6 informações que precisa de saber sobre o Regulamento Geral de Proteção de Dados

Após quatro anos de discussão, o Regulamento Geral de Proteção de Dados (RGDP) foi publicado a 4 de maio de 2016, no Jornal Oficial da União Europeia. O diploma prevê um período de transição de dois anos até à implementação total, com aplicação a partir de 25 de maio de 2018

Neste momento encontra-se a decorrer o período transitório de dois anos para a sua aplicação integral, pelo que as organizações dispõem deste período para se adaptarem às novas regras. Por se tratar de um Regulamento é diretamente aplicável aos 28 Estados Membros, sem necessidade de qualquer transposição para cada jurisdição garantindo, assim, a verdadeira harmonização legislativa ao nível da Proteção de Dados.

O licenciamento para funcionamento é, pela sua natureza, transversal à vida da clínica dentária por ter impacto nas instalações, nas pessoas e nos procedimentos internos. A MedSUPPORT construiu todos os seus serviços tendo por base o apoio ao licenciamento para funcionamento, pelo que todos os clientes MedSUPPORT terão informação detalhada de como implementar as medidas necessárias para dar cumprimento a mais um diploma legal, que necessariamente implicará algumas alterações sobretudo nos procedimentos internos.

No seu percurso de colaboração com o jornal Dentistry, a MedSUPPORT sempre procurou informar os médicos dentistas que não pertencem ao universo MedSUPPORT sobre assuntos prementes no funcionamento e gestão das clínicas dentárias. Não podemos por isso deixar de destacar este tema pela sua relevância e impacto.

Compilamos neste artigo 6 Informações que precisa de saber sobre o Regulamento Geral de Proteção de Dados.

1. Em que consiste o RGPD?

O RGPD é um novo Regulamento Geral de Proteção de Dados Pessoais relativo à proteção dos dados pessoais de pessoas singulares, ao tratamento desses dados e à livre circulação dos dados a que diz respeito. Introduz novas regras, mas também elevadas coimas em caso de incumprimento, o que exige uma atenção cuidada das Organizações que lidam com dados pessoais.

Revoga a anterior Diretiva, aprovada antes que a Internet fosse um meio de ampla utilização e até do surgimento da economia digital. A anterior Diretiva já não respondia aos desafios que se foram colocando devido ao galopante progresso tecnológico e das inovações que têm surgido na recolha e tratamento de dados pessoais. Para além de revogar a Diretiva, virá também provocar a revogação de grande parte das normas da lei que transpôs a Diretiva para Portugal – nomeadamente a Lei da Proteção de Dados Pessoais (Lei 67/98, de 26 de outubro).

2. A quem se aplica o RGPD?

Com o objetivo de harmonizar a legislação de todos os estados membros o Regulamento será aplicável a todas as pessoas singulares e coletivas que efetuem tratamento, isto é, que realizem operações que envolvam dados pessoais de residentes na União Europeia. Estas entidades podem ser aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efetuam esse tratamento em regime de subcontratação.

3. Onde se aplica o RGDP?

O RGDP aplica-se em todo o território da União Europeia, contudo com uma importante inovação, pois se uma empresa estiver estabelecida fora da geografia da UE, isto é, sem presença na UE mas realizar serviços ou negócios que envolvam algum género de tratamento de dados pessoais, o Regulamento é aplicável.

4. Quais as principais alterações que RGPD implica?

Harmonização Legislativa - Passa a existir um único documento legal sobre Proteção de Dados Pessoais em todos os vinte e oito estados-membros.

Informação aos titulares dos dados - O regulamento obriga a prestar mais informações do que atualmente, designadamente a base legal para o tratamento de dados, o prazo de conservação dos dados, informações mais detalhadas sobre as transferências internacionais, a possibilidade de apresentar queixa junto da Comissão Nacional de Proteção de Dados (CNPD). Dentro das exigências de maior transparência, ter em atenção que as informações devem ser prestadas aos utentes de forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. Deve ser tido particular cuidado quando as informações são dirigidas a crianças.

