“No dia 7 de dezembro, entrou em vigor a nova Lei Orgânica 3/2018 de Proteção de Dados e Garantia de Direitos Digitais, de 5 de dezembro, seis meses após o início da aplicação do Regulamento Geral de Proteção de Dados (RGPD), em 25 de maio. .
Seguindo os artigos da própria lei, devemos destacar os seguintes desenvolvimentos relevantes:
1.- Regula específica e separadamente o tratamento de dados de pessoas falecidas. As pessoas relacionadas com o falecido por motivos familiares ou, de facto, bem como os herdeiros, podem requerer o acesso, a retificação ou o apagamento, salvo se o falecido o tiver expressamente proibido ou assim estabelecido na lei.
2.- Reforça os requisitos de consentimento para que, quando seja necessário para uma pluralidade de fins, deve ser expressa e inequivocamente declarado que o consentimento é concedido para todos eles. O conceito de consentimento tácito é eliminado e reforçado ao se tornar uma ação mais positiva e expressa. A nova LOPD quer garantir que o consentimento das pessoas para o tratamento de dados decorra de uma declaração ou ação clara.
3.- Fixa a idade mínima para o consentimento de menores em 14 anos. Também está expressamente regulado o direito de solicitar a eliminação dos dados fornecidos às redes sociais ou outros serviços da sociedade da informação pelo próprio menor ou por terceiros durante a sua menoridade.
4.- Limita o consentimento no tratamento de categorias especiais de dados, pelo que não será suficiente para o tratamento de certas categorias de dados pessoais (ideologia, filiação sindical, religião, orientação sexual, crenças ou origem racial ou étnica) mas em vez disso, outras condições são necessárias para o seu tratamento.
5.- O tratamento de dados de natureza penal só pode ser realizado para fins diferentes dos de prevenção, investigação, detecção ou repressão de infrações/sanções penais quando protegido por um regulamento da UE ou normas com força de lei.
6.- Reconhece o mecanismo de dupla camada e o conteúdo mínimo da informação básica que deve ser prestada aos interessados para o cumprimento do dever de informação, especialmente através da Internet, que permite ao cidadão conhecer de forma clara e fácil os mais importantes aspectos importantes do tratamento, podendo acessar os demais através de um link direto.
7.- Desenvolve o regulamento aplicável ao exercício dos direitos dos interessados, acrescentando no artigo 32.º o denominado “bloqueio de dados”, quando se proceder à retificação ou eliminação de dados pessoais.
8.- Regula especificamente determinados tratamentos de dados pessoais que, salvo prova em contrário, se entendem legitimados por interesse legítimo ou interesse público (tratamento de dados de contacto; sistemas de informação de crédito; operações comerciais; videovigilância; publicidade de sistemas de exclusão; sistemas de informação para reclamações internas).
9.- Acrescentar uma lista de situações que devem ser levadas em conta na determinação da aplicação de medidas técnicas e organizacionais nos casos em que o tratamento possa acarretar maiores riscos (discriminação, fraude, menores, deficientes, perfis pessoais, etc. )
10.- Esclarece a distinção entre a posição do responsável pelo tratamento e do subcontratante, bem como as obrigações que cada um deve cumprir.
11.- Estabelece um sistema de denúncias internas anônimas, para informar uma entidade privada da prática de atos ou comportamentos que possam ser contrários aos regulamentos. Estes sistemas são essenciais para que as pessoas coletivas comprovem a diligência necessária para se isentar de responsabilidade penal.
12.- Inclui um catálogo completo de entidades, que devem obrigatoriamente designar um delegado de proteção de dados e notificar a Agência Espanhola de Proteção de Dados. Entre outros:
associações profissionais
Centros de saúde com obrigação de manter registos médicos
Centros educacionais de treinamento regulamentados
Provedores de serviços de informação
empresas de segurança privada
Federações desportivas que tratam dados de menores
Publicidade e prospecção comercial com base em perfis
13.- Especifica a forma de instauração do procedimento disciplinar e a sua duração, diferenciando os casos de (i) falta de atendimento a um pedido de exercício de direitos; (ii) apuração da existência de eventual infração; e (iii) tramitação do processo em decorrência da comunicação da reclamação apresentada a outra autoridade nacional de controle. Inclui também um catálogo aberto de infrações, divididas em três categorias (leve, grave e gravíssima).
14.- Reconhece e garante um novo catálogo de direitos digitais, incluindo neutralidade da internet, acesso universal à internet, segurança digital, educação digital, proteção de menores na internet, retificação ou atualização da informação na internet, direito ao esquecimento em motores de busca e nas redes sociais, ou a regulamentação do direito ao testamento digital.
15.- Reforça a privacidade do trabalhador e o seu direito à desconexão digital e à intimidade face à utilização de dispositivos digitais, videovigilância e geolocalização no local de trabalho, permitindo acordos coletivos que garantam maior proteção.
16.- Prorroga a vigência dos contratos de gestão de tratamentos celebrados antes da aplicação do RGPD até à data do seu termo ou, no caso de terem sido celebrados por tempo indeterminado, até 25 de maio de 2022.”