A partir de 25 de maio de 2018, data de aplicação do Regulamento Feral de Proteção de Dados (RGPD), todos os Estados-Membros da União Europeia (UE) passam a estar sujeitos a regras comuns em matéria de proteção de dados pessoais.

Neste estudo são apresentadas as alterações mais significativas do novo RGPD.

Veja o estudo na íntegra no PDF.

Ver pdf Partilhar
2019-05-20

Um ano após a entrada em vigor do novo Regime Geral da Proteção de Dados, o Jornal de Negócios faz um balanço em primeira linha de como as organizações (não) se estão a adaptar ao regime.

Segundo a advogada Cláudia Fernandes Martins, especialista em proteção de dados na Macedo Vitorino & Associados, embora tenha existido «(...) um “esforço proativo” por parte de entidades privadas e públicas (…), isto não significa que a maioria das organizações tenha implementado as medidas necessárias para atuarem em conformidade com o RGPD (...).» Confirma ainda que «existem atrasos na implementação do RGPD ao nível do setor público».


Se quiser saber mais, leia o artigo na íntegra no pdf. 

Ver pdf Partilhar
2018-12-05

Seis meses após a aplicação do Regulamento Geral de Proteção de Dados (RGPD), visitámos alguns sítios de Internet de grandes empresas e outras não tão grandes para verificar a sua conformidade com o RGPD.

Encontrámos vários exemplos de práticas ilegais ou, pelo menos, não recomendáveis face ao RGPD e ainda ao regulamento europeu relativo à privacidade e comunicações eletrónicas (regulamento «E-privacy»), ainda em fase de pré-aplicação.

Leia o nosso relatório aqui.

Ver pdf Partilhar
2018-10-30

Aproximadamente seis meses após a aplicação do Regulamento Geral de Proteção de Dados (RGPD), o setor público apresenta ainda um atraso significativo na sua implementação. O RGPD impõe novos desafios à Administração pública em matéria de proteção de dados que parecem estar a ser ignorados.

A «moratória» de três anos aplicável à Administração pública quanto a coimas, prevista na proposta de lei de execução do RGPD, contribuiu para desincentivar o esforço de muitas entidades públicas na implementação do RGPD.

Há também uma «falsa ilusão» de que a Comissão Nacional de Proteção de Dados (CNPD) não aplicaria de forma implacável o RGPD, ilusão que foi alimentada pelas notícias de falta de verbas desta autoridade. 

Contudo, frustrando as ilusões de muitos, a CNPD abriu, em 14 de outubro de 2018, um processo de averiguação à EMEL e à Câmara Municipal de Lisboa, na sequência do envio dos SMS pela EMEL com alertas sobre o furacão Leslie.

Uns dias mais tarde, a CNDP aplicaria uma coima de 400 mil euros ao Centro Hospitalar do Barreiro Montijo, EPE por acesso indevido a dados clínicos de doentes por profissionais não médicos.

Embora o RGPD permita aos Estados-membros determinar se as coimas devem ou não ser aplicadas a autoridades e organismos públicos, na ausência dessa lei nacional o RGPD é plenamente aplicável, pelo que a Administração pública não está isenta da aplicação de sanções pela CNPD.

A manter-se a redação da proposta de lei que se encontra em discussão, apenas as empresas públicas que sejam entidades públicas empresarias (EPE) seriam abrangidas pela isenção. Tal pode significar que a coima ao Hospital do Barreiro poderá vir a ser retirada mas isso não é certo ainda.

Certo é que, com ou sem isenção, a Administração pública tem de se consciencializar de que precisa de implementar cabalmente o RGPD porque os cidadãos têm direito à proteção dos seus dados e porque, mais tarde ou mais cedo, haverá sanções para evitar a violação do RGPD.

O presente estudo visa analisar o impacto da aplicação do RGPD na Administração pública e as novas responsabilidades que decorrem para os serviços, organismos e entidades públicas, bem como as medidas-chave a adotar na implementação do RGPD pelo sector público.

Ver pdf Partilhar
2018-05-02

A partir de 25 de maio de 2018, data de aplicação do Regulamento Geral de Proteção de Dados (RGPD), todos os Estados-Membros da União Europeia (UE) passam a estar sujeitos a regras comuns em matéria de proteção de dados pessoais.

Organizações sedeadas fora da UE também podem estar sujeitas ao RGPD quando as suas atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a titulares de dados da UE ou com o controlo do comportamento de titulares de dados, quando este tenha lugar na UE.

Ao contrário da Diretiva 95/46/CE transposta pela Lei n.º 67/98, de 26 de outubro, que aprovou a Lei de Proteção de Dados Pessoais (LPDP), o RGPD aplica-se sem necessidade de ser aprovada legislação nacional e revogará a LPDP. Isto não significa, porém, que, em determinadas matérias (ex. tratamento de dados sensíveis ou de dados de trabalhadores no contexto laboral), não possa vir a ser aprovada legislação nacional específica, que se aplicará em conjunto com o RGPD.

Se compararmos o RGPD com a LPDP parecem não existir alterações significativas ao nível dos princípios de proteção dos dados: os conceitos de dados pessoais e de tratamento, os princípios fundamentais a que devem obedecer os tratamentos de dados e os fundamentos de licitude permanecem intocáveis. As alterações, essas sim significativas, verificam-se ao nível das regras do jogo e da operacionalização destes princípios.

De entre essas alterações é de salientar a mudança do modelo de regulação: o RGPD introduz um modelo de autorregulação, em contraste com o modelo de hétero-regulação da LPDP, o que terá um impacto relevante no dia-a-dia das organizações.

