Alguns Cuidados a Ter com o RGPD
O RGPD (Regulamento Geral de Proteção de Dados) pretende harmonizar os regulamentos de proteção e livre circulação de dados pessoais na União Europeia e irá tornar-se efetivo em 25 de Maio de 2018.
Aplica-se a empresas que tenham um estabelecimento num qualquer país da União Europeia, mas também a associações e organismos públicos.
Empresas sediadas fora da União Europeia são também abrangidas por este Regulamento, desde que recolham ou processem dados pessoais de residentes na União Europeia.
Por último, são também abrangidas pelos RGPD as empresas subcontratadas que tratem dados de residentes na União Europeia.
Objectivo do RGPD
O objectivo do RGPD é dar aos cidadãos residentes na EU controlo sobre os seus dados pessoais, através de direitos que lhe permitem saber:
- que dados pessoais seus são guardados;
- para que fins;
- qual o seu ciclo de vida;
- onde e de que forma são guardados;
- como são apagados.
Os dados pessoais recolhidos pelas empresas deverão resultar do consentimento expresso (e não apenas tácito) dos seus titulares.
Para a esmagadora maioria das empresas, tal significa implementar processos de gestão da informação existente sobre cada indivíduo a fim de poder ser consultada, alterada ou mesmo mandada apagar pelos titulares dos mesmos.
Penalizações por Incumprimento do RGPD
As sanções mais directas, resultantes do incumprimento do RGPD, pelas empresas, são as multas até 4% das receitas ou 20 milhões de euros.
Para além disso, as empresas incumpridoras, especialmente nos casos de violação dos seus sistemas, podem ainda ser obrigadas a pagar os prejuízos causados aos titulares dos dados, acrescidos de juros, caso se verifiquem.
Nos casos de transferência de dados pessoais, entre empresas, caso não exista o cuidado de informar sobre a falta de acuidade da informação transmitida, quando ela exista, poderá a empresa cedente ser também responsabilizada pelos eventuais prejuízos.
Por último, existirão sempre custos reputacionais, nos casos em que uma empresa seja objecto de sanção por incumprimento do RGPD.
Para evitar sanções as organizações deverão ter que implementar processos de garantia de qualidade da informação e de segurança dos seus sistemas de informação.
Alguns Cuidados a Ter com o RGPD
Após análise às novas regras para o tratamento de dados pessoais, destacamos os seguintes cuidados a ter:
Quanto à Responsabilidade das Organizações
A organização está obrigada a demonstrar que cumpre todas as obrigações do RGPD.
Quanto à Legalidade do Processamento
A organização deve processar dados pessoais apenas quando uma das seguintes condições se verificar:
- tiver o consentimento do titular dos dados;
- existir imposição legal, cabendo ao Encarregado da Proteção de Dados essa avaliação.
Quanto às Condições de Consentimento
Quando existir consentimento do titular dos dados pessoais, o Encarregado da Proteção dos Dados deve poder demonstrá-lo.
O consentimento deverá ter sido dado de forma clara, directa e sem ambiguidades, o que significa, em nosso entender, que deverá estar separado de outros consentimentos.
O titular da informação deve ser informado antes de dar o seu consentimento e deve poder cancelar a autorização a qualquer momento.
Na prática, deverá ser tão fácil ao titular autorizar um processamento de dados pessoais, como cancelar a sua autorização.
Quanto às Condições Especiais Aplicáveis ao Consentimento da Criança
Pode-se processar dados de crianças com idade superior a 16 anos.
Crianças com idades inferiores devem ter o consentimento dos pais ou da pessoa por eles responsável legalmente.
Em todo o caso, está interdita o processamento de dados de crianças com menos de 13 anos.
O controlo de idades deverá ser garantido pelo Encarregado da Proteção de Dados.
Quanto ao Processamento de Categorias Especiais de Dados Pessoais
Está proibido o processamento de dados pessoais sobre raça, orientação religiosa, opiniões políticas, crenças filosóficas ou o processamento de dados biométricos.
Existem algumas poucas excepções que passam essencialmente pela protecção do titular dos dados.
Quanto ao Processamento de Dados Pessoais Relativos a Condenações e Infracções Penais
O processamento destes dados pessoais apenas será possível sobre controlo de autoridades oficiais.
Tal aplica-se a clientes actuais ou potenciais, mas também aos recursos humanos da organização.
Quanto a Processamentos que não Requerem Identificação
Podem ser processados dados pessoais quando não é possível identificar o seu titular, mas tal deverá poder ser demonstrado pelo Encarregado da Proteção de Dados.
Quanto ao Encarregado da Protecção de Dados
Estão obrigadas a ter um Encarregado da Proteção de Dados as organizações com mais de 250 empregados e que processem mais de 5000 registos com dados pessoais.
Encarregado da Proteção de Dados é responsável por tudo o que tenha a ver com a segurança dos dados pessoais e será interlocutor com a entidade nacional de proteção de dados (em Portugal a Comissão Nacional de Protecção de Dados).
Conclusão
O RGPD só entrará em vigor em 25 de Maio de 2018, mas quem queira estar em conformidade desde o primeiro dia, deverá iniciar o processo de estudo do seu impacto.
Dessa análise resultarão medidas de natureza legal (ex: adaptações à política de privacidade), organizacional (ex: nomeação de um Encarregado da Protecção de Dados) e tecnológica (ex: adaptação dos processos de aquisição de contactos), que poderão ser difíceis de implementar em curto espaço de tempo.
Se entender que este é o momento adequado e necessitar de apoio ao processo de análise de impacto do RGPD na sua organização, contacte-nos, sem custos, nem compromissos, clicando no banner abaixo.