Nos termos do RGPD, a alicação da lei é da responsabilidade das autoridades nacionais de proteção de dados (APD). Cada país do EEE tem a sua própria autoridade independente de proteção de dados, que supervisiona a aplicação do RGPD, incluindo o tratamento das reclamações. Para o tratamento de dados efetuado em mais do que um país do EEE, o RGPD prevê um sistema de cooperação entre as APD competentes, no âmbito do qual cooperam a fim de chegar a um consenso. Encontre uma visão geral das APD.
O RGPD confere determinados direitos aos indivíduos, incluindo o direito de apresentar uma reclamação à autoridade competente quando receiam que tenha havido uma violação dos seus direitos de proteção de dados.
Atribuições e competências das autoridades de proteção de dados (APD)
Funções das APD
Cada APD do EEE tem a responsabilidade de monitorizar e fazer cumprir a aplicação do RGPD e promover a sensibilização do público e a compreensão dos riscos, regras, garantias e direitos relacionados com o tratamento de dados pessoais. As APD também têm a missão de aconselhar o parlamento nacional, o governo e outras instituições e organismos e de prestar informações a qualquer indivíduo sobre o exercício dos seus direitos. As APD também promovem a sensibilização dos responsáveis pelo tratamento de dados e dos subcontratantes para as suas obrigações ao abrigo do RGPD. As APD tratam reclamações de indivíduos, realizam investigações sobre a correta aplicação do RGPD e cooperam com outras APD na aplicação do RGPD. As autoridades são igualmente responsáveis por:
- adotar e autorizar cláusulas contratuais-tipo;
- aprovar regras vinculativas para as empresas;
- aprovar códigos de conduta;
- incentivar a criação de mecanismos de certificação em matéria de proteção de dados;
- contribuir para as atividades do CEPD;
- desempenhar quaisquer outras tarefas relacionadas com a proteção de dados pessoais.
Leia mais
Competências das APD
Ao abrigo do RGPD, as APD nacionais registaram um aumento significativo dos seus poderes de supervisão. O artigo 58.º do RGPD define os poderes de cada uma dessas autoridades nacionais, dividindo-os distintamente em três grandes grupos:
- poderes de investigação;
- poderes de correção;
- poderes consultivos.
Poderes de investigação
As APD exercem os seus poderes de investigação a fim de determinar se existe uma violação do RGPD, o seu âmbito exato e a sua natureza. Entre outros, as APD podem:
- Ordenar às organizações que forneçam quaisquer informações relacionadas com a investigação;
- Realizar investigações sob a forma de auditorias de proteção de dados e notificar as organizações de uma alegada violação do RGPD.
- Obter acesso a todos os dados pessoais na posse de uma organização e a todas as informações necessárias ao desempenho das suas funções, incluindo o acesso a qualquer uma das instalações da organização, incluindo a qualquer equipamento e meios de tratamento de dados, em conformidade com o direito processual da UE e nacional.
- Proceder a uma revisão das certificações emitidas nos termos do artigo 42.º, n.º 7, do RGPD
Poderes de correção
Quando uma violação das disposições do RGPD é estabelecida como resultado da investigação, ou se considera que uma operação de tratamento comporta riscos ou não cumpre requisitos específicos, as APD têm o direito de exercer um ou mais dos seus poderes corretivos, por exemplo:
- Advertência ou proibição de tratamento: em caso de riscos existentes, as APD podem emitir avisos às organizações, a fim de evitar que as suas operações de tratamento infrinjam as disposições do RGPD. As APD podem igualmente ordenar uma limitação temporária ou definitiva, incluindo a proibição das atividades de tratamento das organizações, bem como ordenar que comuniquem as violações de dados que tenham ocorrido às pessoas em causa.
- Ordem de conformidade: a fim de garantir a conformidade com o RGPD ou para tratar casos em que determinados critérios ou requisitos não são cumpridos, as APD têm o poder de ordenar às organizações que cumpram os pedidos dos indivíduos para exercerem os seus direitos ao abrigo do RGPD. Se for caso disso, as organizações podem ser obrigadas a pôr as suas operações de tratamento em conformidade com as disposições do RGPD de uma forma específica e dentro de um prazo determinado.
- Suspensão dos fluxos de dados ou retirada da certificação: além disso, as APD podem também exercer os seus poderes para suspender quaisquer fluxos de dados para destinatários em países terceiros ou para organizações internacionais. Podem ainda retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida em conformidade com os artigos 42.º e 43.º do RGPD. Nos casos em que os requisitos de certificação não são cumpridos ou deixaram de ser cumpridos, ordenar ao organismo de certificação que não emita a certificação.
