Bem-vindos ao RGPD! Ele está aí, chegou nada de mansinho a inundar as nossas caixas de correio com pedidos de consentimento e atualizações de políticas de privacidade e o Facebook, Google, Instagram e WhatsApp já foram presenteados com um processo por alegada violação do regulamento*. A histeria é grande e as dúvidas continuam a ser muitas.
Porque são questões que me colocam numa base diária, apresento aqui 5 mitos sobre o RGPD, que provavelmente o vão deixar um pouco mais tranquilo acerca desta nova lei.
1. O consentimento é sempre necessário para qualquer tratamento
Talvez o maior mito e que explica a enxurrada de e-mails que recebemos nos últimos dias. O pedido de consentimento, não é necessário em todos os casos. Estão previstos outros fundamentos legítimos no artigo 6º, nomeadamente:
- O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligencias pré́-contratuais a pedido do titular dos dados;
- O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
- O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
- O tratamento for necessário ao exercício de funções de interesse publico ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
- O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
Este último ponto, o dos “interesses legítimos” é especialmente importante, pois o conceito está relativamente bem explicado no preâmbulo do RGPD, alínea 47:
“Poderá́ haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento.”
“Poderá́ considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta.”
Com isto podemos dizer por exemplo que o tratamento decorrente da normal atividade comercial com os nossos clientes ativos é um interesse legítimo, incluindo o envio de e-mails de comercialização direta para esses mesmos clientes.
2. Somos uma grande empresa, precisamos de nomear um DPO.
Provavelmente não. A nomeação de um DPO, não tem relação direta com a dimensão da empresa mas sim com o tipo de tratamento que fazem de dados pessoais.
A função de encarregado de proteção de dados apenas é necessária nas organizações que tenham como atividade principal operações de tratamento que exijam um controlo regular e sistemático dos titulares dos dados em grande escala ou consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º
Qualquer autoridade ou organismo público, excetuando os tribunais no exercício da sua função jurisdicional terão também de designar um DPO.
3. Tenho encriptar todos os dados
Não tem que encriptar. A Encriptação ou cifragem é sempre uma medida eficaz na proteção de dados. Ao encriptar, estamos a fazer com que os dados apenas possam ser consumidos por quem foi designado o direito para tal e assim evitar que por exemplo um roubo de um portátil ou uma interceção de comunicação se torne numa violação de dados pessoais.
Não obstante a mais-valia da encriptação, na realidade, esta é apenas uma possível medida a fim de preservar a segurança e evitar o tratamento em violação. Assim, cabe ao responsável pelo tratamento de avaliar os riscos e aplicar as medidas que os atenuem.
4. Tenho de apagar os dados
Não tem de apagar, mas sim definir um prazo de apagamento. Na realidade, os prazos de apagamento serão definidos por cada organização tendo em conta as obrigações legais para cada tipo de dados, bem como a natureza do negócio. Sempre tendo em mente que o regulamento impõe a minimização dos dados e a sua conservação apenas durante o período considerado necessário.
5. O Regulamento aplica-se aos dados em formato digital e papel
Sim, mas com uma exceção. No preambulo do regulamento, alínea 15 encontramos:
“A fim de se evitar o sério risco sério de ser contornada a proteção das pessoas singulares,esta deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas. A proteção das pessoas singulares deverá aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros. Os ficheiros ou os conjuntos de ficheiros bem como as suas capas, que não estejam estruturados de acordo com critérios específicos, não deverão ser abrangidos pelo âmbito de aplicação do presente regulamento.”
Ou seja, dados em papel que não estejam estruturados de acordo critérios específicos podem ficar de fora da aplicação do RGPD.
*https://www.dinheirovivo.pt/empresas/google-e-facebook-processados-multa-pode-chegar-aos-76-mil-milhoes-de-euros/
