Novas regras na forma de tratamento dos dados pessoais, na aplicação do direito ao esquecimento e na portabilidade da informação estão no centro do novo Regulamento Geral de Proteção de Dados que foi definido pela Comissão Europeia e que tem de ser transposto para a legislação portuguesa. O tema tem gerado preocupação entre as empresas, que têm de se preparar para este novo modelo que vai trazer mais responsabilidades, e multas elevadas que podem chegar aos 20 milhões de euros.

Vários estudos e análises realizadas em Portugal mostram que as empresas e o sector público estão pouco preparados para as novas regras do RGPD, apesar do conhecimento e da importância reconhecida do tema. O Instituto de Apoio às Pequenas e Médias Empresas e ao Investimento (IAPMEI) e a associações para a Promoção e desenvolvimento da Sociedade de Informação (APDSI) e Portuguesa de Gestão das Pessoas (APG) divulgaram recentemente um estudo que mostra que das mais de 1.600 pequenas e médias empresas inquiridas apenas 3% tinham um plano a decorrer para garantir conformidade com o RGPD em maio de 2018. E 44% admitiram não ter qualquer plano, enquanto cerca de 14% referem ter apenas ações pontuais em áreas específicas.

Para preparar a transposição do regulamento, e dado que há uma margem de intervenção legislativa dos Estados-Membros, o Governo lançou uma consulta pública que permite aos interessados - sejam empresas ou particulares - partilharem a sua visão sobre o RGPD até 30 de setembro.

Na informação partilhada destacam-se algumas das áreas onde há que tomar opções, nomeadamente o tratamento de dados genéticos, biométricos e de saúde, o tratamento de dados em contexto laboral, o consentimento das crianças e a idade mínima a aplicar, o direito à portabilidade e ao apagamento dos dados, conhecido como o direito a ser esquecido.

Na página da consulta pública detalham-se as questões a decidir, que reproduzimos abaixo:

