Autoridade de Proteção de Dados

Autoridade de Proteção de Dados

A Autoridade Austríaca de Proteção de Dados (DSB) é a principal instância de supervisão para a proteção de dados pessoais na Áustria. Controla o cumprimento do Regulamento Geral de Proteção de Dados (RGPD) e da Lei Austríaca de Proteção de Dados (DSG), decide sobre reclamações, inicia processos de inspeção, impõe sanções e representa a Áustria no Comité Europeu para a Proteção de Dados. A sua tarefa é garantir os direitos fundamentais, evitar abusos e obrigar as empresas e autoridades a cumprir as obrigações legais de proteção de dados.

A Autoridade de Proteção de Dados é a autoridade de supervisão estatal para a proteção de dados pessoais na Áustria.

Tarefas e responsabilidades

A Autoridade de Proteção de Dados assume um vasto leque de atividades, todas elas destinadas a proteger os dados pessoais:

• Processamento de reclamações de pessoas em causa
• Realização de processos de inspeção oficiais
• Decisão em processos de sanção administrativa e imposição de multas
• Receção e controlo de notificações de violações de dados (Data Breaches)
• Processo de aprovação, por exemplo, para códigos de conduta ou organismos de certificação
• Pareceres em projetos de lei

Assim, é o principal ponto de contacto para os afetados, empresas e responsáveis pela proteção de dados.

Definição de proteção de dados

A proteção de dados é o direito fundamental de determinar quem processa que informações sobre uma pessoa. Os dados pessoais são todas as informações que se referem a uma determinada pessoa ou que tornam uma pessoa identificável, como nome, endereço, número de telefone, endereço de e-mail, mas também fotografias, endereços IP ou dados de saúde.

Proteção de dados não significa que nenhum dado pode ser processado. Significa que o processamento só é permitido sob pressupostos legais claros e que as pessoas em causa têm direitos abrangentes. Estes direitos protegem contra o abuso e dão a possibilidade de exercer controlo sobre os seus próprios dados.

Direitos das pessoas em causa

Qualquer pessoa pode exigir que a Autoridade de Proteção de Dados respeite os seus direitos fundamentais. O RGPD prevê um conjunto claro de direitos para o efeito:

• Direito à informação: Antes de qualquer processamento de dados, os afetados devem ser informados de forma clara e completa.
• Direito de acesso: Qualquer pessoa em causa pode saber que dados estão armazenados e para que finalidade.
• Direito à retificação e eliminação: Os dados incorretos devem ser retificados, os dados inadmissíveis devem ser eliminados.
• Direito à limitação do tratamento: Sob determinadas condições, o tratamento só pode ser continuado de forma limitada.
• Direito de oposição: Pode ser apresentada oposição a determinados tratamentos de dados em qualquer altura.
• Direito à portabilidade dos dados: Os afetados podem exigir que os seus dados sejam transferidos num formato comum para eles próprios ou para outra empresa.
• Direito à proteção contra decisões automatizadas: Ninguém deve ser prejudicado exclusivamente com base em processos automatizados.

Estes direitos não são apenas de natureza teórica, mas podem ser aplicados – se necessário, no processo de reclamação perante a Autoridade de Proteção de Dados.

Obrigações das empresas

As empresas e as autoridades são obrigadas a implementar a proteção de dados não só no papel, mas também na prática. As obrigações essenciais incluem:

• Base legal do tratamento: Qualquer tratamento de dados deve basear-se numa base legal, como um consentimento ou um contrato.
• Obrigações de transparência: Os afetados devem ser claramente informados sobre o que acontece com os seus dados.
• Medidas técnicas e organizacionais (TOMs): A segurança informática e os processos organizacionais devem ser concebidos de forma a que os dados estejam protegidos contra perda, abuso ou acesso não autorizado.
• Registos das atividades de tratamento: As empresas devem documentar de forma compreensível que dados processam.
• Notificação de violações de dados: Os incidentes de segurança devem ser notificados à Autoridade de Proteção de Dados no prazo de 72 horas.
• Realização de avaliações de impacto sobre a proteção de dados: No caso de tratamentos de alto risco, deve ser realizada uma análise detalhada.

Processo perante a Autoridade de Proteção de Dados

O processo perante a Autoridade de Proteção de Dados é formalizado e pode ter diferentes formas:

Processo de reclamação

As pessoas em causa podem apresentar uma reclamação à Autoridade de Proteção de Dados se considerarem que alguém está a processar os seus dados pessoais ilegalmente. Este processo é comparativamente acessível.

