Entra em vigor em 25 de Maio de 2018, o Regulamento Geral da
Protecção de Dados (RGPD) que cria regras mais exigentes quanto à recolha e tratamento
de dados pessoais das pessoas
singulares.
Nos termos do novo Regulamento, o tratamento de dados é
considerado lícito quando:
a) Decorra da execução de um
contrato ou da intenção de celebrar um contrato, nomeadamente, a recolha de
dados do clientes para realização de facturação, ou para envio de um produto ao
domícilio através de uma transportadora.
b) For realizado em conformidade
com uma obrigação jurídica à qual o responsável do tratamento de dados esteja
sujeito, ou se for necessário para o exercício de funções de interesse público,
ou exercício de autoridade pública e de acordo com direito assente em Direito
da União ou de um Estado-Membro;
c) For necessário à protecção de
um interesse essencial à vida do titular dos dados ou de qualquer outra pessoa
singular. O tratamento de dados pessoais no interesse vital de outra pessoa
singular, só pode ter lugar quando o
tratamento não se basear manifestamente noutro fundamento jurídico. Constituiem
protecção de interesse essencial, a recolha de dados pessoais para fins
humanitários, controlo e monitorização de epidemias e situações de emergência
humanitária;
d) Existir um interesse legítimo
do responsável pelo tratamento ou terceiro desde que prevaleçam sobre os
direitos e liberdades fundamentais do titular dos dados pessoais. A título de
exemplo, o tratamento de dados pessoais estritamente necessário para os
objectivos de prevenção e controlo da fraude, poderá constituir um interesse
legítimo do responsável pelo tratamento de dados;
e) For dados consentimento pelo
titular dos dados mediante um acto expresso que indique uma manifestação de
vontade livre, específica, informada e
inequívoca de que o titular dos dados pessoais consente no tratamento dos
mesmos, por exemplo por declaração escrita.
Assim sendo, deverá o responsável
pelo tratamento de dados fazer uma análise de risco quanto aos dados pessoais
que lhe são confiados, verificar se existe um fundamento legal, contratual ou
um interesse legítimo no tratamento de dados pessoais.
Caso, verifique que nenhuma das
situações se verifica deverá obter o consentimento expresso do titular dos
dados para que possa fazer esse tratamento, indicando a finalidade de recolha e
o prazo de manutenção dos dados pessoais. No caso de o responsável pelo
tratamento de dados ser alguém que comercializa produtos on-line, não bastará a existência de informanção ao cliente da recolha e
tratamento de dados, será necessário que o cliente assinale de forma
verificável que concorda com a recolha e tratamento de dados.
Deverá ainda o Responsável pelo
tratamento dos dados assegurar a confidencialidade dos mesmos, assegurando-se que
as pessoas que a estes possam ter acesso estejam igualmente obrigadas a deveres
de confidencialidade.
O Regulamento exige igualmente
que os dados pessoais recolhidos em data anterior a 25 de Maio de 2018, e que
se pretendem continuar a ser usados após essa data e, não observem as regras do
presente regulamento, só possam ser mantidos se for solicitado o consentimento
expresso ao titular, o que exigirá das empresas um esforço adicional para
regularizar o tratamento dos dados que já dispõem.
As empresas com mais de 250
trabalhadores deverão ainda manter um
registo de actividades de tratamento, com a informação de quais os dados
recolhidos, qual a finalidade e onde ficarão os mesmos registados. As demais
empresas não estão obrigadas contudo, a existência de um registo de actividades
de tratamento poderá servir para demonstrar à Comissão Nacional de Protecção de
Dados que cumprem o presente regulamento.