O estudo, baseado em mais de 100 inquéritos online a várias organizações e empresas portuguesas e que foi hoje apresentado, pretendeu saber como está a ser preparada a implementação do novo regulamento comunitário que, a partir de maio de 2018, vai introduzir maior proteção aos dados pessoais dos europeus.

Quase metade (45%) do setor público está a iniciar a implementação daquelas medidas, seguido pelo setor dos serviços (42%), indústria (30%), retalho (25%), saúde (25%), setor financeiro (20%) e o segurador (10%).

Mas as respostas ao inquérito revelaram, no entanto, que o setor público, que atingiu a percentagem de 11% na implementação de medidas, ultrapassou o setor segurador (10%).

O novo regulamento, que entrou em vigor em maio do ano passado, mas só vai ser aplicado a partir de 25 de maio de 2018, obriga bancos, hospitais, laboratórios farmacêuticos, entre outras empresas, a ter um responsável pelo tratamento de dados pessoais, uma função criada pelo regulamento comunitário e destinada a juristas ou engenheiros informáticos.

Este novo responsável pelo tratamento de dados pessoais tem como funções, entre outras, monitorizar toda a atividade da empresa em termos de dados pessoais e ser o interlocutor privilegiado em matéria de dados pessoais, dentro da empresa e da empresa para o exterior.

As empresas obrigadas a ter este novo responsável pelo tratamento de dados são todas aquelas cuja atividade implique uma sistematização e uma monitorização de dados em larga escala, entre as quais multinacionais do setor do farmacêutico ou financeiras, ambas detentoras de dados sensíveis.

Mas a maior novidade do novo Regulamento Geral de Proteção de Dados é a responsabilização dessas empresas que tratam dados pessoais e a obrigação de prestarem contas sobre esse tratamento, passando os incumpridores a poder ser punidos com coimas que podem atingir os 20 milhões de euros ou 4% do volume de negócios anual da empresa.

O primeiro objetivo do regulamento é uniformizar a legislação dispersa na comunidade europeia sobre dados pessoais, introduzindo um maior controlo dos utilizadores sobre os seus dados e abrangendo mais empresas nas obrigações de proteção de dados, mesmo que não tenham um estabelecimento na União Europeia (UE), desde que o tratamento de dados vise a oferta de bens e serviços aos titulares de dados pessoais ou a monitorização dos seus comportamentos na UE.

O novo regime dá ainda aos titulares dos dados o direito a que as informações que lhes digam respeito sejam retificadas e "esquecidas" quando a conservação desses dados violar o regulamento ou o direito da União ou dos Estados-membros aplicável ao responsável pelo tratamento.

Os titulares de dados deverão ter direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados, se os titulares dos dados retirarem o seu consentimento ou se opuserem ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no presente regulamento.

Esse direito assume importância quando o titular dos dados tiver dado o seu consentimento quando era criança e não estava totalmente ciente dos riscos inerentes ao tratamento, e mais tarde deseje suprimir esses dados pessoais, especialmente na Internet.

"O titular dos dados deverá ter a possibilidade de exercer esse direito independentemente do facto de já ser adulto", lê-se no regulamento.

No entanto, o prolongamento da conservação dos dados pessoais deve ser efetuado de forma lícita quando tal se revele necessário para o exercício do direito de liberdade de expressão e informação, para o cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, por razões de interesse público no domínio da saúde pública, para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

No caso de um tratamento de dados pessoais lícito realizado por ser necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública, o regulamento determina que o titular desses dados não deve deixar de ter o direito de se opor ao tratamento das informações que digam respeito à sua situação específica.