- Reprimendas: no caso de infrações comprovadas, as APD podem admoestar as organizações.
- Coimas: As APD também podem impor coimas definidas em conformidade com o artigo 83.º do RGPD, além ou em vez das outras medidas acima enumeradas. O regime de sanções administrativas exige uma avaliação caso-a-caso das circunstâncias de cada infração individual. A avaliação deve ter em conta fatores como a natureza, a gravidade e a duração da infração, a sua natureza intencional ou negligente, quaisquer medidas de atenuação de danos que possam ter sido implementadas, as medidas técnicas e organizativas (ou seja, de segurança) que foram aplicadas e a forma como a APD tomou conhecimento da questão.
O nível máximo da sanção potencial dependerá do tipo de infração:
- pode ir até um máximo de 10 milhões de EUR ou 2 % do volume de negócios anual total a nível mundial no exercício financeiro anterior (por exemplo, para uma violação da «privacidade desde a conceção e por defeito», o incumprimento da obrigação de celebrar um acordo de tratamento de dados, ou a não realização de uma avaliação de impacto sobre a proteção de dados ou a nomeação de um encarregado da proteção de dados) nos termos do artigo 83.º, n.º 4, do RGPD; ou
- pode ir até um máximo de 20 milhões ou 4 % do volume de negócios anual total a nível mundial no exercício financeiro anterior (por exemplo, por uma violação dos princípios básicos relativos ao tratamento, por tratar dados pessoais ilicitamente sem base legal ou para violações dos direitos dos titulares dos dados) nos termos do artigo 83.º, n.º 5, do RGPD.
Pode encontrar mais informações sobre as sanções administrativas associadas a violações de vários artigos do RGPD no artigo 83.º do RGPD e nas orientações do CEPD sobre o cálculo das coimas ao abrigo do RGPD.
Poderes consultivos
Cada APD tem um determinado papel de autorização e aconselhamento ao abrigo do RGPD, através do qual pode prestar apoio a organizações e ou autorizar atividades de tratamento específicas. Alguns exemplos são:
- Consulta prévia: aconselhar os responsáveis pelo tratamento de dados de acordo com o procedimento de consulta prévia nos termos do artigo 36.º do RGPD.
- Pareceres sobre as atividades legislativas: emitir, por iniciativa própria ou mediante pedido, pareceres ao respetivo parlamento nacional, governo ou, em conformidade com o direito nacional, a outras instituições e organismos, bem como ao público, sobre qualquer questão relacionada com a proteção de dados pessoais.
- Códigos de conduta e certificação: aprovar projetos de códigos de conduta, acreditar organismos de certificação ou emitir certificações e aprovar critérios de certificação.
O exercício dos poderes acima referidos das APD está sujeito a salvaguardas adequadas, incluindo o recurso judicial efetivo e o processo com garantias, tal como estabelecido no direito da UE e no direito nacional, em conformidade com a Carta dos Direitos Fundamentais da UE. Cada APD tem o poder de chamar a atenção das autoridades judiciais para as violações do RGPD e, se for caso disso, de iniciar ou intervir de outra forma em processos judiciais, a fim de fazer cumprir as disposições do RGPD. Podem ser conferidos poderes adicionais às APD pelo respetivo direito nacional.
Leia mais
Cooperação e balcão único
O RGPD aplica-se em todo o EEE, utilizando um conjunto de regras de proteção de dados para todos os países. Esta abordagem apoia as empresas internacionais, mas também as PME nos seus esforços para se desenvolverem e crescerem, oferecendo os seus serviços em mais do que um país do EEE.
A fim de reduzir os encargos administrativos do tratamento de dados pessoais em dois ou mais países do EEE, o RGPD prevê um sistema de cooperação entre as APD — o chamado mecanismo de «balcão único», a fim de chegar a um consenso entre as várias APD.
Quando uma organização trata dados em dois ou mais países do EEE, a autoridade competente para tratar uma reclamação ou uma violação de dadosdeve ser a do país em que o responsável pelo tratamento de dados tem o seu estabelecimento principal. Isto facilita os responsáveis pelo tratamento de dados, uma vez que não têm de cumprir as diferentes leis em cada país em que operam. Além disso, só têm de interagir com uma APD. Dependendo do seu tipo de negócio e dos produtos e serviços que oferece, o tratamento transfronteiriço pode também aplicar-se à sua PME. Muitas empresas de menor dimensão, como lojas em linha, sítios Web de comércio eletrónico, aplicações móveis e informáticas, oferecem serviços em vários países.
Se a sua PME tratar dados de pessoas em diferentes países do EEE, é obrigado a determinar qual é a APD competente ou a autoridade principal. Esta é normalmente a APD localizada no país do EEE onde está localizada a sede da sua organização e onde são tomadas as decisões sobre as finalidades e os meios de tratamento de dados pessoais.
