Regulamento Geral de Proteção de Dados (RGPD) - O que precisa mesmo de saber
O Regulamento Geral sobre a Proteção de Dados (RGPD) é uma das maiores alterações de sempre relativamente à forma como passa a ser realizada a recolha e o tratamento de dados pessoais.
Aplica-se a empresas, mas também a qualquer pessoa singular, organização, autoridade pública, agência ou outro organismo que proceda ao tratamento de dados de pessoais e que esteja e/ou faça negócios com a EU. Já se encontra em vigor, as empresas têm até 25 de maio de 2018 para entrar em cumprimento. Estende-se a toda a União Europeia (UE) e prevalece sobre quaisquer leis nacionais.
Tem como grande objetivo reforçar o direito dos cidadãos, nomeadamente o de informação, de acesso, de portabilidade (transferir os seus dados entre entidades) e o de esquecimento dos dados.
Uma das grandes alterações é que este regulamento aposta na fiscalização, o que acarreta a aplicação de coimas, emitidas pela Comissão Nacional de Proteção de Dados (CNPD). O incumprimento é punido, no caso de violações de menor gravidade poderão atingir 10 milhões de euros ou 2% do volume de negócios podendo ascender a 4% da faturação anual global ou a 20 milhões de euros.
É impossível ficar indiferente, apesar de grande parte das empresas continuarem alheias. São várias as perguntas que já devia ter respondidas. A que tipo de empresas se vai aplicar esta nova legislação? Abrange também os dados relativos às próprias empresas? Não basta informar os consumidores que os seus dados vão ser recolhidos e processados? Que grau de detalhe sobre a informação deve ser passado aos indivíduos no momento da recolha? E podem ser tratados para outras finalidades? Qual a quantidade de dados que podem ser recolhidos e durante quanto tempo podem ser mantidos? Deixo algumas das respostas dadas pela Comissão Europeia .
O RGPD APLICA-SE A TODAS AS BASES DE DADOS
A sua base de dados “de anos” não está imune ao RGPD. Parte do esforça actual das empresas passa por correr a pente fino a informação contida nessas bases de dados. Em particular, se o consentimento dado pelos clientes aquando da recolha dos dados se enquadra e está em linha com as condições do novo regulamento.
Por exemplo, os formulários usados pela sua empresa têm umas caixinhas, que já vêm pré-preenchidas com o sinal de autorização, para permitir o tratamento dos dados dos clientes para determinada finalidade? Mesmo que essa informação estivesse escrita, fosse verdadeira e perceptível a qualquer consumidor, essa opção já vir assinalada faz com que, a partir de Maio, esse consentimento não seja válido, o que obriga a empresa a pedir novamente autorização ao proprietário dos dados caso queira continuar a usar essa informação.
O QUE ESTÁ A MUDAR NOS WEBSITES PARA QUE CUMPRAM O RGPD
COMO TORNAR A MINHA RECOLHA DE DADOS AO ABRIGO DO RGPD?
O regulamento obriga a mais detalhe na informação prestada aos clientes designadamente:
A base legal e com que finalidades recolhe e procede ao tratamento de dados, qual o prazo de conservação dos dados e onde estão armazenados os dados pessoais.
Passa a ser obrigatório que as informações sejam fornecidas de forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. Os termos e condições infindáveis perdem a validade legal.
Terá, ainda, que disponibilizar as vias e os processos por forma a assegurar os direitos atribuídos aos titulares dos dados com o novo regulamento. Pois, os dados pessoais passaram a poder ser alterados, transmitidos ou eliminados pelo titular de forma tão fácil e direta como foram fornecidos.
Conceitos base associados ao RGPD
O consentimento – O regulamento alarga o conceito de consentimento e define novas condições para a sua obtenção. O consentimento tem que ser livre, específico, informado, explícito e por ato inequívoco sendo que o processo de revogar o consentimento deverá ser tão simples quanto o de conceder. É de supor que muitos dos consentimentos existentes não cumpram com estes requisitos, o que obriga obter novo consentimento.
Definição de dados sensíveis – Todos os dados identificativos de um titular são considerados dados pessoais e sensíveis. O regulamento veio alargar o leque das categorias especiais de dados, integrando por exemplo os dados biométricos, que passaram a fazer parte do elenco de dados sensíveis. Deve analisar-se também o contexto e a escala destes tratamentos de dados para verificar se daí decorrem obrigações particulares, tais como a designação de um encarregado de proteção de dados.
Encarregado de proteção de dados – Além das situações previstas no regulamento em que a organização está obrigada a designar um encarregado de proteção de dados (como é o caso das entidades públicas e empresas com mais do que 250 funcionários), o responsável pelo tratamento e o sub-contratante podem sempre, mesmo não se encontrando no momento em nenhuma das circunstâncias exigíveis, decidir ter um encarregado de proteção de dados na sua organização.
Documentação e registo de atividades de tratamento – Todas as atividades relacionadas com o tratamento de dados pessoais devem ser documentadas de forma detalhada, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização consiga demonstrar o cumprimento das obrigações decorrentes do RGPD.
Notificação de violações de segurança – As empresas devem notificar a CNPD caso detetem a existência de violações dos dados recolhidos, comunicando também ao titular dos dados em causa todas as violações aplicáveis, no prazo de 72 horas para que esta possa tomar as medidas adequadas.
O QUE ESTÁ A MUDAR NOS WEBSITES PARA QUE CUMPRAM O RGPD ?