QuiosqueAnteriorSeguinte

Opinião Leonor Chastre

Quem tem medo do direito ao esquecimento?

Privacidade e liberdade de informação não são incompatíveis. O direito à protecção de dados é um direito fundamental. Há que ponderar, como sempre, casuística e fundadamente o princípio da privacidade e o princípio da segurança.

Google did not welcome the right to be forgotten, but we have worked hard to implement it in Europe over the last three years.
Peter Fleischer
Google Senior Privacy Counsel

A legislação de protecção de dados mudou: o Regulamento n.º 2016/679 veio substituir a Directiva n.º 95/46/CE, transposta em Portugal pela Lei n.º 67/98, de 26 de Outubro.

Os dados pessoais, matéria esquecida, assim como a privacidade, um dos bens mais preciosos do ser humano, voltaram a estar na ribalta, sobretudo por razões muito tangíveis e venais: as multas por infracções no tratamento dos dados pessoais podem chegar até 4% do volume global de negócio, 20 milhões de euros.

Tornou-se uma razão económica de peso para dignificar temas nobres até aqui muito esquecidos.

É precisamente o direito ao esquecimento previsto no artigo 17.º do Regulamento n.º 2016/679, direito ao apagamento dos dados (“direito a ser esquecido”), que se rodeou desde o início de maior polémica. O mencionado artigo é claro na sua redacção e baliza bem quando os cidadãos podem, e em que condições, pedir o apagamento dos seus dados e ser esquecidos.

O direito à protecção de dados é um direito fundamental e tem de ser tratado como tal.

Mas a polémica está servida pelos que entendem que o direito ao esquecimento é um atentado à liberdade de expressão versus os que afirmam que, por exemplo, os interesses económicos das empresas não se podem sobrepor aos direitos fundamentais. Há que ponderar, como sempre, casuística e fundadamente, o princípio da privacidade e o princípio da segurança.

Quanto ao direito ao apagamento, ao direito a ser esquecido, é imperativo que a Comissão Europeia constitua um comité de avaliação deste tipo de pedidos para a garantia efectiva dos direitos fundamentais.

Há que elencar as principais novidades do Regulamento n.º 2016/679 para entender bem esta e outras polémicas que se avizinham.

1. Princípios aplicáveis ao tratamento de dados (artigo 5): licitude, lealdade e transparência em relação ao titular dos dados; recolhidos para finalidades determinadas, explícitas e legítimas, e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados; exactos e actualizados sempre que necessário; conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; tratados de uma forma que garanta a sua segurança, incluindo a protecção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.

2. Condições aplicáveis ao consentimento (artigo 7): quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

3. Direito ao apagamento dos dados (“direito a ser esquecido”) (artigo 17): em algumas situações, o titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais.

4. Direito de portabilidade dos dados (artigo 20): o titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, se o tratamento se basear no consentimento dado ou num contrato referido e se o tratamento for realizado por meios automatizados.

5. Responsabilidade do responsável pelo tratamento (artigo 24): o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento.

6. Registos das actividades de tratamento (artigo 30): cada responsável pelo tratamento e, sendo caso disso, o seu representante conservam um registo de todas as actividades de tratamento sob a sua responsabilidade.

7. Notificação de uma violação de dados pessoais à autoridade de controlo (artigo 33): em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja susceptível de resultar num risco para os direitos e liberdades das pessoas singulares.

8. Avaliação de impacto sobre a protecção de dados (artigo 35): quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for susceptível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a protecção de dados pessoais.

9. Consulta prévia (artigo 36): o responsável pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento quando a avaliação de impacto sobre a protecção de dados indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco.

10. Designação do encarregado da protecção de dados (artigos 37 a 39): o “encarregado da protecção de dados” será responsável por assegurar o cumprimento das regras do regulamento.

11. Regulação da transferência internacional de dados pessoais (artigos 45 e 47): qualquer transferência de dados pessoais que sejam ou venham a ser objecto de tratamento após transferência para um país terceiro ou uma organização internacional só é realizada se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, inclusivamente no que diz respeito às transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional.

12. Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas (artigos 60 a 62).

O regulamento foi publicado em 24 de Maio de 2016 e será aplicável a partir de 25 de Maio de 2018.

Quanto, ainda, ao direito ao apagamento, ao direito a ser esquecido, é imperativo que a Comissão Europeia constitua um comité de avaliação deste tipo de pedidos para a garantia efectiva dos direitos fundamentais; o Google já terá recebido cerca de 720 mil solicitações destas...