Exercícios dos direitos dos titulares dos dados - os direitos dos titulares foram alargados em relação à atual lei, passando a existir o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação ou eliminação ou limitação de tratamento solicitados pelos titulares. Por se tratar de direitos fundamentais dos cidadãos, esta é uma área de intervenção essencial, que sofreu várias alterações, pelo que requer a maior cautela na sua adaptação às novas disposições legais.

Consentimento dos titulares dos dados - O regulamento alarga o conceito de consentimento e introduz novas condições para a sua obtenção, pelo que é necessário apurar se o consentimento obtido pelo responsável pelo tratamento respeita todas as novas exigências. Se assim não for, é imprescindível obter novo consentimento dos titulares dos dados em conformidade com as disposições do RGPD, sob pena de o tratamento de dados se tornar ilícito por falta de base legal.

Particular atenção deve ser dada ao consentimento dos menores ou dos seus representantes legais, considerando as exigências específicas do regulamento para este efeito.

Dados sensíveis - Deve ser avaliada a natureza dos tratamentos de dados efetuados, a fim de apurar quais os que se podem enquadrar no conceito de dados sensíveis, e consequentemente se aplicarem condições específicas para o seu tratamento, relativas à licitude do tratamento, aos direitos ou às decisões automatizadas. O regulamento veio estender o leque das categorias especiais de dados, integrando por exemplo os dados biométricos, que passaram a fazer parte do elenco de dados sensíveis. Deve analisar-se também o contexto e a escala destes tratamentos de dados para verificar se daí decorrem obrigações particulares, tais como a designação de um encarregado de proteção de dados.

Documentação e registo de atividades de tratamento - Deve ser documentada de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD. Esta ação reveste-se de especial relevo no contexto da preparação para a aplicação do novo regulamento, porque permite fazer o levantamento integrado do que está a ser feito, permitindo validar o que é necessário corrigir e adaptar.

Encarregado de proteção de dados - Além das situações previstas no regulamento em que a organização está obrigada a designar um encarregado de proteção de dados, como é o caso das entidades públicas, o responsável pelo tratamento e o subcontratante podem sempre, mesmo não se encontrando no momento em nenhuma das circunstâncias exigíveis, decidir ter um encarregado de proteção de dados na sua organização, pelas evidentes vantagens que tal pode significar para o nível de cumprimento das obrigações.

Notificação de violações de segurança – As empresas e organizações devem notificar a autoridade nacional de supervisão para violações de dados que coloquem em risco as pessoas comunicando também à pessoa em causa todas as violações aplicáveis o mais rapidamente possível para que esta possa tomar as medidas adequadas.

5. Quais as sanções pelo não cumprimento do RGPD?

Qualquer organização ou empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação.

O novo regulamento em vez de conceder autorizações, aposta na fiscalização – e na aplicação de coimas para os prevaricadores, prevendo a UE cobrar apenas no primeiro ano cerca de seis mil milhões de euros de coimas e penalizações (segundo a empresa de consultoria de gestão Oliver Wyman).

O incumprimento é punido, com coimas que no caso de violações de menor gravidade poderão atingir 10 milhões de euros ou 2% do volume mundial de negócios do grupo onde a empresa se insere e nos casos mais graves podem ascender a 4% da faturação anual global ou a 20 milhões de euros.

6. Como é que as Pequenas e Médias Empresas se podem adequar ao novo RGPD?

O maior desafio para dar cumprimento ao novo regulamento será o nível de organização e controlo dos seus dados, onde as organizações ou empresas menos organizadas terão que realizar um maior esforço para atingir este nível de controlo e monitorização dos riscos de privacidade. A necessidade de estar em conformidade será a mesma seja qual for a dimensão da organização.

A MedSUPPORT entende este tema como sendo apenas mais um exemplo de alterações regulamentares e/ou legislativas que tendencialmente surgem no decurso da atividade das Clínicas Dentárias e às quais estas devem estar atentas para que atempadamente se possam conformar com os seus requisitos, evitando assim outros inconvenientes.

Lembramos todos os leitores que a MedSUPPORT estará, como habitualmente, presente na Expodentária 2017. Visite-nos.