A não nomeação do delegado de protecção de dados faz com que a organização/empresa fique sujeita a uma sanção até 2% do volume global do negócio ou 10 milhões de euros. Os valores das multas podem contudo chegar a 4% do volume global do negócio ou 20 milhões de euros, por exemplo em casos de infracção grave na transferência internacional de dados pessoais.

Daqui para a frente, os organismos e boa parte das empresas vão ser obrigados a ter um encarregado de protecção de dados. Servirá como elo de ligação entre os titulares dos dados e a CNPD. Compete-lhe monitorizar a protecção de dados dentro da sua empresa/organização, atribuir responsabilidades nas actividades de tratamento de dados e fazer auditorias. O nome e contacto do delegado de protecção de dados terá de ser comunicado à CNPD até 25 de Maio de 2018.

Se uma entidade verificar que se verificou uma falha na protecção de dados pessoais por si tratados, tem a obrigação de a reportar imediatamente à CNPD. Terá também, em casos mais graves, de a comunicar aos próprios titulares afectados. Uma exposição mediática que pode ser muito negativa para as entidades, que se por seu turno não cumprirem esta obrigação de reporte arriscam penalizações.

As entidades vão ter de rever cuidadosamente os contratos de subcontratação que tenham com terceiros para o efeito do tratamento de dados. O RGPD vem impor a introdução de um grande conjunto de informações nos contratos, que agora terão de ser actualizados. Além disso, compete ao subcontratante verificar se são cumpridas as regras em matéria de confidencialidade e segurança e se detém as autorizações respectivas dos responsáveis pelo tratamento, exigidas expressamente pelo novo regulamento e se as não tiver, terá de as obter até Maio de 2018.

Como explica a CNPD, no geral as regras a cumprir pelas empresas e pelos organismos públicos, não são muito diferentes das que já existem hoje em dia. As entidades têm é de se assegurar de que as cumprem, evitando surpresas caso sejam fiscalizadas. Assim, o primeiro passo será fazerem um levantamento dos dados pessoais que tratam e com que finalidade. Depois, têm de ter um registo interno desses dados e, a partir daí, é preciso analisar se esse levantamento está em conformidade com o que decorre do RGPD. E terão também de rever os procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, atendendo a novas exigências específicas.

Terão uma protecção específica por estarem menos conscientes dos riscos que correm. Assim, terão desde logo um direito mais explicito ao esquecimento. Por outro lado, em relação à oferta de serviços on-line, em que tenham de fornecer os seus dados, terá de haver uma autorização dos pais ou tutores até aos 13 anos, segundo definiu o governo português. 

Com as novas regras, os indivíduos terão mais informação sobre a forma como são processados os seus dados pessoais, sendo que essa informação deve estar disponível e de forma clara. O regulamento obriga a prestar mais informações do que actualmente, tais como a base legal para o tratamento de dados, o prazo de conservação dos mesmos ou informações mais detalhadas sobre as transferências internacionais. Por outro lado, o direito à portabilidade dos dados facilitará a transferência de dados pessoais entre serviços.

É toda a informação relativa a uma pessoa singular, esteja claramente identificada ou seja identificável a partir dos ditos dados. Isso inclui os dados genéticos e os dados biométricos. A lista é longa: nome, números de identificação, moradas, aspecto físico, informações económicas, culturais, ou sociais, entre outros. E o conceito de tratamento de dados inclui, não só a recolha dos mesmos, mas a sua posterior utilização das mais diversas formas possíveis.

Com esta nova legislação, as pessoas em geral ganham um maior controlo sobre os seus dados pessoais, cuja protecção é, de resto, considerada como um direito fundamental na UE. A ideia é, portanto, fortalecer a protecção de dados pessoais e, por outro lado, aumentar a confiança. Consagra-se o direito ao esquecimento, que significa que se um cidadão não pretender que os seus dados sejam mantidos e continuem a ser processados, estes terão de ser apagados. A ideia é proteger a privacidade das pessoas e não apagar o passado ou restringir a liberdade de imprensa.