Além destas multas, o novo regime de proteção dos dados pessoais dos cidadãos da União Europeia - do regulamento comunitário 2016/679, em vigor desde 25 de maio do ano passado, mas aplicável apenas a partir de 25 de maio de 2018 - prevê, quando o tratamento de dados é feito por uma empresa, que a coima possa ser até 4% do seu volume de negócios anual mundial do exercício anterior, consoante o montante que for mais elevado.

O novo regulamento esclarece que o tratamento de dados pessoais só é legal se o titular dos dados tiver dado o seu consentimento expresso "para uma ou mais finalidades específicas" e se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento, entre outros requisitos.

Mas o diploma reforça cuidados no apuramento dessa legalidade, ressalvando, por exemplo, que mesmo quando o tratamento é necessário para efeito de interesses legítimos do responsável pelo tratamento ou por terceiros, há ainda que apurar se "prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança".

Quanto a maiores de 16 anos, o regulamento já permite o seu consentimento em relação aos serviços da sociedade da informação, mas ressalva que a regulamentação da diretiva por cada Estado-membro pode "dispor no seu direito uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos".

A lei diz ainda que é ao responsável pelo tratamento dos dados pessoais da criança que compete envidar "todos os esforços adequados para verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades parentais da criança, tendo em conta a tecnologia disponível".

"Essa proteção específica deverá aplicar-se, nomeadamente, à utilização de dados pessoais de crianças para efeitos de comercialização ou de criação de perfis de personalidade ou de utilizador, bem como à recolha de dados pessoais em relação às crianças aquando da utilização de serviços disponibilizados diretamente às crianças", adverte o regulamento.

No entanto, o consentimento do titular dos pais da criança, ou de outras pessoas com responsabilidades parentais, deixa de ser necessário "no contexto de serviços preventivos ou de aconselhamento oferecidos diretamente a uma criança".

Sempre que o tratamento de dados seja dirigido às crianças, o regulamento obriga a que qualquer informação e comunicação esteja "redigida numa linguagem clara e simples que a criança compreenda facilmente".

O regulamento introduz também o novo conceito de tratamento de "categorias especiais de dados pessoais", passando a proibir o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

No entanto, para o tratamento efetuado para fins jornalísticos ou para fins de expressão académica, artística ou literária, os Estados-membros devem estabelecer "isenções ou derrogações" de disposições do diploma, "se tais isenções ou derrogações forem necessárias para conciliar o direito à proteção de dados pessoais com a liberdade de expressão e de informação".

No âmbito do exercício de atividades eleitorais, o regulamento determina que, sempre que o funcionamento do sistema democrático num Estado-membro" exigir que os partidos políticos recolham dados pessoais sobre a opinião política" dos cidadãos, o tratamento desses dados pode ser autorizado por motivos de interesse público, mas "desde que sejam estabelecidas garantias adequadas".

Quanto ao consentimento do tratamento dos dados, o regulamento salienta a necessidade de apurar as circunstâncias da situação específica em causa: "Presume-se que o consentimento não é dado de livre vontade se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso específico, ou se a execução de um contrato, incluindo a prestação de um serviço, depender do consentimento, apesar de o consentimento não ser necessário para a mesma execução".

As normas do regulamento não se aplicam ao tratamento de dados pessoais efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas ou efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.