Vivemos numa era em que os dados valem mais do que o ouro. Cada clique, cada compra online, cada partilha nas redes sociais deixa um rasto digital. Como tal, devemos cada vez ter mais atenção à forma como os nossos dados pessoais são tratados.
Mas até que ponto sabemos o que acontece aos nossos dados pessoais?
É aqui que entra o Regulamento Geral sobre a Proteção de Dados (RGPD), um dos regulamentos mais importantes que vigora nos países da União Europeia, desde 2018. O principal objetivo é proteger os direitos fundamentais das pessoas no que diz respeito ao tratamento dos seus dados pessoais, de forma a garantir que as organizações que tratam destes dados são transparentes, responsáveis e, acima de tudo, éticas.
O que são dados pessoais?
Os dados pessoais não são apenas o nome e o número de identificação fiscal da pessoa. Ora, o RGPD define como dado pessoal qualquer informação relativa a uma pessoa singular identificada ou identificável, o que inclui muitos mais dados do que aqueles que imaginamos.
A proteção de dados protege então a privacidade e garante os direitos pessoais de cada pessoa, nomeadamente, a privacidade, a liberdade, a identidade pessoal, o livre desenvolvimento da personalidade e a discriminação.
Quais são os direitos dos titulares dos dados?
Existem, assim, seis parâmetros que devemos considerar no que diz respeito aos dados pessoais:
- Licitude, lealdade e transparência, ou seja, o titular dos dados tem de saber quem é o responsável pelo tratamento;
- Limitação da finalidade, isto é, os dados só podem ser usados para as finalidades pelas quais foram recolhidos;
- Minimização dos dados, por exemplo, num ficheiro, os dados que não são necessários, devem ser tapados;
- Limite de conservação, ou seja, os dados têm sempre um prazo limite, não devendo ser conservados.
- Integridade e confidencialidade, que corresponde à exatidão dos dados e ao seu carácter confidencial.
Quais são as obrigações das organizações que procedem ao tratamento de dados pessoais?
Existe o princípio da responsabilidade da organização, isto é, a organização tem de cumprir todas as regras e demonstrar que está a cumpri-las, existindo obrigações gerais e obrigações concretas.
Nestes termos, quanto às obrigações gerais, todos os tratamentos de dados com uma finalidade específica que são feitos têm de estar num registo, existindo assim, nos termos do artigo 30.º do RGPD, um registo das atividades de tratamento, a RAT.
As organizações têm ainda de ter um encarregado de proteção de dados de forma a garantir medidas técnicas e organizativas adequadas à proteção dos dados que tratam. Existe ainda, nos termos do artigo 13.º e 14.º do RGPD, o dever de informação aos titulares dos dados. Além disso, o responsável pelo tratamento tem de cooperar com a autoridade de controlo dos dados.
Relativamente às obrigações concretas, a organização tem de proceder a uma avaliação de impacto sobre a proteção de dados, nos termos do artigo 35.º do RGPD, denominada como AIPD. Têm ainda a obrigação de proteger o dado desde a conceção e por defeito, à luz do disposto no artigo 25.º do RGPD, ou seja, o responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só são tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento.
Por fim, a organização tem ainda de proceder à notificação dos data breaches, isto é, sempre que se verifica uma intrusão no sistema que afeta a confidencialidade, deve-se sempre notificar a entidade de controlo competente.
As consequências para o incumprimento destas obrigações encontram-se previstas no RGPD. Ora, o regulamento prevê a aplicação de coimas elevadas, que podem ir de 10 a 20 milhões de euros. Além disso, o artigo 82.º do RGPD prevê que as organizações podem ser obrigadas a indemnizar os titulares dos dados por danos materiais ou morais resultantes da violação do RGPD.
Conclui-se, assim, que num mundo cada vez mais digital, com a inteligência artificial a crescer exponencialmente, a proteção de dados tornou-se um pilar essencial da confiança entre os cidadãos e as organizações. No entanto, essa confiança só é real quando existe transparência, responsabilidade e respeito pelos direitos de cada cidadão e pelos seus dados pessoais.
