Bancos, hospitais, laboratórios farmacêuticos, entre outras empresas, vão ser obrigados a ter, dentro de dois anos, um responsável pelo tratamento de dados pessoais, uma nova função criada por um regulamento comunitário e destinada a juristas ou engenheiros informáticos.

Terá de ser ou um jurista ou um engenheiro informático”, explicou à Lusa Leonor Chartre, especialista em proteção de dados e advogada na Cuatrecasas, adiantando que o novo posto de trabalho vai ter de ser criado nas empresas, quando o regulamento começar a ser aplicado, mas poderá ser ocupado por um trabalhador da empresa ou uma contratação externa.

O responsável pelo tratamento de dados pessoais, que vai reportar a sua atividade diretamente ao Conselho de Administração da empresa, tem como funções, entre outras, monitorizar toda a atividade da empresa em termos de dados pessoais e ser o “interlocutor privilegiado” em matéria de dados pessoais, dentro da empresa e da empresa para o exterior.

Tem de ser alguém com um conhecimento bastante grande da compliance [cumprimento de regras ou leis] da empresa, ao nível físico e informático, e ainda um bom conhecimento da legislação de proteção de dados, atual e anterior”, defendeu a jurista.

As empresas obrigadas a ter este novo responsável pelo tratamento de dados são todas aquelas cuja atividade implique uma sistematização e uma monitorização de dados em larga escala, entre as quais multinacionais do setor do farmacêutico ou financeiras, ambas detentoras de dados sensíveis, explicou a advogada.

Mas a maior novidade do novo Regulamento Geral de Proteção de Dados - aprovado pelo Parlamento Europeu em 14 de abril e que aguarda publicação no jornal oficial para ser aplicado dois anos depois da sua entrada em vigor – é a responsabilização dessas empresas que tratam dados pessoais e a obrigação de prestarem contas sobre esse tratamento.

Quem não cumprir as novas obrigações do regulamento vai ficar sujeito a maiores penalizações (do que as atuais, que se baseiam numa diretiva com mais de 20 anos), que podem atingir os 20 milhões de euros ou até 4% do volume de negócios anual da empresa.

O primeiro objetivo do regulamento era o de uniformizar a legislação dispersa na comunidade europeia sobre dados pessoais, introduzindo um maior controlo dos utilizadores sobre os seus dados e abrangendo mais empresas nas obrigações de proteção de dados, mesmo que não tenham um estabelecimento na União Europeia (UE), desde que o tratamento de dados vise a oferta de bens e serviços aos titulares de dados pessoais ou a monitorização dos seus comportamentos na UE.

O estabelecimento pressupõe o exercício efetivo e real de uma atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jurídica, não é fator determinante nesse contexto”, esclarece o regulamento.

O diploma determina ainda que, no que diz respeito ao tratamento de dados pessoais para cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, os Estados-membros devem “poder manter ou aprovar disposições nacionais” para especificar a aplicação das regras do regulamento.

O regulamento também dá aos Estados-membros margem de manobra para especificarem as suas regras, inclusive em matéria de tratamento de categorias especiais de dados pessoais ("dados sensíveis").

Nessa medida, o presente regulamento não exclui o direito dos Estados-membros de definir as circunstâncias de situações específicas de tratamento, incluindo a determinação mais precisa das condições em que é lícito o tratamento de dados pessoais”, lê-se no diploma.