Escolar Documentos
Profissional Documentos
Cultura Documentos
Veja como preparar a sua empresa para ficar em conformidade com a nova Lei.
O Regulamento Geral de Protecção de Dados (RGPD), que vai entrar em vigor em
2018, substituindo a actual Lei de Protecção de Dados Pessoais, acarreta mudanças
significativas com reflexos na vida das empresas, independentemente da sua área de
negócio ou dimensão.
Um dos aspectos-chave do RGPD é que coloca o "peso" da responsabilidade sobre a
protecção dos dados pessoais, que até agora era competência da Comissão Nacional de
Protecção de Dados (CNPD), nas próprias empresas e nas organizações públicas e
privadas. Assim, estas terão impreterivelmente que tomar medidas para ficar em
conformidade com a Lei, sob pena de pesadas multas.
Fique por dentro de tudo o que precisa de saber sobre o RGPD para não ser apanhado
desprevenido, quando a Lei entrar em vigor.
Proceder à identificação de todos os dados que são recolhidos, da sua origem, determinar
para que servem e com quem são partilhados. Fazer o "mapa" desses dados, agrupando-os
por categorias, nomeadamente quanto aos riscos de protecção e conservação. Este
processo permite também fazer o levantamento do que deve ser feito, para adaptação ao
RGPD, bem como comprovar que todas as normas da nova Lei serão cumpridas.
O RGPD determina que todos as acções de tratamento dos dados sejam registadas, de
forma detalhada, nos seguintes casos: empresas que tenham mais de 250 trabalhadores; se
esse tratamento implicar riscos para os titulares dos dados; se não for um tratamento
ocasional; se os dados forem sobre condenações ou infracções. Esses registos devem
incluir toda a informação sobre o processo, desde os nomes do responsável pelo
tratamento e do encarregado de protecção de dados, até à finalidade desse tratamento,
passando pelas categorias de dados e pelos seus destinatários.
O RGPD obriga as empresas a garantirem aos titulares dos dados que armazenam e
tratam o "direito de portabilidade", que visa facilitar a transmissão de dados pessoais
entre prestadores de serviços, e que pode implicar a implementação de medidas para
permitir o download directo desses dados.
O acesso facilitado aos dados é outras das medidas previstas - os titulares dos dados
podem pedir às empresas uma cópia das informações que estas dispõem sobre eles. E, da
mesma forma, podem solicitar o "apagamento" dos seus dados pessoais, no que se chama
o "direito ao esquecimento". Neste caso, há excepções que estão relacionadas com
obrigações legais e/ou o interesse e a saúde públicos.
Os cidadãos também têm o direito de saber se os seus dados pessoais foram violados,
nomeadamente por acções de pirataria informática. Nesses casos, as empresas são
obrigadas a reportarem aos titulares situações de violação grave dos seus dados pessoais.
Ao mesmo tempo, têm que informar a CNPD sobre esses incidentes.
"Data Minimization"
Importa que as organizações assegurem, por via de procedimentos técnicos claros, que,
"por defeito", só sejam registados e tratados os dados pessoais estritamente necessários
para cada fim estipulado - é o princípio da "Privacy by Default" ou da "Data
Minimization". A medida abrange a quantidade dos dados, a forma do seu tratamento, o
prazo de conservação e o acesso a esses mesmos dados.
Para dar cumprimento aos critérios do RGPD, é imperioso que as empresas revejam as
suas medidas de segurança no tratamento de dados. Entre os requisitos técnicos previstos
estão a pseudonimização (substituir campos de identificação por identificadores
artificiais) e a cifragem (ou codificação) dos dados pessoais; a garantia da
confidencialidade, integridade, disponibilidade e resiliência permanentes das
infraestruturas tecnológicas e dos serviços de tratamento; o restabelecimento atempado
dos dados em caso de incidentes físicos ou técnicos; a realização de Avaliações de
Impacto de Protecção de Dados (DPIAs), nos casos de dados de "alto risco". Nem todas
as empresas estão obrigadas a cumprir estes requisitos todos, e podem até adoptar outros
critérios, mas caso não assumam qualquer medida, arriscam-se a ser gravemente
sancionadas perante uma situação de violação de dados devido a razões de segurança.
O RGPD também se aplica às empresas que não integram a UE, sempre que estejam em
causa dados pessoais alusivos a cidadãos que residem no espaço comunitário europeu.
Assim, as actuais regras para as transferências internacionais de dados são reforçadas com
o RGPD. Às actuais "cláusulas contratuais-tipo" e ao consentimento do titular, que se
mantêm, acrescem as chamadas "regras vinculativas" que implicam tanto os responsáveis
pelo tratamento dos dados, como os sub-contratantes. O "Escudo de Protecção da
Privacidade" de dados UE-EUA é outra das novas soluções imposta pelo RGPD.