Logo Harpo Consulting | Click aqui para voltar à página inicial
   
HOME EMPRESA SERVIÇOS CONTACTOS
 
 
Racional para o RGPD
A proteção de dados diz respeito a todos nós!

Vivemos numa economia digital, utilizamos as redes sociais diariamente, temos a nossa presença online 24/7 com a utilização dos smartphones, tablets, cartões de débito/crédito, shopping cards etc, transmitimos constantemente informação digital.

O RGPD é o Regulamento da UE 2016/679 do Parlamento Europeu e do Conselho de 27/04/2016, relativo à proteção de dados pessoais e à livre circulação desses dados. Vem revogar a diretiva 95/46/CE.

O RGPD introduz novos conceitos e aumenta a abrangência e detalhe de outros, sendo os mais relevantes os temas que apresentamos seguidamente:

1) Consentimento - Qualquer tratamento de dados pessoais, mesmo obtidos antes da entrada em vigor do regulamento, terá de cumprir com o regulamento. Um dos pilares é a necessidade de consentimento do titular de dados, para uma finalidade claramente definida. O consentimento tem que ser livre, específico, informado, explícito e por ato inequívoco. Retirar consentimento deverá ser tão simples quanto conceder. É natural que muitos consentimentos já existentes não cumpram com todos os requisitos do RGPD, o que obriga obter novo consentimento.

2) Exercício dos direitos dos titulares dos dados - O RGPD enumera um conjunto de direitos dos titulares de dados, alguns dos quais requerem alterações significativas à forma de trabalhar o tema, a salientar:
  • Direito de ser esquecido: o titular de dados tem direito a solicitar que os dados sejam apagados;
  • Direito de portabilidade: o titular de dados pode solicitar que os dados que disponibilizou a um prestador de serviços sejam transferidos para outro prestador, desde que tecnicamente possível;
  • Direito de não sujeição a nenhuma decisão tomada apenas com base no tratamento automatizado.
3) Segurança dos dados - Com este regulamento, a segurança dos dados terá que ser reforçada. A Segurança passa pela capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento, o que na prática significa a obrigatoriedade de implementação de um sistema de gestão de segurança da informação. É determinante localizar dados pessoais e eliminar os não conformes, quer nos diversos sistemas quer em papel, quer nas Organizações quer nos subcontratados para tratamento. Poderão existir custos significativos de adaptação dos sistemas às novas regras e a técnicas de proteção recomendadas. É introduzido o conceito Privacy by Design and by Default, a proteção de dados desde a conceção e por omissão, o que requer a inclusão desta temática nos processos de desenvolvimento do tratamento de dados.

4) Encarregado de proteção de dados (DPO – Data protection officer) - Autoridades ou organismos públicos, entidades que controlem regularmente dados pessoais em grande escala e/ou que tratem dados sensíveis em grande escala devem nomear um Hoje o sucesso das empresas é tanto maior quanto melhor conhecerem os seus clientes na intimidade! Essa informação tem formato digital e muitas vezes é partilhada entre parceiros. Se por um lado é importante garantir a livre circulação de dados, permitindo que as relações entre as organizações dos Estados-Membros se processem num ambiente que favoreça o livre comércio, por outro, é importante harmonizar as leis que regem o tratamento dos mesmos, tendo em conta que as organizações, na tentativa de conhecerem melhor os hábitos e características dos clientes e utilizadores dos seus serviços, muitas vezes ultrapassam os limites admissíveis e colocam em causa direitos fundamentais, como seja o direito à privacidade. O novo regulamento pretende dar resposta da melhor forma a todos estes temas, fomentado as relações comerciais e protegendo, ao mesmo tempo, a privacidade dos cidadãos da União Europeia.

A proteção de dados pessoais é um direito de todos os cidadãos e uma obrigação legal das empresas e de todas as organizações públicas e privadas que recolhem, tratam e partilham essa informação. O uso e manipulação indevida da informação pode potenciar situações de fraude, inclusivé usurpação de identidade, provocando danos irreversíveis nas empresas e nos cidadãos.

Uma grande parte das empresas ainda não estão preparadas para o novo regulamento e este prevê pesadas multas para quem violar as disposições da lei, que podem atingir 20.000.000€ ou 4% do volume de negócios anual da empresa. Haverá mão pesada para quem não cumpra a lei! DPO, um Encarregado da Proteção de Dados. Mesmo nas entidades em que não seja obrigatório a existência de um DPO, a entidade deverá designar um responsável pelo tratamento e proteção dos dados pessoais.

5) Notificação de violações de segurança - Deve adotar procedimentos internos e ao nível da subcontratação, se for o caso, para lidar com casos de violações de dados pessoais, designadamente na deteção, identificação e vestigação das circunstâncias, medidas mitigadoras, circuitos da informação entre responsável e subcontratante, envolvimento do encarregado de proteção de dados e notificação à CNPD.

Nem todas as violações devem ser reportadas à autoridade de controlo, apenas aquelas que sejam suscetíveis de resultar num risco para os direitos dos titulares, tendo estas um prazo de 72 horas. Todavia, todas as violações devem ser devidamente documentadas conforme preceituado no regulamento. Também nalguns casos, em que possa resultar um elevado risco para os titulares, é exigido que estes sejam notificados, pelo que deve ser analisado desde logo o tipo de tratamentos de dados realizados e o potencial risco que pode ocorrer em caso de uma violação de segurança.

6) Contratos de subcontratação - É muito comum que os dados pessoais sejam, total ou parcialmente, tratados por terceiros subcontratados. Os subcontratados passam a ter responsabilidades, o que implica, entre outros, que hajam contratos que definam regras entre as partes. Os contratos existentes, muito provavelmente, terão que ser alterados. Ao subcontratado cabe provar que cumpre com todas as regras do contrato e do próprio RGPD, nomeadamente em matérias de confidencialidade e segurança. Compete também ao subcontratado verificar se detém as autorizações respetivas dos responsáveis pelo tratamento, exigidas expressamente pelo novo regulamento, caso contrário, deve obtê-las até maio de 2018.

7) Dados sensíveis - Deve ser avaliada a natureza dos tratamentos de dados efetuados, a fim de apurar quais os que se podem enquadrar no conceito de dados sensíveis, e consequentemente se aplicarem condições específicas para o seu tratamento, relativas à licitude do tratamento, aos direitos ou às decisões automatizadas. O regulamento veio estender o leque das categorias especiais de dados, integrando por exemplo os dados biométricos, que passaram a fazer parte do elenco de dados sensíveis. Devem ser analisados também o contexto e a escala destes tratamentos de dados para verificar se daí decorrem obrigações particulares, tais como a designação de um encarregado de proteção de dados.

8) Prova e Evidência de Cumprimento (Accountability) - As organizações têm de conseguir provar que cumprem com o regulamento, nomeadamente:
  • Que os dados pessoais que possuem são legítimos e estão limitados ao que é necessário;
  • Que os dados estão atualizados, seguros e confidenciais;
  • Que têm políticas, procedimentos, códigos de conduta e instruções internas, formalizadas e capazes de serem disponibilizadas às entidades de supervisão;
  • Que possuem sistemas para monitorizar se as políticas e procedimentos estão a ser seguidas. É assim necessário ter regras mas também acautelar registos probatórios do cumprimento do RGPD. Para tal, devem ser documentadas de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD.
O RGPD está em vigor em todos os Estados-Membros da UE desde Maio de 2016 e será obrigatório a partir do dia 25 de Maio de 2018. Como regulamento que é, não carece de transposição para a legislação nacional dos Estados- Membros, sendo diretamente aplicável em todos eles.
Voltar