O que é o RGPD? Tudo o que precisa de saber sobre o Regulamento Geral de Proteção de Dados

O Regulamento Geral de Proteção de Dados (RGPD) é uma lei europeia (UE 2016/679), de adoção obrigatória e automática pelos estados-membros, que estabelece regras sobre a proteção, o processamento e a livre circulação dos dados pessoais dos cidadãos nos estados-membros da União Europeia.

A definição de dados pessoais, neste contexto, refere-se a informação relativa a uma pessoa singular identificada ou identificável (o chamado “titular dos dados”). Nome, número de cartão nacional de identificação, número de telefone e outros elementos similares são exemplos de dados pessoais.

Este regulamento tem como inspiração o art.º 8.º da Carta dos Direitos Fundamentais da União Europeia (CDFUE), um tratado comunitário assinado em 2000 e que criou uma estrutura de proteção de direitos própria dos cidadãos da União. Até então os tratados europeus limitavam-se a questões de ordem política e económica, focados principalmente nas relações entre Estados e não se dirigindo diretamente aos cidadãos.

O artigo 8.º da CDFUE refere-se à proteção de dados pessoais, e o RGPD visa a harmonização das leis dos vários estados-membros da União sobre esta matéria.

O crescimento da internet nas últimas décadas fez aumentar exponencialmente a quantidade de dados de clientes e utilizadores na posse das empresas e organizações. Consequentemente, surgiram questões sobre a privacidade desses dados, o seu uso por terceiros e riscos de roubos ou vazamentos.

O RGPD aplica-se ao tratamento de dados pessoais efetuado por uma entidade responsável (diretamente ou por subcontratação), situada no território da União. O RGPD estende-se também à proteção de dados de pessoas que se encontrem num país da União, quando esses dados forem tratados por uma entidade não estabelecida na União mas que impliquem oferta de bens e serviços aos titulares desses dados na União.

Um dos principais exemplos do RGPD aplicado à prática é a forma como as grandes empresas tecnológicas norte-americanas devem submeter-se a ele se quiserem atuar em território europeu. De resto, esta é uma luta que promete continuar, como se viu na “troca de galhardetes” pública entre Elon Musk, novo proprietário do Twitter, e Thierry Breton, comissário europeu para o Mercado Interno, nos finais de 2022 e inícios de 2023.

O RGPD estabelece sete princípios sobre a forma como as organizações devem recolher, usar e proteger os dados dos utilizadores, configurando um regime de proteção de dados. Os sete princípios são:

1. Licitu​​de, lealdade e transparência. As organizações devem assegurar-se que o processamento de dados cumpre a lei, é claro, e não fere os interesses do cidadão.
2. Limitação da final​idade. As organizações devem especificar qual o motivo concreto pelo qual precisam de conservar e armazenas dados pessoais.
3. Minimização dos dados. A organização não deve recolher mais dados que os necessários, tendo em conta o motivo ou propósito que as leva a recolher esses dados. Trata-se de um princípio estreitamente associado ao anterior.
4. Exatidão. Os dados que estejam incorretos ou que não sejam relevantes para o objetivo da organização devem ser corrigidos ou apagados.
5. Limitação da conservação​​. A organização só deve conservar os dados pessoais pelo tempo necessário para atingir o objetivo ou cumprir o propósito que motivou a sua recolha.
6. I​ntegridade e confidencialidade. A organização assume uma responsabilidade perante o cidadão e a lei, no sentido em que deve tomar medidas para impedir o uso não autorizado ou ilegal dos dados que lhe são confiados.
7. Responsabilidade. No sentido do princípio anterior, este princípio requer às organizações que demonstrem, de forma factual e com provas, que estão a cumprir os requisitos legais de proteção dos dados pessoais que conservam.

Significa, simplesmente, conformidade com os requisitos e procedimentos exigidos pela lei RGPD sobre o tratamento de dados pessoais. As organizações que desrespeitem a lei podem ser confrontadas com multas e outras penalizações; no caso de violações graves, a multa pode chegar a 20 milhões de euros ou 4% da receita anual (o que for mais alto).

O foco do RGPD é os dados pessoais vistos como um bem frágil e que é necessário proteger, com o foco na parte considerada mais fraca nesta equação: o cidadão, individualmente considerado. Se é verdade que alguns administradores ou CEOs de empresas podem alinhar vários exemplos em que o RGPD veio dificultar a sua atividade, se se virem como utilizadores rapidamente compreendem a pertinência deste instrumento. As gigantes tecnológicas (Meta, Twitter, Amazon, etc.) acumulam dados pessoais em grande escala e têm no RGPD um obstáculo à respetiva livre utilização – e ao livre abuso.

