A entrada em vigor do Regulamento Geral de Protecção de Dados (RGPD) está à porta.

Veja como preparar a sua empresa para ficar em conformidade com a nova Lei.
O Regulamento Geral de Protecção de Dados (RGPD), que vai entrar em vigor em
2018, substituindo a actual Lei de Protecção de Dados Pessoais, acarreta mudanças
significativas com reflexos na vida das empresas, independentemente da sua área de
negócio ou dimensão.
Um dos aspectos-chave do RGPD é que coloca o "peso" da responsabilidade sobre a
protecção dos dados pessoais, que até agora era competência da Comissão Nacional de
Protecção de Dados (CNPD), nas próprias empresas e nas organizações públicas e
privadas. Assim, estas terão impreterivelmente que tomar medidas para ficar em
conformidade com a Lei, sob pena de pesadas multas.
Fique por dentro de tudo o que precisa de saber sobre o RGPD para não ser apanhado
desprevenido, quando a Lei entrar em vigor.

Porque surgiu o RGPD

O RGPD surge no âmbito da globalização e das evoluções tecnológicas verificadas nos
tempos mais recentes, com o intuito de garantir aos cidadãos maior segurança, em termos
dos seus dados pessoais. Assim, de uma forma genérica, determina uma vigilância mais
apertada quanto à origem, armazenamento, tratamento e acesso a dados pessoais como
informações sobre cartões de crédito e sobre saúde, entre outras.
O objectivo é também harmonizar as normas e procedimentos relativamente à informação
preservada pelas empresas em todos os Estados-membro da União Europeia (UE).
Todavia, o RGPD vai ter implicações em todo o mundo, afectando não só as empresas da
 UE, mas também as que, fora da UE, prestem serviços ou vendam bens a cidadãos
residentes no espaço comunitário europeu.

Quando entra em vigor o RGPD

O RGPD entra em vigor a 25 de Maio de 2018. Antes disso, até 6 de Maio, os Estados-
membro da UE devem adoptar e publicar as normas legislativas e administrativas
exigidas para cumprir a directiva 2016/680 do Parlamento Europeu e do Conselho
Europeu de 27 de Abril de 2016, quanto à Protecção de Dados Pessoais.

Âmbito de aplicação do RGPD

O novo Regulamento abrange o tratamento de dados pessoais de cidadãos,
independentemente de onde morem ou da sua nacionalidade, que estejam preservados em
ficheiros e que sejam tratados, de forma manual ou automática, no âmbito da actividade
de uma empresa, das tarefas de um responsável dessa empresa ou de um sub-contratado
("Data Processor") pela mesma, seja esse tratamento feito dentro ou fora da UE.

Sanções por incumprimento

As empresas que não cumpram o RGPD arriscam-se a ser severamente multadas pelas
autoridades de supervisão. As sanções podem chegar aos 20 milhões de euros para
grandes empresas.
Além disso, as empresas arriscam-se a ser responsabilizadas e penalizadas por eventuais
danos causados pela indevida aplicação do RGPD. Podem ser condenadas a indemnizar
os cidadãos afectados, seja por danos materiais ou imateriais.

O que fazer para a conformidade com o RGPD

Eis algumas das medidas que as empresas devem começar já a tomar para se irem
adaptando ao RGPD...

 Sistema de registo de dados

Proceder à identificação de todos os dados que são recolhidos, da sua origem, determinar
para que servem e com quem são partilhados. Fazer o "mapa" desses dados, agrupando-os
por categorias, nomeadamente quanto aos riscos de protecção e conservação. Este
processo permite também fazer o levantamento do que deve ser feito, para adaptação ao
RGPD, bem como comprovar que todas as normas da nova Lei serão cumpridas.
O RGPD determina que todos as acções de tratamento dos dados sejam registadas, de
forma detalhada, nos seguintes casos: empresas que tenham mais de 250 trabalhadores; se
 esse tratamento implicar riscos para os titulares dos dados; se não for um tratamento
ocasional; se os dados forem sobre condenações ou infracções. Esses registos devem
incluir toda a informação sobre o processo, desde os nomes do responsável pelo
tratamento e do encarregado de protecção de dados, até à finalidade desse tratamento,
passando pelas categorias de dados e pelos seus destinatários.

