Proteção de dados: o que devemos aceitar e recusar na política de privacidade
Com a entrada em vigor Novo Regulamento Geral de Protecção de Dados (RGPD), 25 de maio de 2018, muitas questões se têm levantado quer nas empresas quer nos próprios cidadãos, os titulares de dados pessoais.
Todos nós, diariamente, somos confrontados com a necessidade de aceitar os termos e condições previstos nas políticas de privacidade que nos são apresentadas pelos prestadores de serviços, seja para compras em loja, compras online, adesão a cartões de cliente, seja para nos registarmos num site...
A verdade é que a partir de Maio deste ano as regras se alteraram e as políticas de privacidade também terão (forçosamente) de se alterar.
Isto porque o Novo Regulamento prevê uma regra basilar de transparência no tratamento dos dados pessoais, que passa a exigir que as informações ou comunicações relacionadas com o tratamento desses dados sejam de fácil acesso e compreensão.
Resulta assim que uma política de privacidade que apresente uma descrição genérica ou à qual falte algum elemento específico relativo à finalidade de recolha e tratamento de dados deve ser prontamente recusada.
As políticas de privacidade atualmente utilizadas pelas organizações devem ser integralmente revistas, já que os titulares de dados apenas devem aceitar políticas que estejam redigidas em linguagem de fácil compreensão e que especifiquem exatamente qual a finalidade do tratamento, quem é o responsável pelo tratamento, qual o período de conservação dos dados, devendo ainda conter informação clara acerca dos riscos, regras, garantias e direitos associados ao tratamento desses dados e dos meios de que dispõem os titulares para exercer os seus direitos relativamente a esse tratamento. Passa também a ser essencial informar os titulares dos dados da eventualidade de transmissão desses dados a terceiros, identificando-se claramente quem são os terceiros e o motivo dessa transmissão. No caso dos sites e-commerce, deve ser ainda detalhada a forma de tratamento dos dados bancários fornecidos pelos utilizadores, nomeadamente, através da indicação específica da entidade bancária.
Mas será que devemos conformar-nos com as caixas pré-selecionadas de aceitação de termos e políticas de privacidade? Não! Passa a exigir-se também que a autorização para o tratamento de dados seja manifestada através de um acto positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, ou seja, deixa de existir a possibilidade de se utilizar o sistema “opt-out” para passarmos à obrigatoriedade de um sistema “opt-in”.
Assim, as políticas de privacidade passam a ter de ser formuladas numa linguagem clara e simples, sob pena de violação das normas do RGPD e consequente possibilidade de demandas judiciais contra os responsáveis pelo tratamento ou de uma eventual ação de fiscalização por parte da Autoridade de Controlo e aplicação de coimas.