As organizações passam a ser responsáveis pela interpretação e operacionalização das regras de proteção de dados, bem como por assegurar, de forma contínua, e demonstrar o cumprimento do RGPD, ficando sujeitas a fiscalização e supervisão da autoridade de controlo do país do seu estabelecimento principal ou único (sistema de «balcão único»).

As organizações devem, por isso, começar por compreender qual o seu perfil de risco e, a partir deste exercício, ponderar o que devem fazer para atuar em conformidade com o RGPD e demonstrar essa conformidade, sob pena de risco de coimas, que aumentam exponencialmente e que poderão ir até 4% do volume de negócios anual, a nível mundial, ou até 20 milhões de euros, consoante o que for superior.

Ver pdf Partilhar
2017-03-13

O Regulamento Geral sobre a Proteção de Dados ("RGPD") promete trazer significativas alterações em matéria de proteção de dados (as maiores dos últimos vinte anos) desde a Diretiva n.º 95/46/CE, que foi transposta pela Lei n.º 67/98, de 26 de outubro.

O RGPD será diretamente aplicável em todos os Estados Membros da União Europeia (“UE”) a partir de 25 de maio de 2018. O novo regulamento terá ainda um âmbito de aplicação global, na medida em que empresas sedeadas fora da UE, que disponibilizem bens ou serviços na UE, poderão ficar sujeitas ao RGPD.

O risco de multas até 4% do volume de negócios anual, a nível mundial, ou de 20 milhões de euros constitui um incentivo mais do que suficiente para que as empresas cumpram o RGPD.

O RGPD não impede, todavia, que a lei portuguesa possa estabelecer requisitos mais específicos, nomeadamente em matéria de tratamento de dados sensíveis (e.g., dados genéticos, dados biométricos e dados referentes a saúde) e de dados pessoais dos trabalhadores no contexto laboral (para efeitos, entre outros, de recrutamento, execução de contrato de trabalho, cessação da relação de trabalho), normas que se aplicarão conjuntamente com o RGPD.

A aplicação conjunta do RGPD e da lei portuguesa será relevante nos casos em que as empresas recolham e tratem dados de indivíduos portugueses e/ou a autoridade de supervisão portuguesa (a Comissão Nacional de Proteção de Dados – “CNPD”) atue na qualidade de autoridade principal pelo facto de o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou subcontratante se encontrar localizado em Portugal.

Os titulares de dados, residentes em Portugal, terão o direito de apresentar reclamações junto da CNPD. Em processos apresentados contra o responsável pelo tratamento ou subcontratante, o reclamante terá direito a recorrer aos tribunais portugueses se as empresas ou a residência do responsável pelo tratamento ou subcontratante se encontrarem localizados em Portugal.

Apesar de, em termos gerais, as regras fundamentais continuem a ser as mesmas, existem importantes alterações com impacto no dia-a-dia das empresas e para as quais deverão estar alerta e preparar-se com a devida antecedência.

O objetivo desta publicação é o de definir um plano com sete medidas a adotar pelas empresas para cumprirem o RGPD. As empresas também deveriam aproveitar esta oportunidade para melhorarem a sua forma de lidar com os dados pessoais. A contagem decrescente para 2018 já começou…

Ver pdf Partilhar
2017-02-20

The General Data Protection Regulation (“GDPR”) promises to be the most significant global development in data protection laws across all European Union (“EU”) Member States since Directive 95/46/EC (“Data Protection Directive”), which was implemented in Portugal by Law 67/98, of 26 October 1998.

The GDPR will be directly applicable in all EU Member States from 25 May 2018. The new regulation will have a global scope, as businesses based outside the EU that offer goods or services to individuals in the EU may be required to comply with the GDPR.

The risk of fines up to 4% of annual worldwide turnover or €20 million is surely a strong incentive for companies to comply with the GDPR.

The new regulation is expected to be homogenously applied throughout the EU. Notwithstanding, Portuguese law will apply in cases it may impose more detailed conditions, such as those relating to the processing of sensitive data, particularly genetic data, biometric data or data concerning health. Portuguese law may also contain specific rules regarding the processing of employees' personal data, especially for the purposes of recruitment, performance and termination of the employment contract, which will apply together with the GDPR.

The combined application of the GDPR and the Portuguese law will be particularly relevant where companies collect and process data from Portuguese individuals and/or the Portuguese supervisory authority acts as lead authority due to the fact the main establishment or the single establishment of the controller or processor is located in Portugal.

Individuals, who are resident in Portugal, will have the right to lodge complaints with the Portuguese supervisory authority. For proceedings against a data controller or processor, the plaintiff will have the right to bring the action before the Portuguese courts if the data controller or processor’s business or the individuals’ residence is located in Portugal.

Although the core data protection rules remain broadly the same, there are important changes with impact on day-to-day business and for which companies should be aware of and prepare in advance.

As companies prepare for the entry into force of the GDPR, we propose a seven steps plan detailing the main aspects of the GDPR that companies need to take. This should be also used as an opportunity to improve the way the companies deal with personal data within their organization. The countdown to 2018 has started.

Ver pdf Partilhar
pesquisa

IFLR 1000

"Excellent service, says a client on a refinancing transaction: I always trust on them when I have a legal issue in Portugal. [They are]...

Chambers and Partners

"Macedo Vitorino remains the go-to legal adviser for major telecoms players and specialises in the financing of public companies. Recent...

Chambers and Partners

"A compact but technically strong team, recognised for its corporate and M&A experience. Provides particular expertise in the TMT, energy...