Índice do RGPD | Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
Artigo 1.º Objeto e objetivos
Artigo 2.º Âmbito de aplicação material
Artigo 3.º Âmbito de aplicação territorial
Artigo 4.º Definições
CAPÍTULO II Princípios
Artigo 5.º Princípios relativos ao tratamento de dados pessoais
Artigo 6.º Licitude do tratamento
Artigo 7.º Condições aplicáveis ao consentimento
Artigo 8.º Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação
Artigo 9.º Tratamento de categorias especiais de dados pessoais
Artigo 10.º Tratamento de dados pessoais relacionados com condenações penais e infrações
Artigo 11.º Tratamento que não exige identificação
CAPÍTULO III Direitos do titular dos dados Secção 1 Transparência e regras para o exercício dos direitos dos titulares dos dados
Artigo 12.º Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados
Secção 2 Informação e acesso aos dados pessoais
Artigo 13.º Informações a facultar quando os dados pessoais são recolhidos junto do titular
Artigo 14.º Informações a facultar quando os dados pessoais não são recolhidos junto do titular
Artigo 15.º Direito de acesso do titular dos dados
Secção 3 Retificação e apagamento
Artigo 16.º Direito de retificação
Artigo 17.º Direito ao apagamento dos dados («direito a ser esquecido»)
Artigo 18.º Direito à limitação do tratamento
Artigo 19.º Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento
Artigo 20.º Direito de portabilidade dos dados
Secção 4 Direito de oposição e decisões individuais automatizadas
Artigo 21.º Direito de oposição
Artigo 22.º Decisões individuais automatizadas, incluindo definição de perfis
Secção 5 Limitações
Artigo 23.º Limitações
CAPÍTULO IV Responsável pelo tratamento e subcontratante
Secção 1 Obrigações gerais
Artigo 24.º Responsabilidade do responsável pelo tratamento
Artigo 25.º Proteção de dados desde a conceção e por defeito
Artigo 26.º Responsáveis conjuntos pelo tratamento
Artigo 27.º Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na União
Artigo 28.º Subcontratante
Artigo 29.º Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante
Artigo 30.º Registos das atividades de tratamento
Artigo 31.º Cooperação com a autoridade de controlo
Secção 2 Segurança dos dados pessoais
Artigo 32.º Segurança do tratamento
Artigo 33.º Notificação de uma violação de dados pessoais à autoridade de controlo
Artigo 34.º Comunicação de uma violação de dados pessoais ao titular dos dados
Secção 3 Avaliação de impacto sobre a proteção de dados e consulta prévia
Artigo 35.º Avaliação de impacto sobre a proteção de dados
Artigo 36.º Consulta prévia
Secção 4 Encarregado da proteção de dados
Artigo 37.º Designação do encarregado da proteção de dados
Artigo 38.º Posição do encarregado da proteção de dados
Artigo 39.º Funções do encarregado da proteção de dados
Secção 5
Códigos de conduta e certificação
Artigo 40.º Códigos de conduta
Artigo 41.º Supervisão dos códigos de conduta aprovados
Artigo 42.º Certificação
Artigo 43.º Organismos de certificação
CAPÍTULO V
Transferências de dados pessoais para países terceiros ou organizações internacionais
Artigo 44.º Princípio geral das transferências
Artigo 45.º Transferências com base numa decisão de adequação
Artigo 46.º Transferências sujeitas a garantias adequadas
Artigo 47.º Regras vinculativas aplicáveis às empresas
Artigo 48.º Transferências ou divulgações não autorizadas pelo direito da União
Artigo 49.º Derrogações para situações específicas
Artigo 50.º Cooperação internacional no domínio da proteção de dados pessoais
CAPÍTULO VI Autoridades de controlo independentes
Secção 1 Estatuto independente
Artigo 51.º Autoridade de controlo
Artigo 52.º Independência
Artigo 53.º Condições gerais aplicáveis aos membros da autoridade de controlo
Artigo 54.º Regras aplicáveis à constituição da autoridade de controlo
Secção 2 Competência, atribuições e poderes
Artigo 55.º Competência
Artigo 56.º Competência da autoridade de controlo principal
Artigo 57.º Atribuições
Artigo 58.º Poderes
Artigo 59.º Relatórios de atividades
CAPÍTULO VII Cooperação e coerência
Secção 1 Cooperação
Artigo 60.º Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas
Artigo 61.º Assistência mútua
Artigo 62.º Operações conjuntas das autoridades de controlo
Secção 2 Coerência
Artigo 63.º Procedimento de controlo da coerência
Artigo 64.º Parecer do Comité
Artigo 65.º Resolução de litígios pelo Comité
Artigo 66.º Procedimento de urgência
Artigo 67.º Troca de informações
Secção 3
Comité europeu para a proteção de dados
Artigo 68.º Comité Europeu para a Proteção de Dados
Artigo 69.º Independência
Artigo 70.º Atribuições do Comité
Artigo 71.º Relatórios
Artigo 72.º Procedimento
Artigo 73.º Presidente
Artigo 74.º Funções do presidente
Artigo 75.º Secretariado
Artigo 76.º Confidencialidade
CAPÍTULO VIII Vias de recurso, responsabilidade e sanções
Artigo 77.º Direito de apresentar reclamação a uma autoridade de controlo
Artigo 78.º Direito à ação judicial contra uma autoridade de controlo
Artigo 79.º Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante
Artigo 80.º Representação dos titulares dos dados
Artigo 81.º Suspensão do processo
Artigo 82.º Direito de indemnização e responsabilidade
Artigo 83.º Condições gerais para a aplicação de coimas
Artigo 84.º Sanções
CAPÍTULO IX Disposições relativas a situações específicas de tratamento
Artigo 85.º Tratamento e liberdade de expressão e de informação
Artigo 86.º Tratamento e acesso do público aos documentos oficiais
Artigo 87.º Tratamento do número de identificação nacional
Artigo 88.º Tratamento no contexto laboral
Artigo 89.º Garantias e derrogações relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticos
Artigo 90.º Obrigações de sigilo
Artigo 91.º Normas vigentes em matéria de proteção dos dados das igrejas e associações religiosas
CAPÍTULO X Atos delegados e atos de execução
Artigo 92.º Exercício da delegação
Artigo 93.º Procedimento de comité
CAPÍTULO XI Disposições finais
Artigo 94.º Revogação da Diretiva 95/46/CE
Artigo 95.º Relação com a Diretiva 2002/58/CE
Artigo 96.º Relação com acordos celebrados anteriormente
Artigo 97.º Relatórios da Comissão
Artigo 98.º Revisão de outros atos jurídicos da União em matéria de proteção de dados
Artigo 99.º Entrada em vigor e aplicação
Adriano Martins Pinheiro, advogado sediado em Portugal, com escritório em São Paulo/BR, formador e escritor
Encarregado de Proteção de Dados (EPD) ou Data Protection Officer (DPO)
I – Introdução
Todos já sabem que a proteção de dados na União Europeia é regulada pela RGPD (Regulamento 2016/679) e que as infrações podem gerar multa de, até, 20 milhões de euros.
