimento de obrigações legais.

Que fazer em caso de uso ilícito dos meus dados?

Pode apresentar uma reclamação junto do supervisor que, em Portugal, é a Comissão Nacional de Protecção de Dados (CNPD), ou avançar com uma acção judicial contra a CNPD. Em causa podem estar irregularidades na recolha ou tratamento dos dados pessoais, como acções de marketing directo não autorizadas, ou cedência de informação a terceiros sem consentimento.

Artigo publicado na Revista Risco n.º 9 de Verão de 2018.

Artigos relacionados
Comentários