Regulamento Geral de Proteção de Dados
Esclarecendo algumas dúvidas e obrigações
O Regulamento Geral de Proteção de Dados (RGPD) passa a ser aplicado nos estados membros da União Europeia a partir de 25 de maio de 2018.
Este regulamento é aplicado a todas as entidades que realizam operações que envolvam dados pessoais.
Dados pessoais são informações relativas a pessoas singulares, incluindo som e imagem, que possam diretamente ou indiretamente, identificar uma pessoa, como, por exemplo, dados de localização, e-mail, endereço ip, nomes, números de identificação (matrículas de automóveis, números de clientes, números de contactos, etc), quaisquer elementos de identificação fisiológica, física, genética, mental, sociocultural (fotografias, filmagens de sistemas de video-vigilância, impressões digitais, documentos identificativos, currículos, diplomas, certificados, fichas de empregados, etc).
Mesmos as fichas de clientes, cujos clientes são empresas, por vezes têm dados extras de pessoas de contacto, nomes das pessoas responsáveis, números de telefone, etc, são considerados dados pessoais.
Resumidamente, todas as empresas têm em sua posse dados de pessoas singulares.
Algumas questões frequentes:
P – Qual a data limite para implementação do RGPD?
R – O RGPD é legalmente aplicado a 25 de maio de 2018, e não existe um período posterior de adaptação a este regulamento. Ou seja, as empresas devem estar obrigatoriamente preparadas para a sua implementação até esta data.
P – A minha empresa deve sujeitar-se a audições ou inspeções?
R – Não é obrigatório as empresas sujeitarem-se a inspeções, mas as autoridades de supervisão têm o direito de realizar auditorias.
P – As pequenas empresas com apenas um funcionário são também afetadas?
R – Qualquer empresa ou empresário em nome individual que tenha de processar dados pessoais, e mesmo organizações não governamentais, coletividades ou associações devem moldar os seus procedimentos de acordo com o RGPD.
P – O que se entende por “processar dados pessoais”?
R – Processamento de dados pessoais são quaisquer operações realizadas com ou sem recurso a meios automatizados de recolha, consulta, registo de utilização, organização, comunicação, conservação, destruição, eliminação, adaptação ou alteração de dados.
P – O que acontece se não cumprir o regulamento geral de proteção de dados (RGPD)?
R – Caso não garanta a conformidade com o RGPD, está sujeito sob pena de sanções de até 20 milhões de euros ou 4% da faturação global da empresa.
P – Como podem as autoridades de supervisão tomarem a iniciativa de realizar uma auditoria à minha empresa?
R – Para além da seleção aleatória de auditorias a empresas por parte da CNPD, um outro exemplo é uma pessoa singular apresentar uma reclamação de não conformidade do RGPD à CNPD, visto que, com o regulamento geral de proteção de dados, além da sua empresa ter várias obrigações, as pessoas singulares obtêm vários direitos, tais como, direito ao esquecimento, direito de portabilidade, direito de acesso à informação, que têm de ser respondidos num determinado tempo legal caso requisitem, entre outros motivos, como por exemplo, o contacto indevido com uma pessoa singular que poderá questionar a obtenção e consentimento dos dados desta, originando uma auditoria pela CNPD no qual terá de provar o consentimento inequívoco dos dados das pessoas singulares que obtém.
Primeiros passos para o cumprimento do RGPD
INVENTARIAÇÃO
Inventariar os dados pessoais existentes, por exemplo: quais são, onde estão, são partilhados para outras empresas, qual a finalidade principal, por quanto tempo são guardados, quem tem acesso, de que forma obtém esses dados.
CONSENTIMENTO
Garantir o consentimento inequívoco dos titulares dos dados e a finalidade para que serão usados. Por exemplo, o titular que forneceu seu nome e e-mail numa newsletter teve de ser informado em linguagem clara, para que serão usados os dados, se serão partilhados os dados com mais alguma empresa, por quanto tempo serão guardados, se efetivamente deu autorização para recolher esses dados.
PROTEÇÃO DOS DADOS
Avaliação e tratamento do risco de segurança da informação na Organização. Realização de procedimentos e implementação de ações de segurança, por exemplo, a encriptação dos dados, implementação de segurança de perímetro (UTM), sistemas de segurança de acesso aos dados.
Algumas obrigações
Consentimento (artigo 7)
Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
Direito ao esquecimento (artigo 17)
O Regulamento consagra o Direito ao Apagamento dos Dados (“direito a ser esquecido”), significando isto que o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada.
A organização tem um prazo de um mês para apagar os dados pessoais de todos os suportes automatizados e não automatizados, sendo recomendável enviar a confirmação do cumprimento do pedido ao titular dos dados.
Portabilidade dos Dados (artigo 20)
O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, se o tratamento se basear no consentimento dado ou num contrato referido e se o tratamento for realizado por meios automatizados.
Notificação de violação de dados pessoais (artigo 33)
Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja susceptível de resultar num risco para os direitos e liberdades das pessoas singulares.
Responsabilidade do responsável pelo tratamento (artigo 24)
O responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento.
Designação do encarregado da proteção de dados (artigos 37 a 39)
O “encarregado da proteção de dados” será responsável por assegurar o cumprimento das regras do regulamento.
O regulamento foi publicado em 24 de Maio de 2016 e será aplicável a partir de 25 de Maio de 2018.
NOTA: Este artigo é um pequeno resumo da vasta informação existente no regulamento geral de proteção de dados, recomendamos a todos que obtenham mais informações sobre o RGPD!
GARANTA CONFORMIDADE COM O RGPD!
Prestamos serviços de consultoria, com competências multidisciplinares nas áreas da privacidade, cibersegurança, segurança da informação e legal.
A nossa equipa é constituída por profissionais da área jurídica e área informática aplicada.
Serviços: Revisão de Contratos, Dpo Externo, Auditorias e Mapeamentos, Avaliação de Risco e Avaliação de Conformidade.