QuiosqueAnteriorSeguinte

Destaque Opinião

O Regulamento Geral de Protecção de Dados e o consumidor

Com o novo regulamento, o consumidor assume um papel crucial.

José Luís Monteiro
Advogado

O Regulamento Comunitário da Protecção de Dados Pessoais [Regulamento (UE) n.º 2016/679, de 27 de Abril de 2016] tem hoje aplicabilidade directa a todas as organizações e introduz um conjunto de novos desafios organizacionais, tecnológicos e de governação. A explosão a que se tem assistido na recolha e na partilha de dados pessoais tornou essas informações pessoais mais vulneráveis ao acesso não autorizado. Ao mesmo tempo, os dados pessoais tornaram-se cada vez mais valiosos.

Neste âmbito, o consumidor, enquanto todo aquele a quem sejam fornecidos bens, prestados serviços ou transmitidos quaisquer direitos, destinados a uso não profissional, por pessoa que exerça, com carácter profissional, uma actividade económica que vise a obtenção de benefícios (definição legal da Lei de Defesa do Consumidor), assume um papel crucial.

O Regulamento Geral de Protecção de Dados (RGPD) não tem por objectivo proibir as actividades de tratamento lícitas, antes garantir uma maior protecção do direito individual à preservação dos nossos dados (enquanto titulares dos dados, seja como, por exemplo, clientes, utentes ou consumidores), para que se restaure um equilíbrio mais saudável entre o “mercado” e os direitos fundamentais de todos nós, cidadãos e consumidores.

Restabelecendo-se uma harmonia entre a “livre circulação dos dados pessoais” na UE e a tutela dos direitos e liberdades fundamentais.

Este regulamento tem um grande impacto sobre a actividade das organizações e, principalmente, cria novas obrigações e responsabilidades em matéria de segurança da informação e de gestão de incidentes de violação de dados.

O regulamento apresenta como uma das suas principais características a consagração do princípio da responsabilidade das organizações, em especial a adopção de medidas organizativas adequadas para assegurar e demonstrar o cumprimento das obrigações legais relativamente à protecção de dados pessoais. Estão agora previstas medidas relativas à implementação de políticas internas das organizações, ao registo das actividades de tratamento, à realização de uma avaliação de impacto sobre a protecção de dados, bem como à obrigação de nomear um encarregado da protecção de dados, responsável por zelar, de forma independente, pela observância das obrigações legais por parte de cada organização. Este encarregado da protecção de dados passa a ser o ponto de contacto com o titular dos dados e com a CNPD (Comissão Nacional de Protecção de Dados).

O objectivo principal do RGPD é o de assegurar o respeito pelo direito fundamental de cada pessoa singular, de cada consumidor, à privacidade dos seus dados. O RGPD implica mudanças significativas na abordagem à gestão de dados pessoais e tem associadas sanções muito elevadas em caso de incumprimento.

O RGPD tem uma importância central para as organizações e, sobretudo, para todos nós. Se as organizações tratam os dados dos seus clientes, é porque os consumidores, titulares dos mesmos, os disponibilizaram, pelo menos, de forma lícita, livre e informada (de acordo com os princípios do RGPD).

Em relação ao consumidor, o RGPD estabelece, designadamente:

1. O direito a ser informado: as organizações devem informar os titulares dos dados sobre os seus direitos, sobre o tipo de dados que estão a ser recolhidos, sobre a finalidade dos tratamentos, como serão utilizados os dados, qual o prazo de conservação dos mesmos e se serão partilhados com terceiros. Esta informação deve ser comunicada de forma breve e em linguagem simples.

2. O direito de acesso: o titular dos dados tem direito a obter do responsável pelo tratamento: (I) a confirmação de serem ou não tratados dados respeitantes ao titular, respectivas categorias, destinatários e finalidades; (II) a comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados; (III) o responsável pelo tratamento fornece uma cópia dos dados pessoais em fase de tratamento, sendo que para fornecer outras cópias solicitadas pelo titular o responsável pode exigir o pagamento de uma taxa razoável, tendo em conta os custos administrativos.

3. O direito de rectificação: o RGPD veio clarificar o direito de rectificação e determinar que o titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a rectificação dos dados pessoais inexactos que lhe digam respeito e tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.

4. O direito de apagamento (também conhecido como "o direito ao esquecimento"): direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais quando se aplique um dos seguintes motivos: i) revogação do consentimento quando o tratamento se tenha baseado no consentimento do titular; ii) oposição ao tratamento quando o mesmo se baseie no interesse público ou interesses legítimos do responsável ou terceiro; iii) tratamento ilícito; iv) tratamento de dados relativos a menores de 16 anos.

5. O direito de limitação do tratamento: os titulares podem impor que as organizações limitem o modo como efectuam as actividades de tratamento de dados pessoais. É uma alternativa ao direito ao apagamento de dados e pode ser usado quando o titular contesta a precisão dos seus dados pessoais.

6. O direito à portabilidade de dados: o titular dos dados pode exigir receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento ou de exigir que o responsável transmita os dados directamente a outro responsável (sempre que tal seja tecnicamente possível), sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir se: I) o tratamento se basear no consentimento do titular ou em contrato no qual o titular dos dados é parte;
II) o tratamento for realizado por meios automatizados.

7. O direito de oposição: o titular dos dados tem o direito de se opor, por motivos relativos à sua situação particular, a qualquer momento, ao tratamento dos dados pessoais que lhe digam respeito, quando o tratamento se basear em: interesse público ou interesse legítimo do responsável pelo tratamento.

8. Direito a não ser avaliado com base em tratamento automatizado, incluindo criação de perfil: o RGPD prevê normas concretas para decisões tomadas sem envolvimento humano. Existem regras mais rígidas sobre esse tipo de tratamento, e os titulares podem contestar e solicitar uma revisão do tratamento se as regras para este tipo de tratamento não forem seguidas.

De referir ainda que o RGPD estabelece regras mais rigorosas para a licitude do tratamento. O tratamento, para ser lícito, depende da verificação de fundamento para a sua licitude. O consentimento é um dos fundamentos legais para o tratamento, mas existem outros, previstos no artigo 6.º do RGPD. O consentimento não é mais relevante ou mais importante do que os restantes fundamentos legais.

Contudo, o consentimento continua a ser considerado o fundamento geral da legitimidade do tratamento de dados pessoais. O RGPD é mais exigente para a obtenção do consentimento pelo titular dos dados: manifestação de vontade livre, específica, informada e explícita, mediante uma declaração ou acto positivo inequívoco. São recusadas as caixas opt-in pré-marcadas ou pré-definidas.

O RGPD deve ser encarado como uma oportunidade para o consumidor, uma vez que proporcionará experiências mais personalizadas e optimizadas, o que se revela muito positivo.