Como estar em conformidade com o RGPD?

Para estar em conformidade com o RGPD terá de assegurar que a sua empresa cumpre alguns aspectos essenciais. Consoante a dimensão a sua organização terá, obrigatoriamente, de ter um DPO.

O regulamento geral de protecção de dados (RGPD) é de uma “elevada complexidade técnica” (são 88 páginas), assinala o advogado José Varanda, que trabalha na área de protecção de dados e cibersegurança na sociedade Areias Advogados.

O documento contém um conjunto de normas inovadoras, entre as quais se destaca a maior responsabilidade para agentes económicos. Mas a generalidade dos conceitos fundamentais (dado pessoal, tratamento, subcontratante…) e dos princípios em vigor, mantêm-se.

O jurista chama a atenção para 10 pontos fundamentais a que as empresas devem estar atentas para que estejam em conformidade a 25 de Maio de 2018:

– Sensibilização

As empresas devem ter conhecimento da existência do novo regulamento e tirar partido do prazo disponível (24 meses à data da publicação do diploma) para a adopção de medidas internas que permitam a adaptação às novas regras.

– Informação recolhida

As empresas devem fazer uma auditoria interna para determinar que tipo de informação é recolhida, onde está guardada, com quem é partilhada, quem acede a essa informação?

– Revisão das políticas de privacidade

As empresas devem ajustar as políticas de privacidade, em particular nas plataformas Web. As políticas devem ser revistas no que diz respeito à forma como se obtêm os dados, e o consentimento tem de estar documentado. O utilizador tem de ser saber, para além da finalidade, a base legal na qual assenta a recolha daquela informação.

– Direitos dos titulares dos dados

Actualmente, muitos dos direitos já existem: direito ao acesso, a corrigir dados inexactos, a ter um ponto de contacto com a empresa para poder rectificar, corrigir ou exigir o direito ao esquecimento, direito de oposição, no caso de definição de perfis e decisões individuais automatizadas. José Varanda assinala que o “direito ao apagamento” está previsto, mas pode ser complexo. “Não posso pedir para apagar os dados, quando esses dados são necessários para fins fiscais durante o tempo previsto por lei”, exemplifica o jurista. Finalmente, existem também o direito à portabilidade dos dados, sobre o qual paira uma pequena excepção “pode ser exercício pelo titular dos dados, excepto em casos em que tecnicamente não é possível”, salienta.

– Consentimento do titular

O consentimento para a recolha de dados terá de ser explícito pelo titular dos dados pessoais de “uma forma livre, inequívoca e tem de estar registado, podendo inclusivamente ser realizado mediante declaração escrita”, assinala. “Não basta o consentimento tácito”, tem de ser um “consentimento informado”, sublinha.

As empresas devem por isso rever os métodos como obtém o consentimento dos titulares dos dados pessoais e guardar o registo desse mesmo consentimento. “Se tiver os dados para facturação não os poderei utilizar para telemarketing, a menos que o titular dê novamente o seu consentimento para o novo objectivo, o qual tem de estar registado e documentando”.

– Identificação da base legal

As empresas devem efectuar uma avaliação interna dos dados pessoais que recolhem e tratam e identificar a base legal que sustenta a recolha e tratamento desses dados. Essa identificação da base legal deverá ser comunicada ao titular dos dados no momento da recolha, devendo estar documentando internamente pela empresa.

– Violações de dados pessoais

As empresas passam a ter de possuir uma política interna de conformidade. “Vão ter de existir processos internos para, em prazos curtos (72 horas no máximo) comunicar à autoridade de controlo de que se teve conhecimento de uma violação de dados pessoais”, assinala o advogado. Uma fuga de informação não gera incumprimento, mas se, depois de detectada, não for comunicada, a empresa passa a estar em incumprimento, alerta.

– Data Protection Officers (DPO)

O documento prevê uma nova figura: os encarregados de protecção de dados das empresas serão obrigatórios para algumas empresas. Será a figura responsável dentro da empresa pelo cumprimento das obrigações enunciadas no regulamento. Existente um critério previsto “quando a actividade principal das empresas consista ou implique operações de tratamento que, devido à sua natureza, âmbito ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala”.

“Privacy by design” e “privacy by default”

Os meios de tratamento de dados pessoais devem ser concebidos para garantir o cumprimento das obrigações em matéria de protecção de dados pessoais e devem, por defeito, assegurar que apenas são processados dados necessários. A “privacy by design” implica uma estratégia de gestão de dados na qual a organização cifra, “pseudonimiza” ou minimiza a quantidade de elementos de informação armazenados. Alguns só devem estar acessíveis a quem tem determinadas funções.

– Infracções

O que mudou drasticamente neste regulamento são as coimas relacionadas com as infracções. As coimas podem chegar a 20 milhões de euros ou até 4% do volume de negócios anual calculado a nível mundial.

O novo regulamento (UE 2016/679, de 27 de Abril) será aplicado a partir de 25 de Maio de 2018.

José Varanda detalhou estes aspectos fundamentais do RGPD, durante uma sessão de esclarecimento promovida pela myPartner.

Artigos relacionados

O seu comentário...

*

Top