Novas Regras para o Tratamento de Dados Pessoais
Em maio de 2018 entrará em vigor o regulamento (EU) 2016/679, relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Trata-se, no fundo, de novas regras para o tratamento de dados pessoais em que o principal objectivo será dar às pessoas singulares a possibilidade de poder controlar a utilização que é feita dos seus dados.
As alterações introduzidas têm impacto nas aplicações que guardam e tratam dados sobre clientes particulares, especialmente naquelas que suportam as funções de marketing, como é o caso das soluções CRM e de inbound marketing.
A transformação digital das empresas não poderá deixar de incluir uma verificação de conformidade das organizações com o futuro do tratamento de dados pessoais, pelo que juntamos alguns aspectos a considerar.
Implicações para Empresas
Dados sobre Empresas não Estão Abrangidos
Apenas as pessoas singulares são abrangidas pelo novo regulamento. Tal significa que os dados guardados sobre Empresas, por não serem pessoais, não estão abrangidos pelo regulamento.
Tal não significa que uma empresa que actue no mercado B2B não será afectada, uma vez que pode estar a guardar e tratar dados pessoais por qualquer razão, devendo esta avaliação ser realizada.
As Associações Podem Elaborar Códigos de Conduta
As associações empresariais são incentivadas a elaborar códigos de conduta, com vista à aplicação efectiva do Regulamento nas micro, pequenas e médias empresas.
Os códigos de conduta poderão regular as obrigações dos responsáveis pelo tratamento dos dados e deverão resultar da consulta às partes interessadas, incluindo os titulares dos dados.
Poderá Ter que Existir um Responsável pelos Dados Pessoais
Apenas grandes empresas deverão ser impactadas, uma vez que o Regulamento refere tratamentos de grande escala, o que não acontece normalmente em micro, pequenas e médias empresas.
Este profissional deverá actuar com independência e deverá acompanhar todos os processos de tratamento de dados pessoais.
Existirão Pesadas Coimas
As empresas que não estiverem conformes estarão sujeitas a pesadas coimas caso violem as regras do tratamento de dados pessoais.
Os valores referidos no regulamento poderão chegar aos 4% do volume de negócios da empresa.
Os Titulares dos Dados Têm Direitos
Os titulares dos dados pessoais poderão reclamar o direito a serem esquecidos o que significa requerer que os seus dados sejam apagados.
Para além disso têm direito a consultar e rectificar os dados existentes sobre a sua pessoa.
Consentimento dos Titulares dos Dados
O Regulamento reforça a obrigatoriedade de consentimento para a recolha e guarda de dados pessoais, deixando de ser válido o consentimento tácito.
Segundo o Regulamento “O consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais”.
Tal significa que deverá existir consentimento explícito e informado.
Falha de Segurança na Guarda de Dados Pessoais
As violações de segurança resultantes de ciberataques, ou outras falhas, deverão ser reportadas à Autoridade Nacional de Proteção de Dados, no prazo máximo de 72 horas e no caso da privacidade dos titulares dos dados ser afectada, deverão estes também ser notificados.
Como a Empresa se pode preparar?
A melhor forma das empresas se prepararem para o novo regulamento será através da realização de auditoria interna, tarefa facilitada se possui um Responsável pela Gestão da Informação.
Para as restantes empresas, poderão ser seguidas as seguintes pistas:
1. Que dados pessoais são recolhidos pela empresa?
Se não existir responsável interno pela gestão da informação, deverá ser solicitado apoio aos fornecedores das aplicações informáticas existentes.
2. Onde estão guardados esses dados pessoais?
Os dados pessoais podem estar guardados em ficheiros informáticos, mas também em ficheiros físicos.
3. Como são obtidos?
Verificar se os titulares dos dados pessoais deram autorização explícita para o tratamento dos seus dados pessoais.
4. Quem tem acesso aos dados?
Deve ser evitado o acesso a dados pessoais por pessoas não autorizadas, para garantir segurança e confidencialidade.
5. O histórico é mantido por quanto tempo?
Identificar o tempo de manutenção em histórico dos dados pessoais e conjugar esse período com o direito ao esquecimento que passa a assistir aos titulares dos dados pessoais.
6. Condições Gerais
As empresas deverão revisitar as suas condições gerais de utilização de produtos e serviços e a sua política de privacidade, para verificação de alguma inconsistência com o novo Regulamento.
Conclusão
Apesar das empresas com processos de tratamento de dados pessoais em curso terem um prazo de dois anos para procederem às alterações, será importante começar a colocar este assunto, desde já, em agenda.
Uma ideia será aproveitar um qualquer programa de transformação digital para incluir a auditoria ao tratamento de dados pessoais, o que poderá ser uma forma de adaptação sem pressões e com custos mais reduzidos.
Outra, será avançar para a adopção do inbound marketing, metodologia de marketing não intrusiva, que resolve os problemas de dados não solicitados.
Se desejar saber mais sobre inbound marketing, descarregue o eBook grátis clicando no banner abaixo.