RGPD: “Se cria mais dificuldades elas são bem‑vindas”
23-08-2018
Numa indústria como a dos eventos, dos congressos, dos incentivos, que gere muita informação e muitos dados pessoais, este regulamento é crítico e, por isso, fomos ouvir a opinião da especialista. Graça Canto Moniz é licenciada e mestre em Direito. Foi investigadora visitante na Universidade de Georgetown (USA) e na Universidade de Tilburg (Holanda). Actualmente é investigadora do CEDIS e doutoranda em Direito na Universidade Nova de Lisboa, instituição onde coordena, com o Professor Francisco Pereira Coutinho, o Observatório de Protecção de Dados Pessoais.
Há por aí uma série de confusões sobre o RGPD, situações de pânico, destruição de base de dados. O que é fundamental que as pessoas saibam sobre o novo Regulamento?
O RGPD é um diploma particularmente longo e complexo e, por isso, muito propenso a gerar confusões. Ainda assim, muitos dos conceitos usados não são novos (ex: dados pessoais, tratamento de dados pessoais, responsável pelo tratamento, sub‑contratante, etc.). O que é fundamental que as pessoas saibam é que a conformidade com o RGPD assenta em duas premissas: (i) saber quais os dados que a organização trata e (ii) qual o risco desses tratamentos. Realizadas estas duas “tarefas” a organização poderá adoptar as medidas adequadas para cumprir o RGPD.
Quais são os limites e a abrangência do "interesse legítimo" plasmado no novo regulamento? O que é que pode caber aí?
Uma das grandes confusões sobre o RGPD é que para tratar dados de forma lícita uma organização tem de ter o consentimento do titular dos dados. Isto não é verdade. O interesse legítimo da organização pode ser usado para fundamentar a licitude de um tratamento. Porém, este interesse legítimo não é de fácil utilização porque exige um teste de ponderação, uma avaliação cuidada, dos interesses da organização e dos interesses e direitos do titular dos dados pessoais. Esse teste pressupõe a identificação do interesse da organização (ex: corresponde a um direito fundamental, prossegue um interesse da comunidade em geral, há um reconhecimento jurídico/cultural/social da legitimidade desse interesse) e uma avaliação do impacto do tratamento nos interesses e direitos do titular dos dados (quais as consequências, negativas e positivas, do tratamento; quais as expectativas do titular? Ele pode razoavelmente prever que os seus dados serão tratados?). O Grupo do artigo 29 sugere que sempre que este fundamento for usado a organização adopte “garantias complementares”, como a pseudonimização dos dados, mais transparência, restrição de acessos, etc.
Podem caber aqui actividades de marketing directo convencional e outras formas de marketing ou publicidade; mensagens não comerciais não solicitadas, nomeadamente relativas a campanhas políticas ou a actividades de angariação de fundos para fins de beneficência; execução de créditos, incluindo cobrança de dívidas através de procedimentos não judiciais; prevenção da fraude, utilização abusiva de serviços ou branqueamento de capitais; monitorização da actividade dos trabalhadores para fins de segurança ou gestão; entre outros...
Este regulamento é só dirigido a cidadãos europeus. É boa prática tratar todos os dados, incluindo os extra comunitários, da mesma maneira?
Isto não é verdade. O RGPD é aplicável a titulares de dados pessoais, independentemente da sua nacionalidade ou residência.
Quando é que é necessário ter um Data Protection Officer?
É obrigatório ter um DPO em três situações: (i) quando a organização for uma autoridade ou organismo público; (ii) quando as actividades principais da organização consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou (iii) as actividades principais da organização consistam em operações de tratamento em grande escala de categorias especiais de dados.
Concorda que este regulamento pode trazer mais dificuldades à vertente comercial de uma empresa? Quais são os limites aqui?
Se cria mais dificuldades elas são bem‑vindas porquanto se traduzem, sobretudo, em mais transparência com os clientes e a população em geral. Os limites serão dois: (i) as práticas comerciais de uma empresa devem ser transparente e (ii) o titular dos dados deve ter o máximo de controlo possível sobre os seus dados.
Entregar um cartão de visita é um consentimento para receber informação?
Creio que não. Por duas razões: (1) o Grupo de trabalho do artigo 29 esclareceu que o consentimento deve ser obtido através de uma declaração escrita ou oral gravada/registada e (2) de acordo com o art. 7.º, n.º 1, a organização tem de demonstrar o consentimento do titular dos dados. Tenho dúvidas que estas duas condições se verifiquem quando se entrega um cartão de visita. A condição de licitude nestes casos será o interesse legítimo.
Num evento vários tipos de fornecedores (hotéis, transfers, etc.) precisam de ter acesso a informação dos delegados. Que tipo de cuidados há que ter?
Em regra, os fornecedores são subcontratantes. Há que rever os contratos com estes, adaptá‑los às novas exigências do art. 28.º e verificar o grau de maturidade dos subcontratantes em relação ao RGPD.
Estes fornecedores devem também certificar‑se de que os dados que recebem têm consentimento?
Estes fornecedores devem cumprir as instruções que lhes são dadas no contrato pelo responsável pelo tratamento e, adicionalmente, cumprir um conjunto de obrigações que lhes são diretamente dirigidas no RGPD: registo das actividades de tratamento (art. 30.º, n.º 2), cooperação com a autoridade de controlo (art. 31.º), segurança dos dados pessoais (art. 32.º), notificação de violação de dados (art. 33.º, n.º 2), designar um encarregado de proteção de dados (art. 37.º).
Na acreditação terá que haver algum cuidado com as listas de delegados impressas?
Contendo essas listas dados pessoais, sim. Por exemplo: a organização precisa de todos os dados recolhidos dos delegados? Quem tem acesso aos mesmos? Onde ficam guardados? Por quanto tempo os vai armazenar e porquê?
