Está preparado para o novo Regulamento Geral sobre a Protecção de Dados?
O prazo não é muito longo: as empresas europeias têm até 25 de Maio de 2018 para estar em conformidade com o novo Regulamento Geral da Protecção de Dados (RGPD). Quem não cumpre, arrisca-se a multas altas que vão até 4% do rendimento anual.
Antes de continuar a ler este texto responda:
– A sua empresa está sedeada na União Europeia?
– A sua empresa tem trabalhadores e recolhe os dados pessoais destes?
– A sua empresa tem uma base de dados?
– Esta base de dados tem dados pessoais? (telefone, morada, email, etc.) Esta base de dados tem contactos para ações de marketing?
Se respondeu que sim a alguma das perguntas anteriores, então vai querer ler o que preparámos para si. Já não tem muito tempo
Até Janeiro, com o apoio do escritório de advogados TELLES e da consultora CGI, vamos partilhar com os nossos leitores alguns conselhos úteis e informação. Começamos com o que precisa de saber sobre o novo RGPD.
RGPD: O que precisa de saber e o que precisa de fazer
Por Pedro Vidigal Monteiro, advogado of Counsel da TELLES
O que é?
O Regulamento Geral sobre a Proteção de Dados (“RGPD”) é o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27/04/2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. O RGPD revoga a Diretiva 95/46/CE (a Lei n.º 67/98, de 26 de outubro – Lei da Proteção de Dados Pessoais-, veio proceder à transposição, para o ordenamento jurídico português, dessa Diretiva), com efeitos a partir de 25 de maio de 2018.
A quem se aplica?
Com a finalidade de contribuir para um mercado único europeu de dados e harmonizar a legislação de todos os Estados Membros da União Europeia, o RGPD aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento (ou subcontratante) situado no território da União Europeia, independentemente de o tratamento desses dados ocorrer dentro ou fora da União.
Aplica-se ainda ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por um responsável pelo tratamento (ou subcontratante) não estabelecido na União quando, por exemplo, haja oferta de bens ou serviços a esses titulares de dados na União.
Quanto entra em vigor?
O RGPD já entrou em vigor, em maio de 2016, mas somente será aplicável a partir de 25 de maio de 2018.
Qual o impacto?
O incumprimento de disposições referentes aos princípios básicos do tratamento (como por exemplo o princípio da licitude, lealdade e transparência, o principio da limitação das finalidades, da minimização dos dados, da exatidão, da limitação da conservação e da integridade e confidencialidade) incluindo as condições do consentimento, ou dos direitos dos titulares dos dados (como por exemplo o direito à informação, o direito ao acesso aos dados, o direito à retificação, o direito ao esquecimento, o direito à portabilidade dos dados, o direito à limitação do tratamento, o direito à oposição), entre outras, poderá implicar o pagamento de coimas até 20.000.000€ ou 4% do volume de negócios anual a nível mundial, consoante o que for mais elevado.
O incumprimento de disposições referentes ao tratamento de dados pessoais de crianças, aos princípios de proteção de dados desde a conceção e por defeito, ao registos das atividades de tratamento, entre outras, poderá implicar o pagamento de coimas até 10.000.000€ ou 2% do volume de negócios anual a nível mundial, consoante o que for mais elevado.
Ao decidir sobre a aplicação de uma coima, e sobre o seu montante, a autoridade de controlo deve ter em conta a natureza, gravidade e duração da infração, o número de titulares de dados afetados e o nível de danos por eles sofridos, o caráter intencional ou negligente da infração, a iniciativa tomada para atenuar os danos sofridos, o grau de cooperação com a autoridade de controlo, entre outras.
Vamos passar à ação? 10 conselhos práticos:
1. Realize uma auditoria interna à sua organização para verificar que dados pessoais trata, com que finalidade, durante quanto tempo conserva esses dados e qual o fundamento legal para estar a proceder ao seu tratamento.
2. Estabeleça políticas e procedimentos que permitam reagir a qualquer falha de segurança e notificar as autoridades competentes nos prazos estabelecidos no RGPD.
3. Reveja impressos, formulários, politicas de privacidade. Verifique se a linguagem utilizada é clara, acessível e se são fornecidos aos titulares dos dados, toda a informação a que o RGPD obriga.
4. Prepare e estabeleça mecanismos de resposta ao exercício dos novos direitos pelos titulares dos dados: Direito ao Esquecimento; Direito à Portabilidade de Dados. Verifique se foi conferido aos titulares dos dados pessoais o direito à informação.
5. Analise os casos em que há obrigatoriedade de nomeação de um Encarregado de Proteção de Dados, e caso seja obrigatório prepare a designação e funções desse encarregado.
6. Avalie a necessidade de proceder ao registo de todas as atividades de tratamento de dados pessoais (em regra é obrigatório para empresas ou organizações com 250 trabalhadores ou mais).
7. Analise com que fundamento legal está a processar dados. Caso seja com base no consentimento, terá de rever o consentimento dado, para apurar se respeita todas as novas exigências, ou se será necessário obter novo consentimento.
8. Reveja os contratos de subcontratação de serviços realizados no âmbito de tratamento de dados pessoais, para verificar se cumprem com os requisitos exigidos pelo RGPD.
9. Verifique onde estão alojados os dados pessoais que trata e se há transferência de dados para fora da União Europeia (nesse caso terá que analisar a legitimidade dessa transferência).
10. Garanta que tem regras especificas para provar que todos os requisitos legais referentes ao tratamento de dados estão a ser cumpridos. Registe todas as ações que a sua organização tem tomado para cumprir com o novo regulamento.
Nota final:
O RGPD não é responsabilidade apenas do departamento de Sistemas de Informação, Jurídico, Marketing ou Recursos humanos. Envolva todos os departamentos da sua empresa.
Texto escrito ao abrigo do Novo Acordo Ortográfico da Língua Portuguesa de 1990, em vigor desde 2009.
Veja também estas notícias.