Categorias

Pesquisa

Arquivo

Regulamento Geral de Proteção de Dados! E agora? Desmistificar o artigo 6º do RGPD

Regulamento Geral de Proteção de Dados! E agora? Desmistificar o artigo 6º do RGPD

Antes de iniciar qualquer tratamento de dados é necessário assegurar a licitude desse tratamento.

Estou a tratar dados de forma lícita?

Esta é a questão que importa responder. Não adianta andar a pedir consentimentos “a torto e a direito” e destruir deliberadamente bases de dados…

Convém em primeiro lugar fazer uma análise da legislação e ver o que a mesma nos diz acerca desta questão.

Encontramo-nos aqui na fase zero, no que respeita a tratamento de dados, ainda não iniciamos a recolha dos dados, temos por isso que ponderar como a devemos fazer de forma a que posteriormente possamos tratar os dados sem qualquer problema.

Desde logo, afigura-se necessário definir muito bem o que são dados pessoais. Estes são todos os dados que podem ser usados direta ou indiretamente para identificar uma pessoa – qualquer informação relacionada com a sua vida privada, profissional ou pública (nome, números de identificação fiscal e civil, matrícula de viatura, número de cliente, dados de localização, email, endereço de IP, fotografias, voz, impressão digital, videovigilância, publicações em redes sociais, historial clínico, etc…).

Em segundo lugar vamos definir o que se entende por tratamento de dados pessoais, ou seja, qualquer operação sobre dados pessoais, realizada com ou sem recurso a meios automatizados. Por exemplo: operação de recolha de dados, registo dos dados recolhidos, operações de organização de dados, conservação de dados, adaptação ou alteração, recuperação, consulta, utilização, operação de divulgação de dados por qualquer forma de disponibilização, entre outras.

É necessário ter muita atenção a estas questões, pois não existe um elenco taxativo de quais os dados que são considerados dados pessoais, ou seja, sempre que se levantem questões acerca de estarmos ou não perante um dado pessoal ou de uma operação de tratamento deve ser consultada a Comissão Nacional de Proteção de Dados1 a fim de se obter o esclarecimento necessário.

Passando agora à análise do artigo 6º do Regulamento, este apresenta um elenco taxativo das situações em que o tratamento de dados pessoais é considerado lícito.

Importa desde logo, chamar a atenção para o facto de na alínea a’ do n.º 1 do referido artigo, aparecer o consentimento em primeiro lugar. Acontece que esta forma com base na qual o tratamento de dados pessoais se torna lícito, deve ser encarada como o último recurso, ou seja, só quando não conseguirmos aplicar nenhuma das outras alíneas do artigo é que recorremos ao consentimento. Podemos encarar o consentimento como uma “válvula de escape”.

Consequentemente, devemos iniciar a análise do artigo deixando, numa primeira fase, de parte o consentimento.

Assim, o tratamento de dados é lícito quando:

1. Necessário para a execução de um contrato – quando o titular dos dados é parte do contrato. Aqui exige-se a existência de um vínculo, direto e objetivo, entre o contrato e o tratamento realizado. Exemplo: Tratamento dos dados pessoais do trabalhador no âmbito da celebração do contrato de trabalho. Preenchimento do IRS pelo contabilista a pedido do sujeito passivo (contrato de prestação de serviços); (6º n.º 1 alínea b’)

2. Estamos perante o cumprimento de uma obrigação jurídica – quando existe a necessidade de tratamento de dados para cumprimento de determinada obrigação fundada em motivos de ordem pública, ou no âmbito de procedimento criminal ou contraordenacional. Exemplo: Obrigação de guardar os dados de faturação por um período de 10 anos (artigo 123º n.º 4 do CIRC). Obrigação de conservação dos registos dos tempos de trabalho pelo período de 5 anos (artigo 202º n. º4 do CT); (6º n.º 1 alínea c’)

3. O tratamento for necessário para defesa de interesses vitais – quando estamos perante uma situação que necessite de intervenção médica urgente. Apenas é válido o tratamento dos dados necessários para a prestação dos cuidados de saúde necessários. Exemplo: Titular dos dados entra numa urgência de um hospital, é necessário saber qual o seu tipo sanguíneo para ser possível prestar corretamente os cuidados de saúde. Nestes casos, temos um direito fundamental que pela sua força se suplanta que é o direito à vida, daqui advém este pressuposto de licitude para o tratamento dos dados; (6º n.º 1 alínea d’)

4. O tratamento dos dados tem fundamento no exercício de funções de interesse público ou por uma autoridade pública – o tratamento dos dados é necessário para correto exercício das funções de uma autoridade pública ou de funções de interesse público. Exemplo: uma investigação pública no seguimento de um comportamento lesivo para a saúde pública;(6.º n.º 1 alínea e’)

5. Haja um interesse legítimo no tratamento – temos aqui mais um conceito indeterminado, que também deixa uma abertura para o enquadramento nesta alínea de diversas situações, quando as mesmas não possam ser enquadradas nas alíneas anteriores e sem recorrer ao último recurso, o consentimento. O Regulamento é muito rico no recurso a conceitos indeterminados, que cremos pretender conferir margem de manobra às organizações de forma a que mais facilmente possam enquadrar determinada atividade de tratamento de dados pessoais no âmbito de um tratamento lícito. Importa aqui ponderar muito bem o que consideramos interesse legítimo, de forma a não se cair num exagero.
Assim, é necessária uma ponderação dos interesses, devemos sempre atender à pertinência e ver que o interesse legítimo invocado pelo responsável pelo tratamento dos dados não prevaleça de forma desproporcional sobre o interesse do titular dos dados. Exemplo: reter os dados de um trabalhador com o qual já não existe vínculo contratual, pelo período de 1 ano, a fim de estes poderem ser utilizados na defesa de uma ação judicial. (6º n.º 1 alínea f’)

Regressamos agora à questão do consentimento, como referimos, só quando não conseguimos assegurar a licitude do tratamento de dados pessoais através do enquadramento numa das alíneas do n.º 1 do artigo 6º é que recorremos ao consentimento.

Este deve ser encarado como o último recurso para tornar lícito o tratamento de dados pessoais.

O consentimento é um dos pilares do RGPD, este surge dotado de uma força muito própria. Trate-se de uma expressão clara da vontade do titular dos dados pessoais. O consentimento é dado pelo titular dos dados pessoais, para que os mesmos possam ser objeto de tratamento para uma determinada finalidade, que desde logo se exige estar claramente definida. Tem que ser dado de forma livre, explícita, com base em informações claras e simples e só é válido quando dado através de ato inequívoco. Daí ser considerado como a “ultima ratio”, pois embora torne lícito qualquer tratamento de dados, é mais complexo de ser obtido.

1 Disponível em: https://www.cnpd.pt/bin/duvidas/duvidas_frm.aspx

Artigo escrito por: ANA CECÍLIA CARDOSOFonte: O Informador Fiscal

Deixe uma resposta



Ir para a barra de ferramentas