Helpdesk

Suporte Remoto - SOS

Regulamento geral sobre a proteção de dados

O elemento fundamental do pacote apresentado pela Comissão é o regulamento geral sobre a proteção de dados. Este projeto de regulamento atualiza e moderniza os princípios estabelecidos na Diretiva Proteção de Dados de 1995. Nomeadamente, define os direitos das pessoas singulares e estabelece as obrigações dos que efetuam o tratamento dos dados e dos responsáveis por esse tratamento. Estabelece ainda os métodos que garantem a conformidade e o âmbito das sanções aplicáveis aos infratores.

Numa reunião extraordinária realizada a 17 de dezembro de 2015, a Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos do Parlamento Europeu manifestou a sua posição sobre o texto acordado nas negociações do trílogo entre o Conselho, o Parlamento Europeu e a Comissão. Em 18 de dezembro de 2015, o Comité de Representantes Permanentes (Coreper) aprovou o texto de compromisso. O Conselho confirmou o acordo em 12 de fevereiro de 2016, adotando um acordo político sobre o texto.

Em pormenor

O projeto de regulamento aborda várias questões fundamentais.

Direitos do titular dos dados

O regulamento enumera os direitos do titular dos dados, ou seja, da pessoa cujos dados são objeto de tratamento. Estes direitos reforçados conferem maior controlo às pessoas sobre os seus dados pessoais, nomeadamente mediante:

  • a exigência de as pessoas darem um claro consentimento ao processamento dos dados pessoais
  • o acesso mais fácil do titular dos dados aos seus dados pessoais
  • os direitos de retificação, de apagamento e a "ser esquecido"
  • o direito de oposição, nomeadamente à utilização de dados pessoais para efeitos de definição de perfis
  • o direito de portabilidade dos dados de um prestador de serviços para outro

O regulamento estabelece igualmente a obrigação de os responsáveis pelo tratamento de dados fornecerem aos titulares dos dados informações transparentes e de fácil acesso sobre o processamento dos seus dados.

Conformidade

O regulamento especifica as obrigações gerais dos responsáveis pelo tratamento dos dados pessoais e dos que efetuam esse tratamento (subcontratantes). Essas obrigações incluem a obrigação de aplicar medidas de segurança adequadas, em função dos riscos inerentes às operações de tratamento de dados efetuadas por esses responsáveis e subcontratantes (abordagem baseada no risco). Nalguns casos, também se exige aos responsáveis pelo tratamento de dados que notifiquem as violações de dados pessoais. Todas as autoridades públicas e as empresas que desempenhem certas operações sensíveis de tratamento de dados terão igualmente de designar um responsável pela proteção de dados.

Supervisão e indemnização

O projeto de regulamento confirma a atual obrigação de os Estados-Membros instituírem uma autoridade de controlo independente a nível nacional. Tem igualmente como objetivo a criação de mecanismos que velem pela aplicação coerente da legislação relativa à proteção de dados em toda a UE. Em particular, nos casos transfronteiras importantes que envolvam várias autoridades nacionais de controlo, é tomada uma decisão única de controlo. Este princípio, conhecido como balcão único, significa que uma empresa que tenha filiais em vários Estados-Membros só terá de tratar com a autoridade nacional responsável pela proteção de dados do Estado-Membro do seu estabelecimento principal.

O projeto de acordo inclui a criação de um Comité Europeu para a Proteção de Dados. Este comité será composto pelos representantes de todas as 28 autoridades de controlo independentes e substituirá o atual Comité do artigo 29.º. 

O regulamento reconhece o direito de o titular dos dados de apresentar queixa a uma autoridade de controlo, bem como o direito de ação judicial, de indemnização e responsabilidade. A fim de assegurar às pessoas a proximidade nas decisões que os afetam, os titulares de dados terão o direito de recorrer junto dos tribunais nacionais das decisões da respetiva autoridade responsável pela proteção de dados. Neste contexto, não importa em que Estado-Membro o responsável pelo tratamento de dados esteja estabelecido.

Prevê ainda sanções pesadas contra os responsáveis pelo tratamento de dados ou os subcontratantes que violem as regras de proteção de dados. Os responsáveis pelo tratamento de dados estão sujeitos a sanções que podem ascender a 20 milhões de euros ou a 4% do seu volume total de negócios anual. Estas sanções administrativas serão impostas pelas autoridades nacionais responsáveis pela proteção de dados.

Transferência para países terceiros

O regulamento abrange igualmente a transferência de dados pessoais para países terceiros e organizações internacionais. Para o efeito, propõe-se que a Comissão fique encarregue de avaliar o nível de proteção assegurado num determinado território ou setor de tratamento de dados de um país terceiro. Na ausência de uma decisão de adequação da Comissão relativa a um território ou um setor, a transferência de dados pessoais poderá ocorrer em casos específicos ou quando existam garantias adequadas (cláusulas-tipo de proteção de dados, regras vinculativas para empresas, cláusulas contratuais).

O regulamento entra em vigor na primavera de 2016 e deve ser aplicável durante 2017

Peça mais informação sem compromisso

21 490 64 10