Hoje é o Dia Europeu da Proteção de Dados Pessoais. À medida que proliferam o número de serviços que têm uma base tecnológica e à medida que evoluem as próprias tecnologias, é cada vez mais importante saber onde estão os seus dados, como são geridos e, acima de tudo, como são protegidos.
O mundo da proteção de dados pessoais está a sofrer uma alteração importante por via de um novo regulamento que foi aprovado pela Comissão Europeia. O novo Regulamento Geral de Proteção de Dados Pessoais já está em vigor desde maio de 2016, mas só no dia 25 de maio de 2018 é que passa a ser totalmente vinculativo.
Este período de dois anos, que está sensivelmente a meio, serve justamente para as empresas adaptarem as suas práticas às novas regras. Se no próximo ano as regras não forem respeitadas, então as multas podem chegar a vários milhões de euros.
A Comissão Nacional de Proteção de Dados (CNPD), a propósito do Dia Europeu da Proteção de Dados Pessoais, divulgou um documento com dez medidas que vão ajudar as empresas nesta transição. Pois como destacou a presidente da CNPD, Filipa Calvão, numa conferência esta semana: “As sanções são pesadas e podem matar as empresas”.
Mas não são só as empresas que devem estar conscientes das mudanças. Os utilizadores de internet e de serviços online também. Esta semana a Associação da Economia Digital (ACEPI) organizou a segunda edição da Conferência Economia Digital e Direito, onde a questão dos dados pessoais esteve em destaque.
Resumimos aqui sete mudanças importantes feitas à regulamentação e que foram destacadas no evento.
1) A nova lei abrange os seus dados, mesmo que sejam tratados por uma empresa fora da União Europeia
O novo regulamento tanto é aplicado às empresas que operam na UE, como para as empresas que estão fora da UE, mas cujos serviços destinam-se à população dos 28 Estados-Membros. Quer isto dizer que qualquer serviço online que esteja disponível em Portugal, mesmo que prestado por uma empresa dos EUA, tem de responder perante o novo regulamento. Esta é uma ideia importante a ter em conta caso venha a ter algum litígio com uma entidade que não pertence à União Europeia.
2) O conceito de ‘dados pessoais’ vai ser alargado
Vai passar a incluir muito mais informações do que o nome, morada, número de identificação fiscal ou email. Agora o termo ‘dados pessoais’ também inclui endereços IP – o número que identifica o seu dispositivo na internet -, dados biométricos como impressões digitais, dados de geolocalização, identificadores de dispositivos móveis e cookies.
Esta alteração é sobretudo importante ao nível do comércio eletrónico pois estes são dados que até ao ano passado eram recolhidos para traçar o perfil do consumidor online, mas não estavam abrangidos nas regras de proteção de dados.
3) Os termos de utilização como os conhece podem ter os dias contados
O regulamento europeu prevê que haja uma simplificação dos termos de utilização dos serviços. O objetivo é fazer com que as pessoas leiam de facto os termos de utilização e consigam entendê-los sem grande dificuldade. Isso contrasta com os extensos termos de utilização que atualmente vigoram na esmagadora maioria dos serviços online.
Serviços com diferentes finalidades, ainda que pertençam à mesma empresa, vão obrigar a uma aceitação separada de diferentes termos de utilização.
4) Jovens com autonomia para decidir
O novo regulamento diz que pessoas com 16 anos já podem dar o seu próprio consentimento aos termos de utilização, sem necessidade de autorização dos pais. Mas o documento também prevê que os Estados-Membros possam definir esta não-necessidade de consentimento a partir dos 13 anos de idade.
Imaginando que há um país onde a idade escolhida são os 16 anos, isso significa que todos os jovens abaixo dessa idade não podem registar-se em serviços como o Facebook ou o Twitter sem uma autorização dos pais.
5) Direito a ser esquecido vai ser acionável em seis situações
Depois da decisão de 2014 do Tribunal Europeu de Justiça sobre a Google, o direito a ser esquecido vai ter uma maior proeminência na gestão da proteção de dados. Passa a ser aplicável a todos os serviços online.
Os utilizadores poderão pedir o seu ‘esquecimento’ às empresas: quando os dados deixam de ser necessários para a finalidade que motivou a sua recolha; quando o utilizador retira o seu consentimento sobre a utilização dos dados; quando o utilizador opõe-se à forma como os seus dados pessoais estão a ser tratados; quando os dados pessoais são tratados de forma ilícita; quando a eliminação dos dados é decretada para cumprimento de uma obrigação jurídica; e quando os dados de menores foram recolhidos sem consentimento.
6) Passa a existir a portabilidade de dados
Na prática isto significa que os utilizadores podem pedir que todos os seus dados sejam passados de uma empresa para outra, pressupondo que atuam dentro do mesmo segmento de negócio. Um exemplo para perceber a ideia: está ligado ao operador de telecomunicações A, mas pretende trocar para o operador de telecomunicações B. Basta pedir a portabilidade de dados para que o processo de transição seja mais célere e mais simplificado.
A ideia é que possa vir a funcionar da mesma forma que a portabilidade de número de telemóvel.
7) Os ataques informáticos que resultam no roubo de dados pessoais têm de ser comunicados
As empresas alvo de ataques informáticos têm 72 horas para comunicar à entidade nacional responsável – no caso de Portugal será a Comissão Nacional de Proteção de Dados – o ataque e as implicações dos mesmos. Os utilizadores também poderão ser notificados mediante a gravidade do ataque, mas essa é uma questão à qual o novo regulamento deixa uma interpretação aberta.
