Capa » Direitos Humanos » União Europeia tem legislação sobre proteção de dados (DDHH Já – Dia 71, Art.12)
União Europeia tem legislação sobre proteção de dados (DDHH Já – Dia 71, Art.12)
RGPD entrou em vigor em 2018

União Europeia tem legislação sobre proteção de dados (DDHH Já – Dia 71, Art.12)

POR JOSÉ PEDRO SOARES MARTINS

Em maio de 2018 entraram em vigor novas regras da União Europeia em matéria de proteção de dados que reforçam os direitos dos cidadãos e simplificam as regras para as empresas na era digital. A nova legislação entrou em vigor após amplo debate no Parlamento Europeu e outras instâncias, visando a proteção da privacidade do cidadão, entre outros objetivos.

Um dos direitos garantidos na nova legislação é que os dados fornecidos por uma pessoa são de propriedade desta pessoa e não da empresa onde eles foram eventualmente inseridos. Assim, uma empresa localizada fora da Europa terá que seguir a legislação europeia se pretender utilizar de alguma forma os dados inseridos por um cidadão europeu em seus sistemas. A legislação ainda estabelece que, se os dados pessoais obtidos por uma empresa forem expostos em função de um ciberataque, essa empresa obrigatoriamente deve informar as autoridades e os utilizadores em um prazo de 72 horas.

Documento da União Europeia explica que o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, que é o novo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE), estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE. Não se aplica ao tratamento de dados pessoais de pessoas falecidas ou de pessoas coletivas.

As regras, continua o documento da UE, “não se aplicam ao tratamento de dados por motivos exclusivamente pessoais ou no exercício de atividades domésticas, desde que não haja qualquer ligação com uma atividade profissional ou comercial. Quando uma pessoa utiliza os dados pessoais fora da sua «esfera pessoal», por exemplo para o exercício de atividades socioculturais ou financeiras, a legislação relativa à proteção de dados tem de ser respeitada”.

Um exemplo de caso em que o regulamento se aplica é o de uma empresa com um estabelecimento na UE prestando serviços de viagens a clientes situados nos países Bálticos e, neste contexto, efetua o tratamento de dados pessoais de pessoas singulares. Já um caso em que o regulamento não se aplica é o de uma pessoa que utiliza o seu livro de endereços privado para convidar amigos por correio eletrônico para uma festa que está organizando (exceção para atividades domésticas).

Dados pessoais – Dados pessoais, explica o documento da UE, são informação relativa a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.

Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.

Dados pessoais que tenham sido tornados anônimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.

O RGPD, continua a UE, protege os dados pessoais independentemente da tecnologia utilizada para o tratamento desses dados – é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos (por exemplo, por ordem alfabética). Também é irrelevante o modo como os dados são armazenados — num sistema informático, através de videovigilância, ou em papel; em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.

Exemplos de dados pessoais segundo a UE:

  • o nome e apelido;
  • o endereço de uma residência;
  • um endereço de correio eletrônico como nome.apelido@empresa.com;
  • o número de um cartão de identificação;
  • dados de localização (por exemplo, a função de dados de localização num telemóvel)*;
  • um endereço IP (protocolo de internet);
  • testemunhos de conexão (cookies);
  • o identificador de publicidade do seu telefone;
  • os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.

Tratamento de dados – O tratamento de dados, nota a UE, abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados. Inclui a recolha, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais.

O Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros.

Exemplos de tratamento, segundo a UE:

  • gestão de pessoal e de folhas de pagamentos;
  • acesso/consulta de uma base de dados de contactos que contenha dados pessoais;
  • envio de mensagens de correio eletrónico promocionais*;
  • destruição de documentos que contenham dados pessoais;
  • publicação/colocação de uma foto de uma pessoa num sítio web;
  • armazenamento de endereços IP ou endereços MAC;
  • gravação de vídeo (CCTV).

Autoridades de Proteção de Dados – Finalmente, o documento da UE explica o que são as Autoridades de Proteção de Dados (APD). “As APD são autoridades públicas independentes que controlam, através de poderes de investigação e de correção, a aplicação da legislação relativa à proteção de dados. Prestam aconselhamento especializado sobre questões de proteção de dados e tratam reclamações apresentadas contra violações do Regulamento Geral sobre a Proteção de Dados e as leis nacionais pertinentes. Existe uma em cada Estado-Membro da UE”.

De um modo geral, conclui o documento da União Europeia, o principal ponto de contato para questões sobre proteção de dados é a APD do Estado-Membro da UE no qual está constituída a empresa/organização. No entanto, se a empresa/organização efetuar tratamento de dados em diferentes Estados-Membros da UE ou fizer parte de um grupo de empresas constituídas em diferentes Estados-Membros da UE, este ponto de contato principal pode ser uma APD de outro Estado-Membro da UE.

(71º artigo da série DDHH Já, sobre os 30 artigos da Declaração Universal dos Direitos Humanos no cenário brasileiro. No 12º dia do mês de março de 2019, o texto corresponde ao Artigo 12: Ninguém será sujeito à interferência na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataque à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques.)

Sobre ASN

Organização sediada em Campinas (SP) de notícias, interpretação e reflexão sobre temas contemporâneos, com foco na defesa dos direitos de cidadania e valorização da qualidade de vida.