Como estar preparado para o Regulamento Geral de Proteção de Dados

A 25 de Maio de 2018 entrará em vigor o novo regulamento de proteção de dados das pessoas singulares. Este vai substituir a atual diretiva e lei de proteção de dados pessoais. O novo quadro legal trará mudanças significativas que terão impacto na vida das organizações no tipo de tratamentos de dados pessoais que realizem.

Mas o que é o Regulamento Geral sobre a Proteção de Dados (RGPD)?

O RGPS é o regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação de dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

Este é um regulamento que vem restringir as possibilidades que as novas tecnologias permitem às empresas privadas e às entidades públicas, na utilização de dados pessoais, numa escala sem precedentes no exercício da sua atividade. As pessoas singulares disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. Há questões de privacidade e segurança de informação que não podem ser negligenciadas.

Neste sentido, o Parlamento Europeu e o Conselho da União Europeia consideram que há necessidade de se implementar «um quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas».

No fim da linha, esta nova regulamentação irá permitir:

• Mais e melhores direitos sobre os dados por parte dos cidadãos
• Obrigratoriedade de uma maior fiscalização e de medidas de prevenção e segurança dos dados por partes das empresas

Quais são os novos direitos dos cidadãos?

O RGPD vem reforçar os direitos existentes, prevendo novos direitos e conferindo aos cidadãos um maior controlo sobre os seus dados pessoais:

• o acesso facilitado aos seus dados — que inclui a prestação de mais informações sobre a forma como os dados são tratados e a garantia de que essas informações são disponibilizadas de forma clara e compreensível;
• direito à portabilidade dos dados — que facilita a transmissão de dados pessoais entre os prestadores de serviços;
• clarificação do direito à eliminação dos dados — sempre que uma pessoa deixe de permitir o tratamento dos seus dados e não haja razões legítimas para a sua conservação, os dados deverão obrigatoriamente ser apagados;
• direito de esclarecimento sobre se os seus dados pessoais foram alvo de pirataria informática — as empresas e as organizações terão de informar prontamente as pessoas das violações graves em matéria de dados. Terão, além disso, de notificar a autoridade de controlo da proteção de dados competente (neste caso, a CNPD – Comissão Nacional de Proteção de Dados).

Que regras são aplicáveis às empresas?

O RGPD foi concebido primeiramente para proteger os cidadãos, bem como para criar oportunidades de negócio e estimular a inovação através de uma série de medidas, como:

• Standardização de regras à escala da UE — está estimado que esta lei única, sobre a proteção de dados, válida em toda a UE contribuirá para uma poupança na ordem dos 2,3 mil milhões de euros por ano. As novas regras irão suprimir a maioria das obrigações de notificação. Um dos objetivos é eliminar os obstáculos à livre circulação de dados pessoais na UE;
• Nomeação de um encarregado da proteção de dados pelas autoridades públicas e pelas empresas que procedam ao tratamento de dados em grande escala (Eis uma excelente oportunidade para as empresas que trabalham a área de Big Data!!!);
• As regras da UE são também aplicáveis às empresas não pertencentes à UE — as empresas estabelecidas fora da UE que queiram comercializar bens ou sevriços, ou que monitorizem e controlem o comportamento dos cidadãos em território da UE têm de aplicar estas mesmas regras;
• Avaliações de impacto — as empresas terão de realizar avaliações de impacto sempre que o tratamento de dados seja suscetível de resultar num risco elevado para os direitos e liberdades das pessoas. Isto significa um trabalho de entre-ajuda e de análise entre todos os departamentos das empresas que tenham acesso a este tipo de dados;
• Obrigatoriedade de conservação de um registo de atividades — as PME não são obrigadas a manter registos das atividades de tratamento de dados, a menos que tal tratamento seja efetuado regularmente ou seja suscetível de implicar um risco para os direitos e liberdades da pessoa cujos dados são tratados. Porém as restantes entidades terão de o fazer.

Como implementar uma política de proteção de dados segundo a nova norma na sua empresa?

Em primeiro lugar, há que identificar um responsável por esta área e certifique-se que os dados pessoais recolhidos pela sua organização são:

• Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
• Recolhidos para finalidades determinadas, explícitas e legítimas. Significa na prática, que terá de indicar claramente para que fins pretende usar os dados recolhidos;
• Exatos e atualizados sempre que necessário;
• Adequados, pertinentes e limitados ao que é necessário;
• Conservados de forma a que permitam a identificação dos titulares dos dados apenas durante o período necessário;
• Tratados de forma a que garantam a segurança, incluindo a proteção contra o tratamento não autorizado ou ilícito e contra a perda, destruição ou danificação acidental;
• Tratados apenas se o titular tiver dado o seu consentimento formal para uma ou mais finalidades específicas.

Para isto suceder, deve tomar medidas técnicas e organizacionis que assegurem e comprovem que o tratamento é realizado em conformidade com o regulamento, incluindo a aplicação de políticas adequadas em matéria de proteção de dados.

O cumprimento de códigos de conduta ou de procedimentos de certificação pode ser utilizado como elemento para demonstrar o cumprimento, que garanta:

• A pseudonimização (os campos de identificação contidos num registo de dados são substituídos por um ou mais identificadores artificiais) e cifragem (dados são codificados de forma a que apenas possam ser lidos por pessoas autorizadas);
• A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento de dados;
• A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
• Existência de um processo para testar, analisar e avaliar regularmente a eficácia das medidas técnicas e organizacionais que garantam a segurança do tratamento dos dados.

O que fazer em caso de violação dos dados pessoais?

Em caso de violação de dados pessoais, o responsável indigitado pelas organizações para o tratamento tem de notificar o titular e a autoridade de controlo competente, no caso português a CNPD, a menos que não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.

Esta notificação deve descrever a natureza da violação dos dados pessoais incluindo:

• As categorias e o número aproximado de titulares de dados afetados;
• O ponto de contacto onde obter mais informações sobre o evento;
• Consequências prováveis da violação de dados pessoais;
• Medidas adotadas ou propostas para solucionar a violação de dados pessoais, inclusive, as medidas para sanar os eventuais efeitos negativos.

Para mais informação, pode fazer o download do documento sobre o Regulamento Geral sobre a Proteção de Dados aqui.

Estamos disponíveis para o poder apoiar a avaliar e implementar as melhores práticas na sua organização, marque já uma reunião connosco.