Vivemos uma era de rápida evolução tecnológica, a que as pessoas aderem com facilidade e que é necessário acompanhar, mas que comporta riscos inerentes ao seu uso, com especial relevância no que toca aos dados pessoais, que se encontram hoje mais desprotegidos contra a sua divulgação não autorizada. O Regulamento Geral de Protecção de Dados – RGPD – foi criado para proteger o cidadão face ao tratamento desses dados pessoais e entra em vigor no próximo dia 25 de Maio de 2018.
Em Janeiro de 2012, a Comissão Europeia apresentou uma proposta de regulamento sobre a protecção de dados pessoais. Depois de anos de intensa negociação, foi alcançado este regulamento, que no pressuposto do direito fundamental dos cidadãos da EU verem os seus dados protegidos, vai introduzir um novo regime em matéria de protecção de dados pessoais. Para além do reforço da protecção jurídica dos direitos dos titulares dos dados, o RGPD exige novas regras e procedimentos do ponto de vista tecnológico.
As novidades prendem-se essencialmente com o reforço dos direitos dos titulares dos dados (portabilidade dos dados e direito ao apagamento), definição de categorias especiais de dados pessoais (dados biométricos, dados de saúde), criação de obrigações para os responsáveis pelo tratamento dos dados e subcontratantes, caso existam. Reforça-se o papel da Comissão Nacional de Protecção de Dados enquanto Autoridade de Protecção de Dados portuguesa, que terá de ser notificada em caso de violação de dados pessoais e obtida a sua autorização em caso de necessidade de Avaliação de Impacto de Protecção de Dados. Ela também irá colaborar com o Instituto Português de Acreditação, IP – IPAC, entidade que assume a responsabilidade de acreditação dos organismos de certificação em matéria de protecção de dados.
A opção do governo foi a de propor pelo menos um Encarregado de Protecção de Dados por cada área governativa, por cada secretaria regional, por cada município, nas freguesias em que tal se justifique, e por cada pessoa colectiva pública. No caso do sector privado, esta figura de Encarregado de Protecção de Dados pode não ser necessária, dependendo da dimensão da empresa ou da actividade principal prosseguida. O governo também já veio fixar a sua proposta de valores mínimos das coimas aplicáveis em caso de violação do RGPD, que começa nos 500 euros para pessoas singulares nas contraordenações graves e termina no valor mínimo de 5 mil euros para grandes empresas no caso de contraordenações muito graves. Mas o valor das coimas pode chegar, no limite máximo, aos 20 milhões de euros ou 4% do volume de negócios anual, aplicando-se o maior valor.
A alteração de paradigma que este RGPD veio introduzir (a CNPD deixa de exercer funções de controlo prévio), com acento tónico na responsabilidade que todos temos de ter no tratamento de dados pessoais para fins que não sejam exclusivamente pessoais e domésticos, ainda não contagiou o Estado, pois o governo preferiu optar por o isentar do regime punitivo contraordenacional as entidades públicas, pelo menos durante 3 anos após a entrada em vigor da lei que assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho de 27 de Abril de 2016, e que ainda não foi aprovada no nosso Parlamento.