Novas regras sobre dados pessoais: oportunidades para as empresas de IT?

O Regulamento Geral sobre a Proteção de Dados foi publicado no jornal oficial da União Europeia no dia 4 de maio de 2016. Este diploma legal revogará a legislação atualmente em vigor sobre a proteção de dados pessoais, publicada em 1995, aprovada em momento anterior à utilização generalizada da internet e ao surgimento da economia digital.

Os princípios subjacentes são os mesmos – proteger a privacidade dos cidadãos e garantir a livre circulação de dados pessoais dentro da União Europeia. As novidades resultam da necessidade de responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas.

Um maior foco na segurança da informação representa certamente uma oportunidade para as empresas que prestam serviços na área das tecnologias de informação. Novos serviços e, provavelmente, novas empresas irão surgir para preencher este nicho que será criado com a entrada em vigor desta legislação.

O novo diploma entrará em vigor no dia de 25 de Maio de 2018. Este período de dois anos entre a publicação e a entrada em vigor será fundamental para as empresas se adaptarem às novas regras. Pode parecer muito tempo, mas muito trabalho terá que ser feito antes desta data para assegurar o cumprimento da lei.

Assinale-se desde já o enorme aumento do valor das sanções aplicáveis. A coima máxima na legislação atual é de aproximadamente 30 mil euros. No novo Regulamento, a coima máxima será de 20 milhões de euros ou até 4% do volume de negócios anual da empresa a nível mundial,  correspondente ao exercício financeiro do ano anterior, consoante o montante que for mais elevado.

Para além do risco de uma coima elevada poder debilitar, ou mesmo inviabilizar uma empresa, o Regulamento prevê diversas regras que vão obrigar as empresas a criar e a manter uma verdadeira cultura de compliance relativamente ao tratamento de dados pessoais.

Por exemplo, antes de realizar um tratamento que utilize novas tecnologias ou que possa implicar um risco para os direitos de privacidade das pessoas, a empresa terá obrigatoriamente de avaliar o impacto das operações de tratamento que pretende realizar. Estas avaliações – privacy impact assessments – são uma área onde surgirão empresas tecnológicas a prestar serviços que auxiliem as empresas que realizam tratamentos de dados pessoais.

Outra obrigação nova para as empresas – atualmente apenas aplicável às empresas do setor das comunicações eletrónicas – será a obrigação de notificação de casos de violação de dados pessoais , por exemplo, de quebras de segurança, às autoridades competentes e aos próprios cidadãos afetados. A prevenção e correção de quebras de segurança é outra área interessante para as empresas de IT.

A realização de auditorias aos sistemas e aos processos, a necessidade de adquirir formação específica sobre este tema e a eventual nomeação de encarregados para a proteção de dados (função que pode ser exercida em regime de outsourcing), são outros aspetos que certamente configuram oportunidades para a criação de novas ofertas e áreas de negócio.

Porventura um dos conceitos mais transversais contido no novo Regulamento são os conceitos de privacy by default e privacy by design, que passam a ser obrigações de todas as empresas que tratem dados pessoais.

Pense-se, por exemplo, no cumprimento do direito de portabilidade, um direito novo concedido aos cidadãos pelo Regulamento. De acordo com o direito de portabilidade, os cidadãos passarão a poder transferir os seus dados fornecidos a uma empresa ou entidade pública para outra empresa ou entidade pública. As empresas e as entidades públicas ficam, assim, obrigadas a fornecer ao cidadão, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido ou, sempre que tal seja tecnicamente possível, a transmitir diretamente esses dados a outro responsável pelo seu tratamento.

Neste sentido, a própria estrutura informática da empresa e o exercício de análise de novos sistemas de informação – a adquirir ou a desenvolver –, deverão ter presente esta obrigação, ou seja, a preocupação relativa ao cumprimento da lei aplicável aos dados pessoais vai estar presente em todas as atividades das empresas.

Alterações legislativas são sempre originadoras de perturbação e incertezas; sem prejuízo, não tenho dúvidas que neste caso há muitas oportunidades que merecem ser exploradas.

Daniel Reis

Sócio Coordenador da Área de TMT da PLMJ

Artigo publicado na edição de maio do IT Channel