Este mês o da Belzuz Abogados S.L.P. – Sucursal em Portugal debruça-se sobre o Regulamento Geral sobre a proteção de dados, apresentado pela Comissão Europeia. Este projeto de regulamento atualiza e moderniza os princípios estabelecidos na diretiva de 1995 relativa à proteção de dados, definindo, nomeadamente, os direitos das pessoas singulares e estabelecendo as obrigações dos que efetuam o tratamento dos dados e dos responsáveis por esse tratamento. No mês de dezembro de 2015, o Conselho e o Parlamento Europeu chegaram a acordo sobre o projeto de regulamento. O Conselho adotou a sua posição em primeira leitura em 8 de abril de 2016, e no passado dia 14 de abril o Parlamento Europeu procedeu finalmente à adoção do referido projeto de regulamento.
Este regulamento aborda várias questões fundamentais, entre elas, os direitos do titular dos dados, ou seja, da pessoa cujos dados são objeto de tratamento. Estes direitos reforçados conferem maior controlo às pessoas sobre os seus dados pessoais, nomeadamente mediante a exigência de as pessoas darem um claro consentimento ao processamento dos seus dados pessoais; o acesso mais fácil do titular aos seus dados pessoais; os direitos de retificação, de apagamento e a «ser esquecido»; o direito de oposição, nomeadamente à utilização de dados pessoais para efeitos de definição de perfis; ou o direito de portabilidade dos dados de um prestador de serviços para outro.
O regulamento estabelece igualmente a obrigação de os responsáveis pelo tratamento de dados pessoais e dos que efetuam esse tratamento, como é o caso dos subcontratantes, fornecerem aos titulares dos dados, informações transparentes e de fácil acesso sobre o processamento dos seus dados. Essas obrigações incluem a obrigação de aplicar medidas de segurança adequadas, em função dos riscos inerentes às operações de tratamento de dados efetuadas por esses responsáveis. Também se exige aos responsáveis que notifiquem as violações de dados pessoais. Todas as autoridades públicas e as empresas que desempenhem certas operações sensíveis de tratamento de dados terão igualmente de nomear um responsável pela proteção de dados.
O regulamento confirma a atual obrigação de os Estados-Membros instituírem uma autoridade de controlo independente a nível nacional, assim como a criação de mecanismos que ajudem à aplicação coerente da legislação relativa à proteção de dados em toda a União Europeia. Em particular, nos casos transfronteiras importantes que envolvam várias autoridades nacionais de controlo, é tomada uma decisão única de controlo. Este princípio, conhecido como balcão único, significa que uma empresa que tenha filiais em vários Estados-Membros só terá de tratar com a autoridade nacional responsável pela proteção de dados do Estado-Membro do seu estabelecimento principal.
O projeto de acordo inclui também a criação de um Comité Europeu para a Proteção de Dados, comité este que será composto pelos representantes de todas as 28 autoridades de controlo independentes e substituirá o atual Comité.
É ainda reconhecido pelo regulamento o direito do titular dos dados a apresentar queixa a uma autoridade de controlo, bem como o direito de ação judicial, de indemnização e responsabilidade. A fim de assegurar às pessoas a proximidade nas decisões que os afetam, os titulares de dados terão o direito de recorrer junto dos tribunais nacionais das decisões da respetiva autoridade responsável pela proteção de dados. Estão também previstas sanções pesadas contra os responsáveis pelo tratamento de dados ou os subcontratantes que violem as regras de proteção de dados.
Por último, está ainda abrangida a transferência de dados pessoais para países terceiros e organizações internacionais, sendo proposto que a Comissão Europeia fique encarregada de avaliar o nível de proteção assegurado num determinado território ou setor de tratamento de dados de um país terceiro.