1. Tratamento de categorias especiais de dados pessoais - dados genéticos, biométricos e de saúde
Nos termos do Regulamento Geral de Proteção de Dados, o consentimento do titular para o tratamento dos seus dados pessoais deve ser livre, específico, informado e esclarecido. De acordo com o disposto no n.º 1 do artigo 9.º do Regulamento, os dados genéticos, os dados biométricos e de saúde, estes últimos definidos como as informações relativas a todos os cuidados de saúde, prestados no passado, no presente e no futuro – são considerados dados pessoais.
O n.º 4 do artigo 9.º determina a possibilidade de os Estados-Membros estabelecerem requisitos específicos quanto ao tratamento desse tipo de dados.
Assim, sujeita-se a apreciação o seguinte:
a) No tratamento de dados genéticos, biométricos ou de saúde justificam-se exigências acrescidas quanto ao tratamento desse tipo de dados?
b) Em caso afirmativo, quais os limites que devem ser estabelecidos quanto estão em causa esses dados?
2. Tratamento de dados pessoais no contexto laboral
Ao abrigo do disposto no n.º 1, do artigo 88.º do Regulamento Geral de Proteção de Dados, o direito interno dos Estados-Membros ou as convenções coletivas, incluindo “acordos setoriais” pode estabelecer regras específicas para o tratamento de dados pessoais dos trabalhadores no contexto laboral. Essas regras destinam-se a regular as condições de tratamento desses dados em situações de recrutamento, execução do contrato de trabalho, saúde e segurança, igualdade e diversidade, direitos e benefícios relacionados com o emprego e com os efeitos de cessação da relação de trabalho.
Os dados pessoais dos trabalhadores são ainda objeto de um regime específico de proteção sempre que se verifique a sua transmissão no quadro de um grupo de empresas para fins administrativos internos.
Assim, sujeita-se a apreciação o seguinte:
a) Ao abrigo do disposto no nº1 do artigo 88.º do RGPD, deve a legislação nacional estabelecer regimes específicos para garantir a defesa dos direitos e liberdades dos trabalhadores no que respeita à proteção de dados pessoais?
b) Em caso afirmativo, quais as garantias que devem ser estabelecidas?
3.   Direito de portabilidade de dados
O disposto no artigo 20.º do Regulamento Geral de Proteção de dados aplica-se aos casos de recolha ou de transferência de dados pessoais, a pedido do titular. Os dados pessoais devem ser transmitidos diretamente entre as entidades responsáveis pelo tratamento, sempre que seja tecnicamente possível. Neste âmbito, podem os Estados-Membros definir regras específicas que regulem a transferência de categorias especiais de dados pessoais entre entidades responsáveis pelo respetivo tratamento.
Assim, sujeita-se a apreciação o seguinte:
a) Devem ser consagradas regras especiais que regulem a transferência de dados pessoais entre entidades que prestem serviços financeiros, bancários, seguros e de comunicações?
b) Em caso de resposta afirmativa, em que outras áreas ou setores de atividade devem ser estabelecidas exigências acrescidas para a transferência de dados?
4. Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação
O Regulamento Geral de Proteção de Dados estabelece uma proteção especial quanto à recolha e tratamento de dados pessoais dos menores, em especial quando está em causa a utilização de serviços lhes são disponibilizados diretamente.
Nos termos do n.º1 do artigo 8.º do Regulamento só os menores com idade igual ou superior a 16 anos podem dar consentimento válido para o tratamento de dados pessoais relacionados com a oferta direta de serviços da sociedade de informação, tais como serviços oline.
Contudo, o nº 2 do mesmo artigo prevê que os Estados-Membros estabeleçam uma idade inferior para esse consentimento, desde que seja salvaguardado o limite mínimo de 13 anos.
Assim, sujeita-se a apreciação o seguinte:
a) Pode prever-se o consentimento para o tratamento de dados pessoais expresso por menor com idade inferior a 16 anos?
b) Em caso de resposta afirmativa, qual a idade indicada: 13, 14 ou 15 anos.
5. Direito ao apagamento dos dados («direito a ser esquecido»)
O disposto no artigo 17.º do RGPD estabelece que o titular dos dados pessoais tem direito a obter do responsável do tratamento o apagamento dos seus dados sempre que estes deixem de ser necessários para a finalidade que motivou a sua recolha ou tratamento, se forem tratados ilicitamente ou quando aquele retire o consentimento ou se opuser ao seu tratamento.
O direito a ser esquecido assume particular importância no ambiente por via eletrónica, garantindo o Regulamento a supressão de quaisquer ligações para esses dados pessoais e cópias ou reproduções dos mesmos, bem como nas situações de tratamento automatizado de dados, incluindo a definição de perfis, na medida em que estes estejam relacionados com interesses de comércio.
Neste contexto, os Estados- Membros podem estabelecer regras específicas que salvaguardem as garantias dos titulares dos dados.
Assim, sujeita-se a apreciação o seguinte:
a) Deve o direito ao apagamento dos dados (direito a ser esquecido) ser garantido de forma reforçada em relação ao disposto no artigo 17.º do Regulamento Geral de Proteção de Dados?
b) Em caso de resposta afirmativa, quais os setores em que se justifica o reforço dessa garantia?
6. Decisões individuais automatizadas, incluindo definição de perfis
O disposto no artigo 22.º do RGPD determina que o titular dos dados pessoais não deve ficar sujeito a nenhuma decisão que se baseie exclusivamente no tratamento automatizado desse tipo de dados. Esse tratamento inclui a definição de perfis relativos a aspetos pessoais, resultantes dessa avaliação automatizada.
Neste âmbito, o Regulamento prevê a adoção pelos Estados-Membros de regras específicas, devendo as legislações nacionais salvaguardar os direitos, liberdades e os legítimos interesses dos titulares dos dados.
Assim, sujeita-se a apreciação o seguinte:
a) Além das exceções previstas no n.º 2 do artigo 22.º do Regulamento Geral da Proteção de Dados devem existir outras exceções relativas ao tratamento automatizado (designadamente através de algoritmos) de dados pessoais?
b) Em caso de resposta afirmativa, em que situações se justificam as referidas exceções?
7. Designação, posição e funções do encarregado de proteção de dados
Ao abrigo do disposto nos artigos 37.º a 39.º do Regulamento Geral de Proteção de Dados, o encarregado de proteção de dados está obrigado, em especial, a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento de dados são efetuadas em conformidade com o Regulamento.
Nos referidos artigos encontram-se reguladas a designação, a posição e as funções do encarregado de proteção de dados.
Assim, sujeita-se a apreciação o seguinte:
Considerando a missão e as funções atribuídas pelo Regulamento ao encarregado de proteção de dados, afigura-se adequada, em alguns sectores de atividade, a designação de único encarregado de proteção de dados para o sector?

Os comentários devem ser enviados até dia 30 para o endereço de email partilhado na página referente à consulta pública.