< voltar

O novo Regulamento sobre Dados Pessoais

Foi publicado, no dia 4 de maio de 2016, o novo Regulamento Geral sobre a Proteção de Dados Pessoais – Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (“Regulamento”) – marcando um momento de verdadeira revolução nas normas aplicáveis ao tratamento de informação relativa a pessoas singulares identificadas ou identificáveis.

O impacto deste Regulamento é significativo e complexo, criando novas obrigações para as entidades que tratem dados pessoais, reforçando e densificado as já existentes. O Regulamento vem revogar a anterior legislação, aprovada numa época anterior ao alastrar da utilização da Internet e do próprio surgimento da economia digital.

Embora tenha sido já publicado em maio de 2016, o Regulamento apenas será aplicável na União Europeia a partir de 25 de maio de 2018. Os responsáveis pelo tratamento e os subcontratantes têm, assim, um intervalo durante o qual lhes é concedido um período de adaptação às novidades do Regulamento.

Descrevemos a seguir algumas das alterações mais relevantes.

Comunicação de violações de dados pessoais

Uma novidade do Regulamento é a obrigação de comunicar à CNPD qualquer violação de dados pessoais que ocorra, no prazo de 72 horas após a sua ocorrência.

Quando a violação possa implicar um elevado risco para os direitos e liberdades dos titulares dos dados pessoais afetados, será necessário também comunicar a ocorrência da violação em causa aos próprios titulares. Esta comunicação deverá ser feita de modo claro, simples e percetível para o titular, sem demora injustificada.

Estas obrigações enfatizam, assim, a importância que deve ser dada à segurança dos dados pessoais tratados, e não só para evitar que as violações possam sequer acontecer – isto porque, caso seja considerado que as medidas de segurança implementadas num determinado tratamento hajam sido adequadas a acautelar os riscos inerentes ao mesmo, e a violação tenha ocorrido não obstante essa implementação, a comunicação aos titulares poderá deixar de ser exigível.

Encarregado da Proteção de Dados

Outra inovação do Regulamento prende-se com a introdução da figura do Encarregado da Proteção de Dados (Data Protection Officer). Este ficará incumbido, em cooperação com a CNPD, de fiscalizar o cumprimento das normas do Regulamento, visando assim agilizar os mecanismos de supervisão.

Em especial, deve desempenhar, no mínimo, as seguintes funções:

Informar e aconselhar o responsável pelo tratamento, o subcontratante e os trabalhadores que tratem dados pessoais a respeito das obrigações a que estão vinculados por força do Regulamento;
Controlar a conformidade das operações de tratamento com o Regulamento e outras disposições legais de proteção de dados aplicáveis, bem como avaliar as políticas de proteção de dados pessoais, definidas pelos responsáveis pelo tratamento / subcontratantes;
Prestar aconselhamento no que respeita a avaliações do impacto de tratamentos de dados pessoais sobre a proteção de dados, bem como controlar a sua realização;
Cooperar com a CNPD, agindo como seu ponto de contacto sobre questões relacionadas com o tratamento de dados, incluindo no âmbito de consulta prévia.

Este Encarregado deverá ser nomeado com base nas suas qualidades profissionais e conhecimentos especializados na área da proteção de dados.

Avaliação de impacto sobre a proteção de dados pessoais

O aumento da responsabilização das entidades que tratem dados pessoais, efetuada pelo Regulamento reflete-se também na obrigação de proceder a avaliações do impacto sobre a proteção de dados. Estas avaliações terão de ser feitas sempre que um certo tipo de tratamento de dados proposto seja suscetível de implicar um elevado risco para os direitos e liberdades dos titulares – tendo em conta a natureza, âmbito, contexto e finalidades do mesmo.

Sanções

O valor máximo das coimas por violação das regras previstas no Regulamento será de EUR 20.000.000,00 ou 4% do volume de negócios mundial da entidade em causa, consoante o montante que for mais elevado.

