O Regulamento Geral da Proteção de Dados (RGPD), que entra em vigor a partir do dia 25 de Maio, regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Este regulamento introduz não só novas regras, como também elevadas coimas em caso de incumprimento, o que exige uma atenção cuidada das Organizações que lidam com dados pessoais.
O grande desafio passa por garantir o controlo sobre a privacidade dos dados nesta nossa sociedade de informação, onde a crescente adoção da internet, das redes sociais e de modelos de negócio digitais criam uma dualidade. Por um lado, as pessoas sentem-se atraídas e partilham dados da sua vida pessoal; por outro, as organizações capturam cada vez mais informação sobre os seus clientes, geralmente com o objetivo de fornecer mais e melhores serviços, ou como forma de monetizar a informação.
O RGPD representa uma mudança essencial na forma como a UE encara o tratamento e acesso aos dados pessoais, numa nova abordagem que mantém o foco na autorresponsabilidade das Organizações. Na UE acredita-se que as empresas exploram dados pessoais de um modo excessivo e principalmente para seu próprio benefício, com défice de transparência sobre o modo e a finalidade do tratamento.
A nova regulamentação reveste-se de alguma complexidade, representando um desafio para todas as empresas e organizações, públicas e privadas, que terão que implementar ferramentas de controlo e procedimentos específicos para a gestão e proteção dos dados dos seus clientes.
Neste artigo técnico, propomos-lhe conhecer as principais especificidades trazidas pela moldura regulamentar do RGPD.
Âmbito de aplicação
O RGPD regula o tratamento de dados pessoais, quer por meios total ou parcialmente automatizados, quer por meios não automatizados.
Exceções:
• não sujeitos a Direito da UE;
• pessoas singulares no exercício de atividades pessoais ou domésticas;
• autoridades, para efeitos de prevenção, investigação, deteção e repressão de infrações ou para execução de sanções.
É aplicável nos estabelecimentos da EU, ou mesmo em estabelecimentos fora da EU que: a) ofereçam bens ou serviços no espaço europeu, quer sejam cidadãos europeus ou cidadãos de países terceiros; b) controlem o comportamento de cidadãos no espaço europeu.
Conceitos-chave a saber:
• Dados pessoais
“uma informação relativa a um titular de dados pessoais” “quaisquer informações relativas a uma pessoa individual identificada ou identificável através das mesmas”
• Dados sensíveis
“convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, dados relativos à saúde e à vida sexual, dados genéticos”
• Tratamento de dados
“operação ou um conjunto de operações efetuadas sobre dados pessoais”, designadamente, “a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a extração, a consulta, a utilização, a divulgação através de transmissão, a difusão ou qualquer outra forma de disponibilização, a comparação ou combinação, a restrição, o apagamento ou a destruição”
• Responsável pelo tratamento
– pessoa singular ou coletiva
– individualmente ou em conjunto com outras
– determina as finalidades e os meios de tratamento de dados pessoais
• Subcontratado
– pessoa singular ou coletiva
– trata os dados pessoais por conta do responsável pelo tratamento
• Violação de dados
– de modo acidental ou ilícito
– provoque destruição, perda, alteração, divulgação, acesso não autorizado
Direitos dos titulares (Novos)
• Transparência e linguagem acessível (mais informações, mais comunicações, mais exercício dos direitos)
• Direito à informação
• Direito de acesso
• Direito de corrigir, apagar (esquecimento) e limitar
• Direito de oposição
• Direito a não ser alvo de decisões automatizadas
• Direito à portabilidade
• Comunicação de violação de dados pessoais ao titular
Obrigações do responsável pelo tratamento
• Licitude do tratamento:
– Consentimento: passa a ser um consentimento livre, específico, informado e explícito (opt-in), ao contrário das atuais opções pré-validadas ou silêncio (opt-out)
– Contrato
• Medidas técnicas e organizativas adequadas para assegurar e comprovar o tratamento em conformidade com RGPD
