Abordagem ao Regulamento Geral Proteção de Dados

Abordagem ao Regulamento Geral Proteção de Dados

O Regulamento Geral de Proteção de Dados (RGPD) é considerado como a maior alteração a lei de proteção de dados e que vai afetar grandemente a vida das empresas não só a nível do espaço da União Europeia (EU) assim como os países do resto do mundo. Aparece tendo em vista a uniformização da proteção de dados a nível da EU.

O que é o RGPD?

O Regulamento Geral de Proteção de Dados (RGPD) substitui a atual lei da proteção de dados. Constituído por uma lista de responsabilidades mínimas para as empresas relativas aos dados pessoais que recolhem, processam e armazenam.

Entrou em vigor em 2016 e passa a ser aplicado a partir de 25/05/2018 e não há período de carência. A partir dessa data a organização tem que estar conformes com a Lei.

Os dados devem ser recolhidos de uma forma legal, justa e de forma transparente.

A quem se destina?

Qualquer empresa, pessoa ou entidade que exerça atividade económica, independente da sua dimensão, que recolha e trate informação de indivíduos residentes na UE.

Todos os fornecedores de serviços que envolvam a recolha, o processamento ou armazenamento de dados também tem que estar em conformidade e são igualmente responsáveis pela proteção de dados e garantia da sua segurança, quer façam parte ou não da UE desde que tratem de dados de indivíduos residentes na UE.

Os funcionários das organizações são também responsáveis pela proteção de dados e não devem de forma alguma revelar ou fornecer dados a outrem. Os funcionários devem ser formados devidamente para estarem a par e poder zelar cumprir a proteção de dados conforme o RGPD.

O que são considerados dados pessoais?

O conceito de dados pessoais agora passa a ser mais alargado alem de dados identificação pessoal, de contato e informação médica. Podem ser dados da localização, endereços IP, identidade cultural ou social, dados biométricos que possam identificar a pessoa.

Devem ser solicitados os dados estritamente necessários e adequados para a função em causa. Devem ser precisos e mantidos de forma atualizada, devendo ser alterados sem demora se não forem corretos. As instituições devem ser capazes de justificar a razão da recolha de determinados dados pessoais.

Todos os sistemas devem obedecer as leis da privacidade desde a sua concepcao - privacy by design (privacidade desenhada).
Os dados devem ser armazenados com a segurança adequada a sua sensibilidade - risk based approach (abordagem baseada em risco).

Quais as consequências da não conformidade?

Alem de não poder exercer atividade de forma legal na EU, ganhar ma reputação, pode ficar sujeito a multas avultadas que podem ser 4% do volume anual de faturação ou 20 milhões de euros (o que for mais elevado).

Quais são os direitos dos indivíduos?

Consentimento: O consentimento para recolha (tratamento e armazenamento) de dados ou para fins de marketing deve ser feito de através de uma opção clara acionada pelo individuo. Não se pode considerar "consentimento" o facto de existirem caixas de opção pré-preenchidas ou seja, não se pode considerar consentimento se o utilizador não "disse nada" ou por omissão.

Se o individuo deu permissão para um fim não, quer dizer que concorde com a utilização dos seus dados para outros fins. Se a qualquer momento as condições mudarem terá que se solicitar ao individuo novo consentimento.

Os menores de idade deverão ter consentimento expresso dos seus encarregados de educação.

Não devem existir renovações automáticas em que o individuo tenha que fazer o opt-out (escolher rescindir). De uma forma geral o individuo deve consentir a continuidade ou renovação do contrato (nota: embora possam existir exceções para algumas atividades económicas).

Uso dos direitos: Os indivíduos devem ser informados dos seus direitos e as organizações devem ser capazes de responder quando estes fazem uso desse direito. Incluindo o direito de se queixarem as autoridades.

Retirar consentimento: Os utilizadores devem saber como podem retirar o seu consentimento ou oporem-se a certo tipo de processamento de dados.

Longevidade dos dados: Deve-se informar os indivíduos sobre o período de tempo que os dados são armazenados. O período de armazenamento não pode ser vitalício.

Direito de transferência: ou portabilidade, o direito de pedido para mover, copiar ou transferir dados pessoais. Os dados devem ser fornecidos de forma legível e estruturada para que possa ser lido por outros sistemas de tratamento de dados.

Direito de ser esquecido: Os indivíduos têm o direito de solicitar que sejam esquecidos ou sejam que os seus dados pessoais sejam removidos e não possam voltar a ser utilizados.

Reportar qualquer violação é obrigatório

Em caso de brecha ou violação de dados a organização deve reportar as autoridades supervisoras num prazo máximo de 72 horas. No caso de as quebras de segurança constituírem um elevado risco para os indivíduos estes devem ser informados do sucedido.

Se a organização processar ou armazenar dados para outra organização deve informar a outra imediatamente acerca da quebra de segurança.

Avaliações do impacto sobre a Proteção de Dados (PIA)

As organizações devem realizar avaliações de impacto na privacidade. As avaliações de impacto de privacidade (PIAs) são uma ferramenta que você pode usar para identificar e reduzir os riscos de privacidade de seus projetos. Uma PIA pode reduzir os riscos de danos aos indivíduos através do uso indevido de suas informações pessoais. Também pode ajudá-lo a projetar processos mais eficientes e eficazes para a gestão de dados pessoais.

Encarregado pelo tratamento de Proteção de dados (DPO)

Nomeação de um DPO (data protection officer) para as entidades cuja atividade principal envolva o controlo regular e sistemático dos titulares de dados em larga escala ou o tratamento de dados em larga escala. Nomeadamente os Hospitais, bancos, companhias de seguros, empresas de marketing comportamental, empresas de geo-localização, etc.

Exceptuando os casos em que a lei obriga à existência de um DPO, a decisão fica ao critério de cada empresa. Independentemente da obrigatoriedade, recomenda-se que exista pelo menos alguém que centralize essas matérias.

O que o AssociaPro está a fazer em relação ao RGPD

No AssociaPro estão a ser adotadas as novas politicas de tratamento e proteção de dados e a integração de algumas ferramentas que facilitem as instituições o exercício dos direitos dos indivíduos. Estes mecanismos estarão disponíveis dentro do prazo legal.

Informação legal

O presente artigo não deve ser considerado como um conselho legal nem a como interpretação a letra da Lei. Este artigo foi redigido apenas para consciencializar para a existência do RGPD e para que as instituições se preparem, procurando o apoio necessário para a adoção de medidas para estarem em conformidade.

Este artigo poderá ser editado para ser mantido atualizado, remover imprecisões e adicionar ligações para a legislação oficial e outros artigos de conteúdo mais aprofundado.




publicado em 12 março 2018

por AssociaPRO



Voltar