O que é o Regulamento Geral de Proteção de Dados?

Em 2016 foi aprovado pela Comissão Europeia o Regulamento Geral de Proteção de Dados (RGPD). Este regulamento pretende harmonizar a legislação de proteção de dados pessoais em toda a Europa. Este regulamento, que se aplica desde 25 de maio de 2018, tem em vista proteger as cidadãos do tratamento de dados em larga escala bem como reforçar os seus direitos tornando as empresas mais responsáveis pelos dados que processam.

Alteração das regras… porquê?

Na prática é tudo uma questão de confiança. A falta de confiança nas antigas regras de proteção de dados estava a influenciar negativamente o comércio pela Internet. Segundo alguns estudos, apenas 15% das pessoas sentem que têm controlo absoluto sobre as informações que fornecem na Internet. Pretende-se que as novas regras aumentem a confiança dos consumidores e das empresas.

O que são dados pessoais?

Nome, morada, informação de saúde, o email, localização, o número de telefone e telemóvel, perfil cultural e político, matrícula do carro, a imagem, são alguns dos exemplos do que é considerado um dado pessoal. De referir que as regras definidas no RGPD aplicam-se a dados pessoais que podem estar em papel ou em formato digital.

Quem está obrigado?

Todas as empresas localizadas na União Europeia e empresas localizadas fora da UE caso ofereçam serviços ou produtos na UE. Ao fim ao cabo, aplica-se a todas as organizações que detenham dados pessoais de cidadãos da UE.

O RGPD também se aplica às autoridades públicas, agências ou outros organismos que procedam ao tratamento de dados de pessoais. Estão excluídas desta obrigatoriedade, por exemplo, as forças de segurança pública, uma vez que estão sujeitas a uma legislação específica.

Proteger dados e estar em cumprimento – o que fazer na empresa?

• Deve comunicar com os seus clientes utilizando uma linguagem simples porque precisa dos dados. Diga-lhes porque efetua o tratamento dos dados, durante quanto tempo serão conservados e quem os irá receber. O cliente deverá ser informado de todos os seus direitos e deve ter a possibilidade de exercer todos os seus direitos.

• Proteção de dados sensíveis – Tenha salvaguardas extraordinárias para informações sobre saúde, raça, orientação sexual, religião e convicções políticas.

• Marketing – Dê às pessoas o direito de optarem por não receber marketing direto que utilize os seus dados.

• Segurança dos Dados - Tentar que todos os dados e sistemas estejam seguros. Não há nenhuma fórmula ou regra específica, mas é necessário demonstrar que existe a preocupação e ação para que tal aconteça.

• Após ter conhecimento de uma violação de dados deve comunicar às autoridades reguladoras e aos respetivos titulares dos dados da ocorrência de incidentes de violação de dados, no prazo de 72h.

• Deve dar formação continua aos seus funcionários acerca das regras do RGPD e segurança;

• Revisão das Política e Procedimentos de Privacidade Internos com um perito;

• Garantir através de auditorias que os fornecedores de Serviços, Software estão conscientes do RGPD e que o cumprem;

• Deve ser capaz de provar com relatórios, documentos e ações à Autoridade de Proteção de Dados (CNPD) que a sua empresa cumpre todas as obrigações e que todas as medidas apropriadas foram tomadas para proteger efetivamente os dados coletados.

Responsável pelos dados… precisa?

Verifique se precisa de um responsável pela proteção de dados (DPO – Data Protection Officer ou EPD – Encarregado de Proteção de Dados). Em termos de perfil é exigido que este tenha conhecimentos especializados de proteção de dados. Pode ser um funcionário ou um prestador de serviços. Nem sempre é obrigatório pois tudo depende do tipo e da quantidade de dados que recolhe, se o tratamento de dados é a sua atividade principal e se o faz em grande escala.

O custo do incumprimento…

As empresas são as primeiras a ter um interesse relevante em cumprir com o RGPD. Se o não fizerem, correm os seguintes riscos:

1. Terem que pagar indemnizações às pessoas cujos direitos não foram respeitados ou cujos dados foram violados, como por exemplo quando um cliente pede para que os seus dados sejam apagados e a empresa continua a enviar emails de publicidade

2. Perderem os contratos que possuem com os seus clientes empresariais que lhe transferiram o tratamento dos dados pessoais, como por exemplo quando existe um funcionário que acede a informação que não tem autorização e divulga nas redes sociais;

3. Serem arguidas em processos contraordenacionais e serem lhes aplicadas coimas pela Comissão Nacional de Proteção de Dados até 2% ou 4% do seu volume de negócios anual;

4. Danos reputacionais irreversíveis que podem ser muito graves, se o caso de violação de dados for publicitado na comunicação social ou nas redes sociais, ficando sinalizada como uma empresa que não cumpre o regulamento de proteção de dados dos seus clientes.