É necessário a obtenção de autorização da autoridade de controlo competente através de (i) cláusulas contratuais vinculativas entre os

responsáveis pelo tratamento e os destinatários no país terceiro, (ii) disposições nos acordos administrativos com os direitos concretos e oponíveis aos titulares dos dados (Art.º 46.º);

xx. Promoção de códigos de conduta aprovados pela (Arts.º 40.º-41.º) e mecanismos de certificação reconhecidos pelas autoridades de controlo por forma a ficar comprovada a conformidade de todas as operações e intervenientes com o RGPD (Arts.º 42.º-43.º, Considerando 100).

xxi. Criação do Comité Europeu para a Proteção de Dados (Art.º 68.º, Considerando 139), com personalidade jurídica e um presidente, e composto pelos diretores de cada uma das autoridades de controlo, por forma a controlar e assegurar a correta e uniforme aplicação do regulamento, aconselhar as comissões, emitir diretrizes, recomendações e melhores práticas.

O não cumprimento das normas emergentes/decorrentes do Regulamento terá um grande impacto: o responsável pelo tratamento é obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais. Está sujeita à aplicação de coimas pela respetiva autoridade de controlo que podem ir até 20.000.000EUR ou até 4% do volume de negócios da empresa (no caso de pessoas coletivas), consoante o montante mais elevado, caso exista uma violação de princípios e direitos e incumprimento de ordens

impostas pela autoridade de controlo109. Caso haja um incumprimento de obrigações, mencionadas no artigo 83.º n.º 4 ou n.º 5110, nomeadamente das obrigações do responsável pelo tratamento e subcontratante ou do organismo de certificação e supervisão, é aplicada uma coima até “10 000 000 Eur ou, no caso de empresa, até 2% do seu volume de negócios anual a nível correspondente ao exercício financeiro anterior (…)”.

Porém, importa clarificar as exceções à aplicação do RGPD e aos direitos dos titulares: a segurança do Estado e defesa e segurança pública; objetivos de interesse público geral, nomeadamente económicos ou financeiros, de políticas de saúde ou segurança social; a defesa do titular dos dados ou dos direitos e liberdades de terceiros111. Relativamente às questões da liberdade de expressão ou tratamento jornalístico, cabe aos Estados-Membros estabelecer regras específicas para estes casos, sendo obrigatória a notificação à Comissão dessas disposições112_{. O acesso público aos documentos oficiais}

para fins de interesse público investigação científica ou fins estatísticos deve ser ressalvado dentro das normas do direito da UE. O tratamento destes dados deve ser feito com medidas técnicas e organizativas que assegurem o Princípio da Minimização dos Dados113. Partindo para o tratamento de dados pessoais no contexto laboral e verificando o art.º 88.º n.º 1, os Estados-Membros podem estabelecer regras específicas para o tratamento de dados pessoais neste caso114. Regras essas que regulam as condições para situações de recrutamento, contrato de trabalho, saúde e segurança, igualdade, direitos e benefícios e cessação de contrato. De outra forma, a Lei 87/2017, que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do terrorismo, permite facilitar o acesso das autoridades judiciárias a informações de natureza fiscal, sendo uma exclusão ao RGPD.

1.1.NECESSIDADE DA REFORMA REGULATÓRIA

O fenómeno da recolha de dados tem-se tornado uma realidade cada vez mais frequente ao abrigo das novas tecnologias, sendo o seu tratamento, uma questão vital em diversas dimensões da sociedade. O tratamento de dados é legítimo e necessário – tanto

109 _{Remissão para o artigo 83.º, n.º 5º e 6.º RGPD.} 110 _{“Infrações menores” – Considerando 148 do RGPD.} 111 _{Considerando 73.}

112 _{Considerando 153.} 113 _{Considerando 156.} 114 _{Considerando 164.}

para as empresas, estados e para os cidadãos.115 Para as empresas, é necessário para verificar as necessidades do mercado, conhecer hábitos de consumo, tendências, necessidades e apresentar uma oferta indicada e eficiente. Relativamente ao Governo, numa dimensão macro, permite combater a criminalidade e prevenir doenças, pois mais dados traduzem-se em maior informação e, consequentemente, num tratamento mais eficaz dos dados históricos existentes. Os cidadãos acabam por sair também beneficiados colateralmente, com os impactos positivos impostos na sociedade.

