Se a sua empresa ou empresário individual ou profissional liberal tem um base de dados, manual ou informática e nela inclui clientes que são pessoas singulares / físicas e não apenas empresas, então a partir de 25 de Maio de 2018, terá que ter nomeado um Encarregado da Protecção de Dados nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Directiva 95/46/CE (Regulamento Geral sobre a Protecção de Dados).
Esta obrigação abrange desde um clube desportivo, um ginásio, uma empresa de venda pela internet, um café com cartão de fidelização, etc.
O não cumprimento do referido Regulamento sujeita o empresário individual ou profissional liberal a coimas até € 10.000.000,00 ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado. Este argumento é incentivador do melhor conhecimento deste Regulamento.
O encarregado da protecção de dados é designado com base nos seus conhecimentos no domínio do direito e das práticas de protecção de dados, ou seja deverá ser um jurista, de preferência assessorado por um informático. A nossa sociedade teve que fazer um parceria neste sentido para iniciar esta actividade antes do final do ano 2017.
O responsável pelo tratamento e a entidade que trate os seus dados, é obrigado a designar um encarregado da protecção de dados, nomeadamente quando as actividades principais do daqueles consistam em operações que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala e operações em grande escala de categorias especiais de dados, que infra se explicam.
O referido Regulamento aplica-se para efeitos de trabalhos científicos, históricos e estatísticos, mas não para os dados pessoais das nossas listas pessoais de contactos, no exercício de actividades exclusivamente pessoais ou domésticas.
Terá que ter adaptada a sua base de dados de forma a garantir o respeito pelos direitos fundamentais e as liberdade e os princípios das pessoas singulares independentemente da sua nacionalidade ou do seu local de residência, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a protecção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, o direito à acção e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística.
Nos termos deste Regulamento sempre que o tratamento for realizado com base no consentimento do titular dos dados, o responsável pelo tratamento deverá poder provar que aquele lhe deu o consentimento para a operação de tratamento dos dados. Ora quem é a entidade que se está a preparar para em 25 de Maio de 2018 passar a arquivar este consentimento?
O tratamento dos dados só pode derivar do consentimento por ser necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados, para o cumprimento de uma obrigação jurídica, para a defesa de interesses vitais do titular ou de outra pessoa singular, para o exercício de funções de interesse público ou ao exercício da autoridade pública e para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, excepto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a protecção dos dados pessoais, em especial se o titular for uma criança.
O tratamento de dados pessoais para outros fins diferentes dos tenham sido recolhidos deverá ser também autorizado, mas terá que ser compatível com as finalidades para as quais os dados pessoais foram recolhidos.
Merecem protecção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais, nomeadamente os que se refiram a crianças, revelem dados de saúde, origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou à vida sexual ou orientação sexual, só permitidos se com finalidades específicas, ou contenham fotografias, entre outros.
Deverão ser previstas regras para o exercício por via electrónica pelo titular dos dados dos direitos para solicitar e, sendo caso disso, obter a título gratuito o acesso a dados pessoais, à sua rectificação, ao seu apagamento e ao exercício do direito de oposição, finalidades para as quais os dados são tratados, o período durante o qual os dados serão tratados, a identidade dos destinatários e local do seu armazenamento.
O responsável pelo tratamento dos dados pessoais deverá proceder a uma avaliação prévia do impacto sobre a protecção de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco. E sempre que o responsável pelo tratamento de dados tenha conhecimento de uma violação, deverá dela dar conhecimento à autoridade de controlo, no prazo de 72 horas após agnição do ocorrido.
Quando a violação dos dados pessoais for susceptível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados
Além do direito de apresentar reclamação a uma autoridade de controlo, os titulares de dados têm direito a propor, nos tribunais do Estado-Membro em que o titular dos dados tenha a sua residência habitual, uma acção judicial por violação dos direitos, na sequência do mau tratamento dos seus dados pessoais e violação do referido regulamento e direito a receber uma indemnização pelos danos que provar judicialmente ter sofrido.
Cada responsável pelo tratamento de dados e quem contrate para o efeito tem que conservar um registo das actividades de tratamento sob a sua responsabilidade, salvo se a empresas ou empresário ou profissional liberal tiver menos de 250 trabalhadores, mantendo-se porém, se o tratamento implicar riscos para os direitos e liberdades do titular dos dados e não for ocasional ou abranja as categorias especiais de dados. Mas estamos a falar apenas do registo das actividades de tratamento não é a necessidade de contratação do Encarregado da Protecção de Dados e demais cumprimento deste Regulamento.
Mais sobre este assunto na Revista Pontos de Vista do Jornal Público