RGPD para distraídos: 7 dicas para não ser apanhado de surpresa

Há dois anos que o tema do Regulamento Geral de Protecção de Dados (RGPD) sobressalta as empresas portuguesas: cursos, conferências, muitos artigos, muitas dúvidas. Num período de tanto ruído, partilhamos sete dicas fundamentais para que não seja apanhado de surpresa.

Por Pedro Abreu, responsável Protecção de Dados, na CGI Southern Europe

Comecemos por recordas que «consideram se dados pessoais quaisquer informações relativas a uma pessoa individual identificada ou identificável através das mesmas (designadamente, “por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social”)».

Convém dizer ainda que Portugal já tem legislação sobre protecção de dados desde o século passado e que o RGPD é uma nova lei que vem substituir a anterior, com alterações significativas, alargando os direitos, obrigações e responsabilidades dos intervenientes.

1. Consciencialize a gestão da empresa
Deve ter a certeza de que as pessoas chave –  ou seja, aquele grupo de pessoas que toma as decisões na sua organização –  estão conscientes do impacto do RGPD. Se a gestão de uma organização não estiver alerta para o tema, daqui a poucos meses, com a entrada do novo regulamento, pode estar perante uma situação de incumprimento, porque não ajustou a operação de forma a estar conforme, e como tal passível de aplicação de fortes penalizações pecuniárias – para não mencionar as repercussões na sua imagem e relações comerciais. Não pense que vai haver alguma tolerância por parte dos reguladores. O período de graça já está a decorrer e termina a 25 de Maio de 2018 – dois anos depois de ter sido publicado e aprovado o RGPD.

2. Consulte sites como o da CNPD
Mas também outros. Nestes estão identificadas as principais medidas a considerar na preparação para o RGPD. Destaque para o documento “10 medidas para preparar a aplicação do Regulamento Europeu de Proteção de Dados” (https://www.cnpd.pt/bin/rgpd/10_Medidas_para_preparar_RGPD_CNPD.pdf) É um bom início. Mas não dispensa a leitura atenta da versão (também disponível em português) do RGPD [http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32016R0679] no EUR-Lex. Boa sorte.

3. Faça o levantamento de sistemas na organização que contenham dados privados
Se até à entrada em vigor do novo regulamento, a organização responsável pelos dados privados (data controller) era quem mais se devia preocupar mais com o tema da protecção de dados, com a nova lei, quem processa dados privados, os subcontratantes (data processor) passam a partilhar com o “dono dos dados” a responsabilidade de cumprir o regulamento. Assim, aconselha-se rever os contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais para verificar se contêm todos os elementos exigidos pelo regulamento.

4. Mentalize-se para a gestão de Incidentes de Segurança (ou de violações de dados pessoais)
Passa a ser uma necessidade. A obrigação de notificar no prazo de 72 horas quaisquer violações de dados pessoais, tanto aos reguladores quanto às pessoas em causa, vai obrigar as organizações a implementar os procedimentos necessários para detectar, denunciar e investigar uma violação de dados pessoais. Notem que não bastará uma folha de cálculo, embora esta possa ser um bom suporte adicional.

5. Mantenha-se longe das pesadas multas
Faça “figas” para que não lhe aconteça nada relacionado com o RGPD a partir de 25 Maio 2018. Independentemente de acreditar em superstição ou sorte, convém tomar o máximo de medidas necessárias para estar em conformidade com a legislação pois as multas previstas vão abalar qualquer caixa forte. As multas podem atingir os 20 milhões de euros, ou 4% do volume de negócios global (mundial) anual – aquele que for maior.Na eventual aplicação de coimas, quantas mais evidências conseguir mostrar de que está preocupado com o tema, menor será o valor da eventual coima a aplicar (fazendo fé do que temos ouvido nas conferências onde o tema do RGPD é abordado).

6. Arranje um Encarregado de Protecção de Dados
Se tiver dados pessoais sobre a sua alçada, arranje um encarregado de protecção de dados, nem que seja alguém de fora da sua organização, pois já existem ofertas assinaláveis de empresas de consultadoria e até já existem seguros para dar resposta ao RGPD.

7. Coloque no topo do seu calendário este assunto
Dos 24 meses de transição já só faltam 8 para o fim do prazo.

O tema não se esgota com as dicas dadas anteriormente, antes pelo contrário:
– Direitos reforçados para os indivíduos, incluindo o acesso, rectificação e o direito a ser esquecido.
– Necessidade de consentimento expresso dos “proprietários” para qualquer processamento.
– Direitos reforçados para as crianças. Protecção de dados desde a concepção e avaliação de impacto.

Se a sua organização actua internacionalmente deve perceber sobre qual a autoridade de supervisão de protecção de dados a que reporta, etc., etc. Encripte todos os dados pessoais que puder em comunicações com entidades exteriores à sua organização será mesmo obrigatório.

Veja também estas notícias.