Com a aproximação da data de produção plena de efeitos do Novo Regulamento Geral de Protecção de Dados (RGPD), 25 de Maio de 2018, muitas questões se têm levantado quer nas empresas quer nos próprios cidadãos, os titulares de dados pessoais.
Todos nós, diariamente, somos confrontados com a necessidade de aceitar os termos e condições previstos nas políticas de privacidade que nos são apresentadas pelos prestadores de serviços, seja para compras em loja, compras online, adesão a cartões de cliente, seja para nos registarmos num site...
A verdade é que a partir de Maio deste ano as regras alteram e as políticas de privacidade também terão (forçosamente) de alterar.
Isto porque, o Novo Regulamento prevê uma regra basilar de transparência no tratamento dos dados pessoais, que passa a exigir que as informações ou comunicações relacionadas com o tratamento desses dados sejam de fácil acesso e compreensão.
Resulta assim que uma politica de privacidade que apresente uma descrição genérica ou à qual falte algum elemento específico relativo à finalidade de recolha e tratamento de dados, deve ser prontamente recusada.
As políticas de privacidade actualmente utilizadas pelas organizações devem ser integralmente revistas, já que os titulares de dados apenas devem aceitar politicas que estejam redigidas em linguagem de fácil compreensão e que especifiquem exactamente qual a finalidade do tratamento, quem é o responsável pelo tratamento, qual o período de conservação dos dados, devendo ainda conter informação clara acerca dos riscos, regras, garantias e direitos associados ao tratamento desses dados e dos meios de que dispõem os titulares para exercer os seus direitos relativamente a esse tratamento. Passa também a ser essencial informar os titulares dos dados da eventualidade de transmissão desses dados a terceiros, identificando-se claramente quem são os terceiros e o motivo dessa transmissão. No caso dos sites e-commerce, deve ser ainda detalhada a forma de tratamento dos dados bancários fornecidos pelos utilizadores, nomeadamente, através da indicação específica da entidade bancária.
Mas será que nos devemos conformar com as caixas pré-seleccionadas de aceitação de termos e políticas de privacidade? Não! Passa a exigir-se também que a autorização para o tratamento de dados seja manifestada através de um acto positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, ou seja, deixa de existir a possibilidade de se utilizar o sistema opt-out para passarmos à obrigatoriedade de um sistema opt-in.
Assim, as políticas de privacidade passam a ter de ser formuladas numa linguagem clara e simples, sob pena de violação das normas do RGPD e consequente possibilidade de demandas judiciais contra os responsáveis pelo tratamento ou de uma eventual acção de fiscalização por parte da Autoridade de Controlo e aplicação de coimas.