Na prática
- Os retalhistas em linha, por exemplo quevendem roupas através das suas lojas Web a clientes de vários países do EEE, podem e muitas vezes procedem ao tratamento de dados pessoais. Nesse caso transfronteiriço, a autoridade competente deve ser a do país do estabelecimento principal do retalhista em linha («principal local de atividade»).
Depois de determinar qual é a APD principal, só precisa de comunicar com ela. A APD principal coopera e discute dcom as outras APD do EEE interessadas.
Sempre que uma queixa com um elemento transfronteiriço deva ser tratada no contexto da cooperação com outra APD, devem ser tomadas as seguintes medidas de cooperação:
- Se outra autoridade de proteção de dados tiver recebido a queixa, tem a obrigação de informar a APD principal sobre o caso;
- A APD que recebeu a queixa e é interessada pode participar na elaboração de uma decisão sobre a reclamação;
- Durante a preparação de uma decisão, a APD principal deve ter em conta o parecer da APD interessada.
Determinação da autoridade principal de proteção de dados
Conceitos-chave
Tratamento transfronteiriço de dados pessoais
De acordo com o RGPD, a identificação de uma autoridade principal de proteção de dados só é relevante para as organizações que efetuam o tratamento transfronteiriço de dados pessoais.
O RGPD define «tratamento transfronteiriço» como:
- o tratamento de dados pessoais é efetuado em mais do que um país do EEE onde o responsável pelo tratamento ou o subcontratante está estabelecido ou
- o tratamento de dados pessoais efetuado num único estabelecimento de uma organização no EEE, mas que afeta substancialmente ou é suscetível de afetar substancialmente indivíduos em mais do que um país do EEE.
Na prática
- Isto significa que, se uma organização tiver estabelecimentos na Alemanha e na Croácia, por exemplo, e o tratamento de dados pessoais ocorrer no contexto das suas atividades, tal constituirá um tratamento transfronteiriço.
- Em alternativa, a organização pode ter apenas um estabelecimento na Alemanha. No entanto, se a sua atividade de tratamento afetar substancialmente — ou for suscetível de afetar substancialmente — as pessoas na Alemanha e na Croácia, isso também constituirá um tratamento transfronteiriço.
Entendimento de «afeta substancialmente»
O facto de uma organização tratar uma quantidade — mesmo em grande quantidade — de dados pessoais de pessoas singulares, em vários países do EEE, não significa necessariamente que o tratamento tenha, ou seja suscetível de ter, um efeito substancial. O tratamento com pouco ou nenhum efeito não constitui um tratamento transfronteiriço, independentemente do número de pessoas que afete.
As APD interpretarão «afeta substancialmente» caso-a-caso. Terão em conta o contexto do tratamento, o tipo de dados, a finalidade do tratamento e fatores, taiscomo, se o tratamento:
- causa, ou é suscetível de causar, danos, perdas ou angústia às pessoas
- tenha, ou seja suscetível de ter, um efeito real em termos de limitação dos direitos dos indivíduos ou de negação de uma oportunidade;
- afeta ou é suscetível de afetar a saúde, o bem-estar ou a paz de espírito das pessoas;
- afeta ou é suscetível de afetar a situação ou as circunstâncias financeiras ou económicas das pessoas;
- deixa as pessoas sujeitas a discriminação ou a um tratamento desleal;
- envolve a análise de categorias especiais de dados pessoais ou outros dados intrusivos, nomeadamente os dados pessoais de crianças;
- leva, ou é suscetível de levar os indivíduos a alterar significativamente o seu comportamento;
- tem consequências improváveis, imprevistas ou indesejadas para os indivíduos;
- cria constrangimentos ou outros resultados negativos, incluindo danos à reputação; ou envolve o tratamento de uma vasta gama de dados pessoais.
Autoridade de proteção de dados principal
Em termos simples, uma «autoridade de proteção de dados principal» ou uma APD principal é a APD que tem primeiramente a responsabilidade por tratar uma atividade deo tratamento transfronteiriça, por exemplo, quando uma pessoa apresenta uma queixa sobre o tratamento dos seus dados pessoais. A APD principal coordenará qualquer investigação e trabalhará em conjunto com as APD «interessadas». A identificação da APD principal depende da determinação da localização do «estabelecimento principal» ou do «estabelecimento único» do responsável pelo tratamento na UE.
Se uma organização estiver estabelecida num único país do EEE, tem um único estabelecimento no EEE e a APD desse país será a APD principal.
