As alterações finalmente aprovadas e que produzirão efeitos apenas a partir de 25 de Maio de 2018 são substanciais e ambiciosas, sobretudo se atentarmos aos novos conceitos que introduz, como sejam o privacy by design ou privacy by default, “direito a ser esquecido”, a portabilidade dos dados, a notificação de violação de dados e a prestação de contas implicarão uma necessidade de adaptação que se prevê delicada e morosa para todas as entidades públicas ou privadas que tratem dados pessoais.
O fundamento de uma sociedade de informação assenta no acesso e tratamento de dados pessoais. À medida que se aprofunda esta sociedade, também a regulamentação tem de acompanhar a sofisticação do tratamento de dados, assegurando a proteção de valores essenciais.
O novo Regulamento visa, primordialmente, promover a possível aproximação entre a realidade técnica, tecnológica e social existente e o regime jurídico aplicável, implementando pertinentes mecanismos de proteção dos mais elementares direitos dos titulares de dados e regulando de forma, que se prevê particularmente exigente, as atividades das entidades públicas e privadas.
Há ainda que salutar o alargamento do âmbito de aplicação do Regulamento a todo o território da União Europeia, com a particularidade de ser, ainda, aplicável a empresas estabelecidas fora do espaço da UE, desde que ofereçam serviços e façam negócios que envolvam tratamento de dados pessoais de um residente na UE ou quando os comportamentos dos titulares dos dados sejam “controlados” no seio da EU.
O Regulamento, ao pôr termo à obrigatoriedade de notificação ou pedido de autorização prévia à Comissão Nacional de Proteção de Dados (CNPD), consagra um novo paradigma jurídico, fazendo recair sobre as empresas/entidades não só o ónus do levantamento e registo interno de todos os tratamentos de dados que realizem, mas também a avaliação, nos casos de maior risco, dos impactos de tais tratamentos na privacidade, a adoção de códigos de conduta, procedimentos e sistemas tecnológicos que assegurem elevados níveis de segurança.
O eventual incumprimento de tais obrigações jurídicas fará impender sobre os privados e, eventualmente, entidades públicas pesadas sanções, nomeadamente a aplicação de coimas que podem atingir vinte milhões de euros ou 4% do volume de negócios anual.
Considerando as novidades introduzidas e intrincado quadro regulatório, urge que as empresas e entidades que tratam dados pessoais iniciem os necessários procedimentos para a implementação do Regulamento, devendo para o efeito alocar os recursos técnicos e humanos internos necessários e identificar, quando necessário, os profissionais credenciados para que a preparação e transição seja efetuada de forma não disruptiva.