Além disso, a norma é aplicável a qualquer país, independente de pertencer, ou não, a União Europeia, bastando que o tratamento de dados de dados pessoais refira-se à pessoa singular que esteja no território da UE.
Portanto, mesmo em se tratando de um detentor de dados do Brasil, por exemplo, mas que trata de dados pessoais de pessoa singular que esteja na União Europeia, não se aplicaria a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº. 13.709/2018.
Portanto, eis a importância do estudo da RGPD para restante do mundo.
Considerando que, a evolução tecnológica e a globalização crescem rápida e continuamente, é natural que as pessoas singulares forneçam seus dados pessoais cada vez mais, de forma voluntária ou involuntária.
Em razão disso, a RGPD estabelece as regras relativas à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, defendendo direitos e as liberdades fundamentais dessas pessoas, nomeadamente o seu direito à proteção dos dados pessoais.
II – Definição de dados pessoais na RGPD
Para efeitos da RGPD, entende-se por “dados pessoais”:
(…) “a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular” (art. 4º, 1).
III – Violação de dados pessoais
Violação de dados pessoais é aquela violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Vale destacar que a violação é punível, mesmo que se alegue que o ato foi acidental. Assim, fica evidenciada a responsabilidade daquele que detém e trata os dados pessoais.
IV – Consentimento
Outra definição importante é a relativa ao consentimento. Segundo a RGPD, consentimento é uma manifestação de vontade do titular dos dados, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
Vale lembrar que, quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
Além disso, se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento.
Frise-se que, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento.
O tema consentimento é complexo, gerando diversas interpretações. Abordaremos esse assunto em outra oportunidade, de maneira mais aprofundada.
V – Tratamento de categorias especiais de dados pessoais
A RGPD faz menção ao tratamento de categorias especiais de dados pessoais. De acordo com o artigo 9º, 1, do Regulamento:
“É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”.
Contudo, há casos em que a proibição não se aplica – o que é detalhado no próprio artigo.
VI – Direito da portabilidade dos dados
De acordo com o artigo 20º, da RGPD, o titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, dentre algumas hipóteses.
O tema portabilidade também merece especial atenção, pelo que também faremos uma bordagem específica.
VII – Direito de oposição
O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, com base no artigo 6º, nº 1, alínea e) ou f), ou no artigo 6.º, nº 4, da RGPD, incluindo a definição de perfis com base nessas disposições.
Nesse caso, o responsável pelo tratamento deve cessar o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
VIII – Responsabilidade do responsável pelo tratamento
Tendo em vista a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, além dos riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento deve aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento.
Ao tratar de responsabilidade, deve-se fazer menção ao subcontratante, que é a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
IX – Comunicação de uma violação de dados pessoais ao titular dos dados
Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
X – Encarregado da proteção de dados
A designação do Encarregado de Proteção de Dados (EPD) ou Data Protection Officer (DPO) é tratada no artigo 37, da RGPD. Apesar de não ser obrigatório, a designação de um EPD é recomendada a todas as grandes organizações, principalmente aquelas que tratam de dados sensíveis.
Para melhor fundamentar, conveniente transcrever o que diz o mencionado artigo 37, da RGPD:
1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º.
Ainda em relação ao encarregado de proteção de dados, vale dizer que, um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.
Em razão da complexidade do tema “Encarregado da proteção de dados”, teremos um texto exclusivo para tratá-lo.
XI – Legislação em Portugal
Em razão da relação de investidores e organizações entre Portugal e Brasil, vale mencionar que, em Portugal há duas legislações pertinentes à proteção de dados pessoais e a RGPD:
A Lei n.º 58/2019, de 8 de agosto: Que assegura a execução, na ordem jurídica nacional, da RGPD, relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Lei n.º 59/2019, de 8 de agosto: Que aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
Adriano Martins Pinheiro é advogado, sediado em Portugal e com filial em São Paulo/BR, pós-graduado em direito empresarial e contratos pela FGV, direito imobiliário pela EPD, palestrante, formador e escritor (pinheiro@advocaciapinheiro.com)