O procedimento:

1. A pessoa em causa apresenta uma reclamação por escrito – por formulário, e-mail ou correio.
2. A Autoridade de Proteção de Dados verifica se a reclamação é formalmente admissível.
3. O requerido – geralmente uma empresa ou uma autoridade – é convidado a pronunciar-se.
4. Segue-se a averiguação dos factos, possivelmente com questões ou audições complementares.
5. No final, há uma decisão da Autoridade de Proteção de Dados, com a qual rejeita a reclamação ou a aceita e ordena medidas corretivas.

Para os afetados, este processo é a forma mais importante de fazer valer os seus direitos ao abrigo do RGPD.

Inspeções oficiais

A Autoridade de Proteção de Dados não depende apenas de reclamações, mas também pode atuar por iniciativa própria. Isto acontece, em particular, quando existem indícios de violações sistemáticas ou lacunas de segurança.

Particularidades:

• O processo começa sem um pedido de uma pessoa em causa.
• As pessoas que denunciam não têm estatuto de parte e não são informadas sobre o resultado.
• A Autoridade de Proteção de Dados verifica de forma independente se existem violações e, se necessário, ordena medidas.

As inspeções oficiais têm um forte efeito preventivo, uma vez que aumentam a pressão sobre as empresas e as autoridades para garantir a proteção de dados não só de forma reativa, mas também contínua.

Processo de sanção administrativa

Se a Autoridade de Proteção de Dados detetar uma violação, pode iniciar um processo de sanção administrativa. O objetivo é obrigar as empresas e os organismos públicos a corrigir as violações e a impor sanções notórias.

As possíveis sanções são:

• Multas até 20 milhões de euros ou 4% do volume de negócios anual mundial,
• Ordens para interromper ou adaptar o tratamento de dados,
• Advertências e condições.

O montante de uma multa depende da gravidade, duração e intencionalidade da violação. Também os anteriores incumprimentos ou o comportamento cooperativo no processo desempenham um papel.

Peter Harlander
Harlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“

Recursos

As decisões da Autoridade de Proteção de Dados são tomadas por decisão. Contra estas decisões, os afetados podem recorrer ao Tribunal Administrativo Federal (BVwG).

• O BVwG verifica a decisão em termos legais e factuais.
• Contra a sua decisão, pode ser possível uma revisão no Tribunal Administrativo (VwGH) ou uma reclamação no Tribunal Constitucional (VfGH).

Isto garante que as decisões da Autoridade de Proteção de Dados estão sujeitas a um controlo judicial em várias fases.

Dimensão internacional

A proteção de dados deixou de ser um tema nacional. A Autoridade de Proteção de Dados coopera com outras autoridades de supervisão europeias e faz parte do Comité Europeu para a Proteção de Dados (EDSA). Participa em casos transfronteiriços, coordena decisões no âmbito do processo de coerência e pronuncia-se sobre transferências internacionais de dados, por exemplo, para os EUA.

Liberdade de informação

Para além da proteção de dados, a liberdade de informação também está a ganhar importância. Com a nova Lei da Liberdade de Informação (IFG), a Autoridade de Proteção de Dados assumirá no futuro o papel de ponto de contacto para questões de transparência e para o acesso a informações oficiais.

Estas obrigações não são opcionais. O seu incumprimento leva regularmente a investigações e, no limite, a multas elevadas.

As suas vantagens com apoio jurídico

Um processo perante a Autoridade de Proteção de Dados está associado a desafios consideráveis tanto para as pessoas em causa como para as empresas. Os afetados correm o risco de não fazer valer plenamente os seus direitos sem acompanhamento profissional. As empresas, por sua vez, enfrentam não só multas elevadas, mas também danos de imagem e adaptações dispendiosas dos seus processos. Acresce que os processos são fortemente formalizados e contêm requisitos legais complexos, que são difíceis de gerir sem apoio especializado.

O acompanhamento jurídico por um escritório de advogados especializado dá segurança e garante que os seus interesses são representados profissionalmente desde o início. Beneficia de uma experiência sólida em direito da proteção de dados e de uma representação consistente perante a autoridade.

• verifica se o tema jurídico em questão é aplicável no seu caso
• acompanha-o ao longo de todo o processo ou da liquidação
• garante uma conceção e implementação juridicamente seguras de todas as etapas necessárias
• apoia no cálculo, aplicação ou defesa de reivindicações
• salvaguarda os seus direitos e interesses perante todos os envolvidos

Sebastian Riedlmair
Harlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“

Perguntas frequentes – FAQ