ROBERT VAN DEN HOVEN VAN GENDEREN116, diz-nos que existem quatro tipos de razões morais e éticas para a proteção dos dados pessoais: (i) a prevenção do dano – o uso indevido de dados pessoais por terceiros pode prejudicar o titular dos dados; (ii) a desigualdade informacional – os dados pessoais são um ativo para a economia, para estudos do comportamento dos consumidores, sendo que os seus titulares não dispõem dos mesmos meios que os operadores económicos para verificar a forma como estes são tratados; (iii) a discriminação – o significado dos dados e do seu tratamento pode mudar consoante o contexto (e.g. cuidados de sáude vs propostas de marketing), podendo colocar o titular em situações discriminatórias; (iv) a autonomia – a falta de privacidade que enfrentam os titulares dos dados pode limitar as suas escolhas, levando a uma menor autonomia na capacidade de decisão.

A necessidade de reformular a legislação resultou de diversos fatores: “o aumento dos fluxos transfronteiriços e, em consequência, uma cada vez maior integração económica, fruto, sem dúvida, da criação do mercado único, mas também em resultado de um intercâmbio de dados que se verifica cada vez mais entre setores público e privado, de uma evolução tecnológica contínua (…)”117 _{Na medida em que, várias empresas}

estrangeiras dispõem de um papel chave no mercado europeu, com milhões de clientes na UE, seria necessário sujeitar essas mesmas organizações às regras de proteção de

115 _{SLOOT, Bart - Legal fundamentalism : is data protection really a fundamental right?. In LEENES, R.,} ed. [et al.] - Data protection and privacy : (in)visibilities and infrastructures. New York : Springer, 2017, p. 16.

116 _{VAN DEN HOVEN VAN GENDEREN, Robert - Privacy and data protection in the age of pervasive} technologies in AI and robotics. European Data Protection Law Review [Em linha]. Vol. 3, i. 3 (2017) p. 338 – 352.

117 _{SALDANHA, Nuno - Novo regulamento geral de proteção de dados : O que é? A quem se aplica?} Como implementar?. Lisboa : FCA, 2018, p. 15.

dados, alargando a proteção dos indivíduos e garantindo condições equitativas.118 Importa aqui referir que, o RGPD se relaciona intrinsecamente com o risco cibernético, que tem como maior impacto, conforme referido anteriormente, as violações de dados, questões essas que o regulamento pretende regular.

O RGPD alinhou-se principalmente com a inevitabilidade de preservar os dados pessoais e o seu valor, a sua recolha e gestão, sejam sistemas de gestão de capital humano, sistemas de gestão da cadeia de abastecimento e sistemas de gestão de relacionamento com clientes.119 Assim, a adoção deste enquadramento jurídico mais exigente, prende-se com a necessidade primária, do direito fundamental de proteger o titular dos dados, a todos os níveis, com o aumento da partilha de dados e a respetiva confiança das organizações e os seus clientes e fornecedores; com uma imposição de novas obrigações e novos direitos aos cidadãos, em contraponto com as obrigações impostas às entidades das empresas e outras organizações públicas e privadas.

Surgiu assim uma nova economia, de rápido crescimento: a economia dos dados, sem fronteiras digitais. Aqui, “os dados digitais são objeto de intercâmbio enquanto produtos ou serviços obtidos a partir de dados em bruto”120_{, extraindo valor económico}

intrínseco dos dados e criando aplicações para melhoria da vida em geral. O valor da economia dos dados foi estimado em 272 mil milhões de euros em 2015, representando 1,87% do PIB da UE, estimando-se um aumento para 643 mil milhões até 2020121.

Confrontam-se aqui dois interesses, segundo MARIA EDUARDA GONÇALVES122: o do indivíduo, que pretende ver as suas informações pessoais salvaguardadas; das entidades públicas/privadas, que pretendem eficiência das novas tecnologias, nas suas atividades, através da partilha e processamento de um maior número de dados.

118 _{EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS ; COUNCIL OF EUROPE -} Handbook on european data protection law [Em linha]. Luxembourg : Publications Office of the European

Union, 2018, p. 31.

119 _{Vide IDC PORTUGAL – IDC GDPR Fórum [Em linha]. Lisboa : IDC Portugal, 2018.}

120 _{SMART, 2013/0063, CID, 2016 apud UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao} Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões «Construir uma economia europeia dos dados» [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 2. 121 _{UNIÃO EUROPEIA. Comissão - Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao} Comité Económico e Social Europeu e ao Comité das Regiões «Construir uma economia europeia dos dados» [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 2.

122 _{GONÇALVES, Maria Eduarda - Direito da informação : novos direitos e formas de regulação na} sociedade de informação. Coimbra : Almedina, 2003, p. 82.

“The choice is not with the company – the choice is with the people. It is for the individual to judge. If the individual wants their data to be sold to third parties, searched by advertisers – if an individual agrees to this, that is up to the individual. But the choice is not with the company, the choice is with the people, that is European law.”123