• Privacy by design:
– medidas técnicas e organizativas adequadas, como a pseudonimização e a anonimização
– garantias necessárias ao cumprimento do RGPD (licitude do tratamento, políticas, procedimentos, códigos de conduta)
• Privacy by default: medidas técnicas e organizativas, como a minimização e o controlo de acessos
• Notificação de violação à Autoridade de Controlo, em 72h
• Garantias adequadas do subcontratado
• Empresa com mais de 250 trabalhadores: obrigatório registo de atividades de tratamento
• Privacy Impact Assessment: obrigatório se existir profiling, dados sensíveis, tratamento em grande escala. É necessária consulta prévia pelo CNPD
• Transferências internacionais
DPO – Encarregado de Proteção de Dados
A existência de um DPO é obrigatória nas seguintes organizações:
• Autoridade ou Organismo Público (exceto Tribunais e OPCs)
• Que exerçam tratamento de dados em grande escala
• Com tratamento em grande escala de dados sensíveis e/ou relacionados com infrações ou condenações
Funções do DPO:
• Informação/Sensibilização
• Controlo de conformidade com o RGPD
• Aconselhamento e controlo de realização de PIA´s – Privacy Impact Assessment
• Cooperação e ponto de contacto com a Autoridade de Controlo
Coimas e Autoridade de Controlo
• Mais independência da Autoridade
– Responsabilidade pela fiscalização da aplicação do RGPD
– Atividade preventiva para o responsável pelo tratamento e/ou subcontratado
• Harmonização
– Pedidos de autorização nos diversos EM com decisões diferentes
– Demora na obtenção de resposta
– Harmonização de regras, nomeadamente, relativas a transferências internacionais
• Mais cooperação internacional entre Autoridades dos EM e a Comissão Europeia
• Poder de investigação | Poder de correcção | Poder conclusivo e de autorização
– Realização de auditorias
– Advertências, repreensões e ordenar satisfação de pedidos de exercício de direitos dos titulares
– Emitir pareceres; autorizar tratamento; aprovar códigos de conduta
Aplicação de sanções
O limite máximo para a aplicação de coimas foi definido pelo RGPD, cabendo a cada estado-membro a definição de um teto mínimo. Em Portugal, a moldura ainda não foi definida, pelo que neste momento a aplicação de qualquer multa é ilegal e inconstitucional.
Limites máximos na aplicação de coimas:
• Menor gravidade: 10 milhões de euros, ou 2% do volume negócios anual (dos dois, o valor mais elevado)
• Maior gravidade: 20 milhões de euros, ou 4% do volume negócios anual (dos dois, o valor mais elevado)
Para além da aplicação das sanções por parte da autoridade competente, uma das principais questões que previsivelmente levantará problemas às organizações é o direito de indemnização do titular por danos materiais e/ou morais.
Cumprir o RGPD, passo a passo
1. Fase de Diagnóstico
Ler o regulamento. Identificar os dados que existem na empresa e o tratamento que é feito. Que tipos de dados existem? Para que finalidade? E qual o prazo de conservação? Perceber quais os fluxos de dados existentes. Há fornecedores com acesso aos mesmos?
2. Fase de Revisão
Rever se há consentimento dos titulares para uso e tratamento dos dados que já existem. Verificar os documentos de consentimento. Rever políticas de privacidade e termos de utilização, assim como contratos com fornecedores e outras entidades subcontratantes. Colocar toda a documentação em cumprimento com o RGPD.
3. Fase do DPO
Perceber se a empresa cumpre os requisitos para ter de nomear um Encarregado de Proteção de Dados (DPO). Nomear um DPO caso seja necessário e envolvê-lo no processo de preparação.
4. Fase de Implementação
Identificar as medidas a adotar. Avaliar se é preciso substituir sistemas informáticos. Adquirir os sistemas necessários. Desenhar um plano de implementação. Executar as novas medidas e avaliar se tudo ficou em conformidade.
5. Fase de compliance
Formação aos funcionários. Garantir a contínua conformidade com o RGPD. Business as usual a partir de 25 de maio.
Outras notícias
Marque uma reunião presencial.
Telefone-nos hoje para(+351) 226001265
Responderemos rapidamente.