O Regulamento Geral sobre a Proteção de Dados (RGPD) protege os indivíduos sempre que os seus dados forem objeto de tratamento pelo setor privado e pela maior parte do setor público. O tratamento de dados pelas autoridades competentes para efeitos de aplicação da lei está sujeito à Diretiva sobre a Proteção de Dados na Aplicação da Lei (ver síntese).
O regulamento permite que os cidadãos controlem melhor os seus dados pessoais. Além disso, moderniza e unifica regras que permitem às empresas reduzir a burocracia e beneficiar de um maior grau de confiança por parte dos consumidores.
Estabelece um sistema de autoridades de controlo com plena independência, responsáveis pela fiscalização e por assegurar a conformidade.
Faz parte da reforma da proteção de dados da União Europeia (UE), juntamente com a Diretiva sobre a Proteção de Dados na Aplicação da Lei e o Regulamento (UE) 2018/1725 relativo ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da UE (ver síntese).
PONTOS-CHAVE
Direitos individuais
O RGPD reforça os direitos existentes, prevê novos direitos e confere aos cidadãos um maior controlo sobre os seus dados pessoais. Inclui as medidas seguidamente apresentadas.
Acesso facilitado dos cidadãos aos seus próprios dados. Inclui a prestação de mais informações sobre a forma como os dados são tratados e a garantia de que essas informações são disponibilizadas de forma clara e compreensível.
Um novo direito à portabilidade dos dados. Facilita a transmissão de dados pessoais entre os prestadores de serviços.
A clarificação do direito ao apagamento dos dados (direito a ser esquecido). Sempre que uma pessoa deixe de permitir o tratamento dos seus dados e não haja razões legítimas para a sua conservação, os dados serão apagados.
O direito de saber quando os dados pessoais foram violados. As empresas e organizações devem notificar a autoridade de controlo da proteção de dados competente e, em casos de violações graves m matéria de dados, também as pessoas afetadas.
Regras aplicáveis às empresas
O RGPD cria condições de concorrência equitativas para todas as empresas que operam no mercado interno da UE, adota uma abordagem tecnologicamente neutra e incentiva a inovação através de várias etapas, incluindo as que a seguir se apresentam.
Um conjunto único de regras à escala da UE. Uma lei única à escala da UE relativa à proteção de dados aumenta a segurança jurídica e reduz os encargos administrativos.
Um encarregado da proteção de dados. Uma pessoa responsável pela proteção de dados deve ser designada pelas autoridades públicas e por empresas que efetuam o tratamento de dados em grande escala ou cuja atividade principal é o tratamento de categorias especiais de dados, tais como dados relacionados com a saúde.
Balcão único. As empresas só têm de lidar com uma única autoridade de controlo (no Estado-Membro da UE no qual têm o seu estabelecimento principal); as autoridades de controlo relevantes cooperam no âmbito do Comité Europeu para a Proteção de Dados para os casos transfronteiriços.
Regras da UE para empresas não pertencentes à UE. As empresas estabelecidas fora da UE devem aplicar as mesmas regras quando comercializam bens ou serviços, ou quando controlam o comportamento dos cidadãos no interior da UE.
Regras favoráveis à inovação. Uma garantia de que são integradas salvaguardas em matéria de proteção de dados nos produtos e serviços desde a fase mais precoce do desenvolvimento (proteção de dados desde a conceção e por defeito).
Técnicas favoráveis à privacidade. A pseudonimização (quando os campos de identificação de um registo de dados são substituídos por um ou mais identificadores artificiais) e a criptografia (quando os dados são codificados de tal forma que apenas podem ser lidos pelas partes autorizadas) são incentivadas, a fim de limitar o tratamento intrusivo.
Eliminação das notificações. O RGPD rejeitou a maioria das obrigações de notificação e os custos associados às mesmas. Um dos seus objetivos é eliminar os obstáculos que afetam a livre circulação de dados pessoais na UE. Esta medida facilitará a expansão das empresas no mercado único digital.
Avaliações do impacto sobre a proteção de dados. As organizações terão de realizar avaliações de impacto sempre que o tratamento de dados seja suscetível de resultar num risco elevado para os direitos e liberdades das pessoas.
Conservação de um registo de atividades.As pequenas e médias empresas não são obrigadas a manter registos das atividades de tratamento de dados, a menos que tal tratamento seja efetuado regularmente ou seja suscetível de implicar um risco para os direitos e liberdades da pessoa cujos dados são tratados, ou inclua categorias de dados sensíveis.
Um conjunto de instrumentos moderno para as transferências internacionais de dados. O RGPD oferece vários instrumentos para a transferência de dados para fora da UE, incluindo decisões de adequação adotadas pela Comissão Europeia no âmbito das quais o país não pertencente à UE oferece um nível adequado de proteção, cláusulas contratuais previamente aprovadas (cláusulas-tipo), regras vinculativas das empresas, códigos de conduta e certificação.
Revisão
A Comissão Europeia apresentou um relatório sobre a avaliação e revisão do regulamento em junho de 2020. A próxima avaliação está prevista para 2024.
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de , relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de , p. 1-88).
As sucessivas alterações do Regulamento (UE) 2016/679 foram integradas no texto de base. A versão consolidada tem apenas valor documental.
DOCUMENTOS RELACIONADOS
Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de , relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de , p. 89-131).
Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de , relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de , p. 39-98).
Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de , relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de , p. 37-47).