Bancos, hospitais, laboratórios farmacêuticos, entre outros, vão ser obrigados a ter, dentro de dois anos, um responsável pelo tratamento de dados pessoais, uma nova função criada por um regulamento comunitário.
Corpo do artigo
"Terá de ser ou um jurista ou um engenheiro informático", explicou à Lusa Leonor Chartre, especialista em proteção de dados e advogada na Cuatrecasas, adiantando que o novo posto de trabalho vai ter de ser criado nas empresas, quando o regulamento começar a ser aplicado, mas poderá ser ocupado por um trabalhador da empresa.
Novo Regulamento Geral de Proteção de Dados foi aprovado pelo Parlamento Europeu em 14 de abril
O responsável pelo tratamento de dados pessoais, que vai reportar a sua atividade diretamente ao Conselho de Administração da empresa, tem como funções, entre outras, monitorizar toda a atividade da empresa em termos de dados pessoais e ser o "interlocutor privilegiado" em matéria de dados pessoais, dentro da empresa e da empresa para o exterior.
"Tem de ser alguém com um conhecimento bastante grande da compliance [cumprimento de regras ou leis] da empresa, ao nível físico e informático, e ainda um bom conhecimento da legislação de proteção de dados, atual e anterior", defendeu a jurista.
As empresas obrigadas a ter este novo responsável pelo tratamento de dados são todas aquelas cuja atividade implique uma sistematização e uma monitorização de dados em larga escala, entre as quais multinacionais do setor do farmacêutico ou financeiras, ambas detentoras de dados sensíveis, explicou a advogada.
Mas a maior novidade do novo Regulamento Geral de Proteção de Dados - aprovado pelo Parlamento Europeu em 14 de abril e que aguarda publicação no jornal oficial para ser aplicado dois anos depois da sua entrada em vigor - é a responsabilização dessas empresas que tratam dados pessoais e a obrigação de prestarem contas sobre esse tratamento.
Quem não cumprir as novas obrigações fica sujeito a maiores penalizações
Quem não cumprir as novas obrigações do regulamento vai ficar sujeito a maiores penalizações (do que as atuais, que se baseiam numa diretiva com mais de 20 anos), que podem atingir os 20 milhões de euros ou até 4% do volume de negócios anual da empresa.
O primeiro objetivo do regulamento era o de uniformizar a legislação dispersa na comunidade europeia sobre dados pessoais, introduzindo um maior controlo dos utilizadores sobre os seus dados e abrangendo mais empresas nas obrigações de proteção de dados, mesmo que não tenham um estabelecimento na União Europeia (UE), desde que o tratamento de dados vise a oferta de bens e serviços aos titulares de dados pessoais ou a monitorização dos seus comportamentos na UE.
"O estabelecimento pressupõe o exercício efetivo e real de uma atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jurídica, não é fator determinante nesse contexto", esclarece o regulamento.
O diploma determina ainda que, no que diz respeito ao tratamento de dados pessoais para cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, os Estados-membros devem "poder manter ou aprovar disposições nacionais" para especificar a aplicação das regras do regulamento.
O regulamento também dá aos Estados-membros margem de manobra para especificarem as suas regras, inclusive em matéria de tratamento de categorias especiais de dados pessoais ("dados sensíveis").
"Nessa medida, o presente regulamento não exclui o direito dos Estados-membros de definir as circunstâncias de situações específicas de tratamento, incluindo a determinação mais precisa das condições em que é lícito o tratamento de dados pessoais", lê-se no diploma.