 Consentimento dos titulares dos dados

É preciso rever a política de privacidade de modo a confirmar que os procedimentos estão

em conformidade com o RGPD, nomeadamente para perceber se o consentimento dos
titulares dos dados pessoais continuará válido. É importante que esse consentimento seja
feito de forma clara, por via oral ou escrita, com conhecimento informado do titular dos
dados, de modo a poder confirmar-se, de forma inequívoca, que esse consentimento foi
dado. Pode ser necessário obter, junto do titular dos dados, novo consentimento de modo
a estar em conformidade com o RGPD.

 Novos direitos dos titulares dos dados

O RGPD obriga as empresas a garantirem aos titulares dos dados que armazenam e
tratam o "direito de portabilidade", que visa facilitar a transmissão de dados pessoais
entre prestadores de serviços, e que pode implicar a implementação de medidas para
permitir o download directo desses dados.
O acesso facilitado aos dados é outras das medidas previstas - os titulares dos dados
podem pedir às empresas uma cópia das informações que estas dispõem sobre eles. E, da
mesma forma, podem solicitar o "apagamento" dos seus dados pessoais, no que se chama
o "direito ao esquecimento". Neste caso, há excepções que estão relacionadas com
obrigações legais e/ou o interesse e a saúde públicos.
Os cidadãos também têm o direito de saber se os seus dados pessoais foram violados,
nomeadamente por acções de pirataria informática. Nesses casos, as empresas são
obrigadas a reportarem aos titulares situações de violação grave dos seus dados pessoais.
Ao mesmo tempo, têm que informar a CNPD sobre esses incidentes.

 Formação e Consciencialização dos Recursos Humanos

As empresas devem levar a cabo formações internas no sentido de consciencializar e de

preparar os funcionários para as implicações e normas do RGPD. A organização
empresarial pode também ter que estar apta para enquadrar na sua estrutura um
Encarregado de Protecção de Dados (EPD) - a definição desta função, que visa centralizar
todas as questões relacionadas com o RGPD, é obrigatória para entidades públicas
(excepto tribunais); para actividades onde haja um controle sistemático e frequente dos
titulares dos dados e em larga escala, como são os casos das empresas de
telecomunicações e os bancos; para casos de tratamento de dados especiais, como
genéticos, biométricos e de saúde, ou ainda de condenações penais e infracções.
 "Privacy by Design"

As empresas devem adoptar medidas internas, técnicas e organizacionais, que definam,

de forma transparente e criteriosa, todo o processo de tratamento dos dados pessoais
"desde a concepção", isto é, desde o início do registo. É a chamada "Privacy by
Design" que permite acompanhar com detalhe todos os procedimentos efectuados, para
garantir que não há falhas na conformidade com o RGPD.

 "Data Minimization"

Importa que as organizações assegurem, por via de procedimentos técnicos claros, que,
"por defeito", só sejam registados e tratados os dados pessoais estritamente necessários
para cada fim estipulado - é o princípio da "Privacy by Default" ou da "Data
Minimization". A medida abrange a quantidade dos dados, a forma do seu tratamento, o
prazo de conservação e o acesso a esses mesmos dados.

 Revisão e actualização das normas de segurança

Para dar cumprimento aos critérios do RGPD, é imperioso que as empresas revejam as
suas medidas de segurança no tratamento de dados. Entre os requisitos técnicos previstos
estão a pseudonimização (substituir campos de identificação por identificadores
artificiais) e a cifragem (ou codificação) dos dados pessoais; a garantia da
confidencialidade, integridade, disponibilidade e resiliência permanentes das
infraestruturas tecnológicas e dos serviços de tratamento; o restabelecimento atempado
dos dados em caso de incidentes físicos ou técnicos; a realização de Avaliações de
Impacto de Protecção de Dados (DPIAs), nos casos de dados de "alto risco". Nem todas
as empresas estão obrigadas a cumprir estes requisitos todos, e podem até adoptar outros
critérios, mas caso não assumam qualquer medida, arriscam-se a ser gravemente
sancionadas perante uma situação de violação de dados devido a razões de segurança.

 Transferências transfronteiriças de dados

O RGPD também se aplica às empresas que não integram a UE, sempre que estejam em
causa dados pessoais alusivos a cidadãos que residem no espaço comunitário europeu.
Assim, as actuais regras para as transferências internacionais de dados são reforçadas com
o RGPD. Às actuais "cláusulas contratuais-tipo" e ao consentimento do titular, que se
mantêm, acrescem as chamadas "regras vinculativas" que implicam tanto os responsáveis
pelo tratamento dos dados, como os sub-contratantes. O "Escudo de Protecção da
Privacidade" de dados UE-EUA é outra das novas soluções imposta pelo RGPD.