O sector público é o mais atrasado no arranque da implementação das novas regras europeias de protecção de dados pessoais, que entram em vigor no próximo ano, entre sete sectores analisados no início deste ano pela consultora KPMG.

O estudo, baseado em mais de 100 inquéritos ‘online’ a várias organizações e empresas portuguesas e que foi hoje apresentado, pretendeu saber como está a ser preparada a implementação do novo regulamento comunitário que, a partir de maio de 2018, vai introduzir maior protecção aos dados pessoais dos europeus.

Quase metade (45%) do sector público está a iniciar a implementação daquelas medidas, seguido pelo sector dos serviços (42%), indústria (30%), retalho (25%), saúde (25%), sector financeiro (20%) e o segurador (10%).

Mas as respostas ao inquérito revelaram, no entanto, que o sector público, que atingiu a percentagem de 11% na implementação de medidas, ultrapassou o sector segurador (10%).

O novo regulamento, que entrou em vigor em maio do ano passado, mas só vai ser aplicado a partir de 25 de maio de 2018, obriga bancos, hospitais, laboratórios farmacêuticos, entre outras empresas, a ter um responsável pelo tratamento de dados pessoais, uma função criada pelo regulamento comunitário e destinada a juristas ou engenheiros informáticos.

Este novo responsável pelo tratamento de dados pessoais tem como funções, entre outras, monitorizar toda a actividade da empresa em termos de dados pessoais e ser o interlocutor privilegiado em matéria de dados pessoais, dentro da empresa e da empresa para o exterior.

As empresas obrigadas a ter este novo responsável pelo tratamento de dados são todas aquelas cuja actividade implique uma sistematização e uma monitorização de dados em larga escala, entre as quais multinacionais do sector do farmacêutico ou financeiras, ambas detentoras de dados sensíveis.

Mas a maior novidade do novo Regulamento Geral de Protecção de Dados é a responsabilização dessas empresas que tratam dados pessoais e a obrigação de prestarem contas sobre esse tratamento, passando os incumpridores a poder ser punidos com coimas que podem atingir os 20 milhões de euros ou 4% do volume de negócios anual da empresa.

O primeiro objectivo do regulamento é uniformizar a legislação dispersa na comunidade europeia sobre dados pessoais, introduzindo um maior controlo dos utilizadores sobre os seus dados e abrangendo mais empresas nas obrigações de protecção de dados, mesmo que não tenham um estabelecimento na União Europeia (UE), desde que o tratamento de dados vise a oferta de bens e serviços aos titulares de dados pessoais ou a monitorização dos seus comportamentos na UE.

O novo regime dá ainda aos titulares dos dados o direito a que as informações que lhes digam respeito sejam rectificadas e “esquecidas” quando a conservação desses dados violar o regulamento ou o direito da União ou dos Estados-membros aplicável ao responsável pelo tratamento.

Os titulares de dados deverão ter direito a que os seus dados pessoais sejam apagados e deixem de ser objecto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados, se os titulares dos dados retirarem o seu consentimento ou se opuserem ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no presente regulamento.

Esse direito assume importância quando o titular dos dados tiver dado o seu consentimento quando era criança e não estava totalmente ciente dos riscos inerentes ao tratamento, e mais tarde deseje suprimir esses dados pessoais, especialmente na Internet.

“O titular dos dados deverá ter a possibilidade de exercer esse direito independentemente do facto de já ser adulto”, lê-se no regulamento.

No entanto, o prolongamento da conservação dos dados pessoais deve ser efectuado de forma lícita quando tal se revele necessário para o exercício do direito de liberdade de expressão e informação, para o cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, por razões de interesse público no domínio da saúde pública, para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

No caso de um tratamento de dados pessoais lícito realizado por ser necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública, o regulamento determina que o titular desses dados não deve deixar de ter o direito de se opor ao tratamento das informações que digam respeito à sua situação específica.