Daniel Reis

Sócio • Partner

PLMJ – Sociedade de Advogados, RL

	fevereiro de 2017 \| nº31
ARTIGOS DE OPINIÃO Semelhanças entre a ISO/IEC 27001 e o Regulamento Europeu de Proteção dos Dados Pessoais A nova norma ISO IEC 30105 BPO Conhecimento organizacional - a norma 9001:2015 como ferramenta para o sucesso das organizações Semelhanças entre o CISO / Gestor de Segurança da Informação e o DPO / Encarregado de Proteção de Dados ISO/IEC 27001 - Serviços cloud, privacidade, cibersegurança e datacenters - novos desafios para uma norma de referência no mundo da segurança empresarial VOZ DO CLIENTE Informa DB Autoridade Antidopagem de Portugal Factis Conceito Multicert STEP PLMJ Macedo Vitorino ENTIDADES CERTIFICADORAS APCER Exova BM TRADA Portugal QUALIWORK E PARCEIROS Apresentação da QualiWork Apresentação da Prime Alliance Apresentação da Vercont Apresentação da Scopphu > Conheça o nosso calendário	< voltar O novo Regulamento sobre Dados Pessoais Foi publicado, no dia 4 de maio de 2016, o novo Regulamento Geral sobre a Proteção de Dados Pessoais – Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (“Regulamento”) – marcando um momento de verdadeira revolução nas normas aplicáveis ao tratamento de informação relativa a pessoas singulares identificadas ou identificáveis. O impacto deste Regulamento é significativo e complexo, criando novas obrigações para as entidades que tratem dados pessoais, reforçando e densificado as já existentes. O Regulamento vem revogar a anterior legislação, aprovada numa época anterior ao alastrar da utilização da Internet e do próprio surgimento da economia digital. Embora tenha sido já publicado em maio de 2016, o Regulamento apenas será aplicável na União Europeia a partir de 25 de maio de 2018. Os responsáveis pelo tratamento e os subcontratantes têm, assim, um intervalo durante o qual lhes é concedido um período de adaptação às novidades do Regulamento. Descrevemos a seguir algumas das alterações mais relevantes. Comunicação de violações de dados pessoais Uma novidade do Regulamento é a obrigação de comunicar à CNPD qualquer violação de dados pessoais que ocorra, no prazo de 72 horas após a sua ocorrência. Quando a violação possa implicar um elevado risco para os direitos e liberdades dos titulares dos dados pessoais afetados, será necessário também comunicar a ocorrência da violação em causa aos próprios titulares. Esta comunicação deverá ser feita de modo claro, simples e percetível para o titular, sem demora injustificada. Estas obrigações enfatizam, assim, a importância que deve ser dada à segurança dos dados pessoais tratados, e não só para evitar que as violações possam sequer acontecer – isto porque, caso seja considerado que as medidas de segurança implementadas num determinado tratamento hajam sido adequadas a acautelar os riscos inerentes ao mesmo, e a violação tenha ocorrido não obstante essa implementação, a comunicação aos titulares poderá deixar de ser exigível. Encarregado da Proteção de Dados Outra inovação do Regulamento prende-se com a introdução da figura do Encarregado da Proteção de Dados (Data Protection Officer). Este ficará incumbido, em cooperação com a CNPD, de fiscalizar o cumprimento das normas do Regulamento, visando assim agilizar os mecanismos de supervisão. Em especial, deve desempenhar, no mínimo, as seguintes funções: Informar e aconselhar o responsável pelo tratamento, o subcontratante e os trabalhadores que tratem dados pessoais a respeito das obrigações a que estão vinculados por força do Regulamento; Controlar a conformidade das operações de tratamento com o Regulamento e outras disposições legais de proteção de dados aplicáveis, bem como avaliar as políticas de proteção de dados pessoais, definidas pelos responsáveis pelo tratamento / subcontratantes; Prestar aconselhamento no que respeita a avaliações do impacto de tratamentos de dados pessoais sobre a proteção de dados, bem como controlar a sua realização; Cooperar com a CNPD, agindo como seu ponto de contacto sobre questões relacionadas com o tratamento de dados, incluindo no âmbito de consulta prévia. Este Encarregado deverá ser nomeado com base nas suas qualidades profissionais e conhecimentos especializados na área da proteção de dados. Avaliação de impacto sobre a proteção de dados pessoais O aumento da responsabilização das entidades que tratem dados pessoais, efetuada pelo Regulamento reflete-se também na obrigação de proceder a avaliações do impacto sobre a proteção de dados. Estas avaliações terão de ser feitas sempre que um certo tipo de tratamento de dados proposto seja suscetível de implicar um elevado risco para os direitos e liberdades dos titulares – tendo em conta a natureza, âmbito, contexto e finalidades do mesmo. Sanções O valor máximo das coimas por violação das regras previstas no Regulamento será de EUR 20.000.000,00 ou 4% do volume de negócios mundial da entidade em causa, consoante o montante que for mais elevado. Daniel Reis Sócio • Partner PLMJ – Sociedade de Advogados, RL
	Av. Columbano Bordalo Pinheiro, 61C, 1º Andar, Escritório 13, 1070-061 Lisboa, Portugal tel. 917842136 \| 917840772 \| 917843174 \| www.qualiwork.pt \| geral@qualiwork.pt
Para deixar de receber a newsletter envie um e-mail para geral@qualiwork.pt