Blogue Insónias

Um novo quadro legal europeu em matéria de protecção de dados vislumbrando o Mercado Único Digital para a Europa

04 de Maio de 2016. Ficará ligado à história da União Europeia, em matéria da protecção de dados, pela publicação no Jornal Oficial da UE de exaustiva produção legislativa, mormente, do Regulamento (UE) 2016/679 – do Parlamento Europeu e do Conselho de 27.4.2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados); e, da Directiva (UE) 2016/680, do Parlamento Europeu e do Conselho de 27.4.2016 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho; e, da Directiva (UE) 2016/681, do Parlamento Europeu e do Conselho de 27.4.2016 relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave.

Porque o tratamento dos dados pessoais deverá ser concebido para servir as pessoas, e, não sendo um direito absoluto, este deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade, e, em respeito por todos os direitos fundamentais e observa(ndo) as liberdades e os princípios reconhecidos na Carta (Europeia dos Direitos Fundamentais) e consagrados nos Tratados.

Ainda que nos suscitem dúvidas quanto à extensão objectiva da aplicabilidade do Art.º2/2/d) conjugado com o Art.º23 do presente Regulamento – cujo aprofundamento trataremos num futuro excerto – notamos com particular regozijo, em matéria de protecção de pessoas singulares, algumas das novações trazidas. Desde logo, salientamos a consagração do «direito a ser esquecido» nos termos ao Art.º17º; a preocupação e protecção acrescida em torno do tratamento de dados pessoais que envolvam crianças, só valendo a sua licitude mediante o preenchimento do(s) requisito(s) de maior de 16 anos, ou, na sua falta, mediante a autorização pelos titulares das responsabilidades parentais, conforme Art.º8/1; o direito de portabilidade dos dados e o direito de oposição nos termos dos Art.ºs 20 e 21 do Regulamento; entre outros.

Notamos que o caminho a construir – tendo a data de 25 de Maio de 2018 (Art.º99/2) como meta mais urgente para que as empresas/organizações adaptem as suas actuais estruturas às novas regras em matéria de protecção de dados da União Europeia – ultima a construção do Mercado Único Digital (Digital Single Market) para a Europa e a sua entrada em funcionamento a partir de 2020, elencaremos de seguida algumas das principais inovações, com as quais, as empresas/organizações terão de se familiarizar e acomodar nos próximos 2 (dois) anos, sob pena de verem a sua esfera tradicional de actuação poder vir a preencher as condições gerais para a aplicação de coimas previstas no Art.º 83 do Regulamento. Atente-se que, em função da gravidade da(s) violação(ões) verificada(s), as «multas administrativas» poderão traduzir-se em coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado nos termos do n.º 4; ou, coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado nos termos do n.º5.

Assim, ante este novo quadro jurídico em matéria de protecção de dados, salientamos, desde logo, o ónus encutido ao responsável (ou o subcontratante) pelo tratamento dos dados pessoais, a quem incumbirá implementar mecanismos eficazes de códigos de conduta (compliance). Mais, as novas responsabilidades poderão, em determinadas situações impôr a nomeação de um encarregado de proteção de dados (data protection officer). Nos termos do Art.º 37/1, este, terá cariz obrigatório sempre que: “a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o.” Salientamos que o data protection officer – não sendo uma novidade completa poderá ser um trabalhador ou prestador de serviços contratado pela entidade responsável pelo tratamento de dados ou pelo subcontratante, especializado em matéria de proteção de dados (Art.º 37/5 e 6), a quem incumbirá, entre outras tarefas, com a devida independência, avaliar e promover a implementação dos mecanismos de cumprimento da legislação em matéria de protecção de dados, prestar aconselhamento devido mediante solicitação, e cooperar com a autoridade de controlo, em relação à qual actuará como ponto de contacto (Art.ºs 38 e 39).

A nomenclatura deste quadro legal assenta num pressuposto – mais inclusivo, acrescentarei pela minha parte – de uma espécie “co-regulação” hetero-regulada, dando espaço para que quer “Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento,(…)”, quer “As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento(…)”, nos termos do Art.º40/1 e 2. Esta dinâmica de cooperação, implementação, adaptação constante e fiscalização mútua, alavancada ainda pela «Certificação» (ex vi Art.º 42 e 43) permite perscrutar uma latência interessante na procura do acréscimo de «Confiança», condição essencial para uma eficaz implementação do Mercado Único Digital Europeu e para uma sua ulterior fruição descomplexada, livre e em segurança, por parte dos cerca de 500 milhões de europeus.

Relevamos, por fim, a importância crescente em torno das agências de controlo nacionais (apossadas enquanto verdadeiro data protection watchdog), pólos nacionais de contacto e de acção intra e internacionais, zeladores da aplicação e fiscalização coerente do Regulamento, agindo com total independência e não estando sujeitos a influências externas, diretas ou indiretas no desempenho das suas funções e no exercício dos seus poderes (conforme Art.ºs51 e seguintes). O Art.º57 elenca exaustivamente as atribuições que lhe estão acometidas, e, o seguinte (58.º) os poderes. As palavras de ordem demandam uma colaboração, uma cooperação e assistência mútuas, abrindo espaço para uma aplicação coerente por toda a União Europeia do Regulamento. Ademais, acrescento, só assim, a presente moldura legal em matéria de protecção de dados, permitirá uma aplicação unívoca, consensual e menos dada a atritos no seio da União.

A bem do Mercado Único Digital para a Europa, e por conseguinte, do nosso tecido empresarial, é a hora certa para nos prepararmos conveniente e conscientemente para os desafios e oportunidades e para os problemas que surgirão em cascata a partir da entrada em vigor do DSM. Recupero e finalizo, a este propósito, com alguma sabedoria oriental: “As palavras são como um dedo apontando para a Lua; cuida de saber olhar para a Lua, não te preocupes com o dedo que a aponta.”.

Gosto(11)Não Gosto(0)
Exit mobile version