O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, que conhecemos por RGPD – Regulamento Geral sobre a Proteção de Dados, apresenta um conjunto de regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, aplicável desde 25 de maio de 2018.
Estão sujeitas à aplicação do RGPD as empresas que tenham o seu estabelecimento no território da União Europeia (UE), independentemente da sua localização, ainda que o tratamento dos dados seja feito fora da UE.
Os dados pessoais são toda e qualquer informação relativa a uma pessoa singular identificada ou identificável, isto é, informações que identifiquem ou possam levar à identificação de uma determinada pessoa. Existem dados pessoais classificados como sensíveis, que merecem uma maior proteção, designadamente, os que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, filiação sindical, genéticos, biométricos relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa.
O tratamento de dados abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados, que vai desde a recolha até à sua eliminação. Esse tratamento está assente em princípios basilares, como o da licitude, lealdade, transparência, limitação das finalidades, minimização dos dados, exatidão, limitação da conservação, integridade, confidencialidade e responsabilidade.
Em contexto empresarial, o tratamento de dados pessoais é lícito se tiver como fundamento o cumprimento de obrigações legais, for necessário para a execução de um contrato, para diligências pré-contratuais a pedido do titular dos dados, necessário para efeitos de interesse legítimo ou o consentimento do titular dos dados.
O consentimento terá que ser dado de forma específica, informada, livre e inequívoca, através da qual por declaração ou ato positivo o titular comunica o seu acordo para o tratamento dos seus dados pessoais, para uma ou mais finalidades.
O responsável pelo tratamento terá que conseguir demonstrar que o titular dos dados deu o seu consentimento e informá-lo que poderá revogá-lo em qualquer momento, num processo rápido e fácil.
A grande mudança de paradigma, e que preocupa as empresas e as organizações, é o facto de agora lhes ser imposto o ónus de demonstrar que o tratamento de dados pessoais, que realiza no âmbito das suas atividades, se encontra em conformidade com o RGPD, e para esse efeito terão que apresentar evidências de compliance, e para isso é necessário implementar medidas técnicas e organizativas, de acordo com o RGPD e a legislação nacional, sob pena de incumprimento e incorrerem em sanções que poderão culminar em coimas elevadíssimas.