Se uma organização estiver estabelecida em mais do que um país do EEE, é necessário determinar o seu estabelecimento principal, para que a APD principal possa ser identificada.
Leia mais
Estabelecimento principal
A fim de determinar o local onde se situa o estabelecimento principal, é necessário, em primeiro lugar, identificar a localização da administração central da organização no EEE («local da administração central; quartel-general), se houver. Este é o local onde são tomadas as decisões sobre as finalidades e os meios de tratamento de dados pessoais.
Nos casos em que as decisões relativas a diferentes atividades de tratamento transfronteiriças são tomadas no âmbito da administração central, haverá uma única APD principal no EEE para as várias atividades de tratamento realizadas pela empresa multinacional. No entanto, pode haver casos em que um estabelecimento diferente do local da administração central toma decisões autónomas sobre as finalidades e os meios de uma determinada atividade de tratamento. Nestas situações, será essencial que as empresas identifiquem com precisão onde são tomadas as decisões sobre a finalidade e os meios de tratamento. A correta identificação do estabelecimento principal é do interesse dos responsáveis pelo tratamento de dados e dos subcontratantes, uma vez que proporciona clareza quanto à forma como as APD têm de lidar com as suas várias obrigações de conformidade ao abrigo do RGPD.
Leia mais
Na prática
- Um retalhista de vestuário tem a sua sede (ou seja, o seu «local de administração central») em Sófia, na Bulgária. Tem estabelecimentos em vários outros países do EEE, que estão em contacto com indivíduos. Todos os estabelecimentos utilizam o mesmo software para processar os dados pessoais dos clientes para fins de marketing. Todas as decisões sobre as finalidades e os meios de tratamento dos dados pessoais dos clientes para fins de marketing são tomadas na sua sede em Sófia. Isto significa que a APD principal da empresa para esta atividade de tratamento transfronteiriça é a APD búlgara.
Organizações não estabelecidas no EEE
Se a sua organização não estiver estabelecida no EEE, mas estiver sujeita ao RGPD, uma vez que se enquadra no âmbito territorial do RGPD, poderá ter de nomear um representante num dos países do EEE.
No entanto, se uma organização não tiver um estabelecimento no EEE, a mera presença de um representante num dos países do EEE não desencadeia o sistema de «balcão único». Isto significa que as organizações sem qualquer estabelecimento no EEE devem lidar com as APD locais em todos os países do EEE em que operam, através do seu representante local.
Leia mais
Papel do Comité Europeu para a Proteção de Dados
O CEPD é um organismo europeu independente com personalidade jurídica que contribui para a aplicação coerente das regras de proteção de dados em todo o EEE e promove a cooperação entre as autoridades de proteção de dados do EEE. O CEPD é composto pelo dirigente máximo da APD e pela Autoridade Europeia para a Proteção de Dados (AEPD) ou pelos seus representantes.
No CEPD, as APD trabalham em conjunto para:
- fornecer orientações gerais (incluindo orientações, pareceres, recomendações e boas práticas) sobre a legislação em matéria de proteção de dados, nomeadamente o RGPD;
- aconselhar a Comissão Europeia sobre qualquer questão relacionada com a proteção de dados pessoais e sobre a nova legislação proposta na UE;
- adotar decisões e pareceres em matéria de coerência em casos transfronteiriços de proteção de dados.
Em vez de responder a pedidos específicos e individuais, o CEPD emite orientações gerais.
O CEPD aprovou vários documentos com diretrizes que são diretamente relevantes para as empresas, incluindo as PME. As presentes orientações clarificam diferentes noções do RGPD, tais como os princípios básicos de tratamento de dados, a proteção de dados desde a conceção e por defeito, as transferências internacionais de dados e os direitos dos titulares dos dados. Pode encontrar uma visão geral destes documentos aqui.
Mecanismo de coerência
O mecanismo de controlo da coerência pode ter um impacto direto nas PME. Em primeiro lugar, o mecanismo de controlo da coerência pode ser acionado quando a APD principal e as APD interessadas não conseguem chegar a um consenso sobre um caso transfronteiriço específico. Nessas situações, o caso será remetido para o CEPD, que aprovará uma decisão vinculativa para resolver o litígio.
Além disso, o CEPD emite pareceres de coerência sobre alguns projetos de decisão elaborados pelas APD do EEE, que têm efeitos transfronteiriços (por exemplo, sobre um novo conjunto de contratos-tipo ou sobre códigos de conduta).
O CEPD também pode emitir pareceres de coerência sobre qualquer questão de aplicação geral do RGPD ou qualquer questão com efeitos em mais do que um país do EEE. Este trabalho visa assegurar que o RGPD seja compreendido e aplicado de forma coerente em diferentes países do EEE.