O cidadão tem o direito a ser informado pela empresa ou organização sobre a forma como os seus dados vão ser processados, nas diversas vertentes, como por exemplo:

• Como vão ser recolhidos
• Como serão utilizados
• A quem serão disponibilizados
• Por quanto tempo serão conservados

A pessoa tem sempre o direito de aceder aos seus dados pessoais, de receber informação sobre o objetivo da recolha e como é que a organização conserva e faz a gestão desses dados. O RGPD prevê a figura específica do pedido de acesso a dados pessoais, submetido pelo próprio cidadão (e nunca por terceiros) através de um formulário próprio, devendo a organização responder formalmente no prazo de um mês.

As pessoas têm o direito de exigir junto da organização a retificação ou correção dos dados sempre que estejam incompletos, incorretos ou não sejam rigorosos. Naturalmente, sempre que determinados dados fixos ou permanentes sejam alterados (por exemplo, uma morada), a pessoa manterá o direito a pedir a alteração.

Os titulares dos dados têm o direito de requerer que a entidade apague definitivamente um certo conjunto de informação. A organização não será, todavia, obrigada a apagar esses dados se precisar deles para cumprir obrigações legais.

Já é habitual que certas pesquisas em motores de pesquisa, nomeadamente no Google, devolvam uma mensagem a informar que determinados resultados não foram mostrados devido à exigência de cumprimento deste direito.

Se, por qualquer motivo, a pessoa exigir o apagamento dos dados e estes não possam ser apagados, a pessoa terá este direito suplementar, exigindo que o uso e processamento dos dados seja restrito.

Os cidadãos têm o direito de exigir que os seus dados pessoais sejam transferidos para outra organização. A organização que esteja na posse deles deve fornecê-los de uma forma estruturada, de acordo com os padrões técnicos correntes e para que possam ser lidos por computadores ou máquinas.

O cidadão tem direito a objetar que os seus dados sejam processados com determinado propósito (por exemplo, em ações de marketing direto).

O cidadão pode exigir que a tomada de decisões sobre os seus dados seja diretamente executada por um humano, e não por um algoritmo, software ou outro elemento informaticamente automatizado. Este direito é especialmente interessante nos tempos em que vivemos, dada a explosão de ferramentas de inteligência artificial e a possibilidade crescente de que diversas decisões desta ordem sejam tomadas por máquinas.

De uma forma geral, eis as medidas que deverá tomar, sem exclusão de outras:

• Implementar instrumentos que protejam os dados pessoais que a sua empresa ou organização armazena (firewalls, regras quanto ao estabelecimento de passwords seguras e alteradas regularmente, criar níveis diferenciados de acesso à informação armazenada, etc.);
• Mapear, estruturar e classificar por categorias os dados recolhidos;
• Dar formação aos colaboradores sobre o RGPD;
• Ponderar se será necessário ou até obrigatório nomear um Encarregado de Proteção de Dados, diretamente responsável por esta atividade;
• Criar procedimentos automáticos que simplifiquem o cumprimento do RGPD;
• Ter atenção ao prazo de 72 horas para comunicar à autoridade reguladora, a Comissão Nacional de Proteção de Dados, e aos titulares, um incidente relativo à segurança dos dados.

Agora que sabe o que é o RGPD, poderá perguntar-se até que ponto os seus dados pessoais estão mesmo seguros. Por um lado, existe uma luta permanente entre empresas e reguladores quanto aos limites de atuação – algo a que aludimos acima, na disputa entre o Twitter e a Comissão Europeia.

Além disso, e como também referimos, as gigantes tecnológicas fazem questão de armazenar dados sobre os nossos padrões de utilização de internet, podendo vendê-los a terceiros com fins publicitários. Como se costuma dizer, o Facebook dispõe de informação sobre pessoas que nem sequer têm conta no Facebook – apenas graças aos dados sobre tais pessoas fornecidos ao Facebook por terceiros.

O RGPD é um passo no caminho certo, mas insuficiente para garantir a total privacidade online. Aplica-se também aquele que é, afinal, um princípio de base das sociedades liberais e democráticas: o princípio de liberdade e responsabilidade do utilizador. Cabe-lhe a si uma parte da tarefa de se proteger na internet: adotando comportamentos preventivos, evitando aceder a sites perigosos, instalando uma VPN para que hackers e o seu próprio fornecedor de serviços de internet não consigam intercetar e ler o conteúdo das suas mensagens, entre outras. Já parou para pensar se está a proteger-se ou à sua empresa?