O Regulamento Geral de Protecção de Dados ( RGPD ) entra em vigor hoje, 25 de Maio, e substitui a actual directiva e lei de protecção de dados em vigor. O regulamento obriga a informar acerca da base legal para o tratamento de dados, prazo de conservação dos mesmos e transferência dos mesmos. Todas as políticas de privacidade e textos que prestem informação aos titulares de dados têm de ser revistos e obriga a garantir o exercício dos direitos dos titulares dos dados. Desta forma, os pedidos de exercício desse direito passam a ser monitorizados e documentados com prazos máximos de resposta, direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre a rectificação ou apagamento ou limitação de tratamento solicitados pelos titulares. Por outras palavras, cai sob as organizações a responsabilidade de interpretar e cumprir o novo regulamento. Mais: terão de conseguir provar que o cumprem, que estão em compliance. E que gerem a questão internamente, de forma contínua. Saber que dados estão na posse da empresa, que podem ser tão diversos como os endereços de e-mail inscritos numa newsletter como os dados pessoais dos trabalhadores que a empresa transmite ao fisco e à Segurança Social — mais os dados dos clientes, dos visitantes do website e por aí em diante. O que muda? Em suma, é preciso minimizar o risco para o titular dos dados, que tem de dar autorização expressa para a organização os poder tratar e guardar. “As opções pré-preenchidas deixam de ser possíveis. Terá de ser a própria pessoa a preencher”, nota a advogada Cláudia Martins. O titular dos dados também tem de saber o fim que será dado a esses dados e a empresa só os poderá usar nesse sentido. Tem de ser tão fácil aceitar como revogar a permissão. O regulamento obriga ainda a controlar as circunstâncias em que foi obtido o consentimento dos titulares quando isso for base legal do tratamento dos dados pessoais. Existem um conjunto de exigências para obtenção desse consentimento e o seu não cumprimento obriga à obtenção de um novo consentimento. Também é definido o conceito de dados sensíveis que estão sujeitos a condições específicas para o seu tratamento, nomeadamente direitos e decisões automatizadas.
Um exemplo de dados sensíveis serão os dados biométricos. Dependendo da dimensão e contexto destes tratamentos de dados específicos, poderá ser obrigatória a nomeação de um Encarregado de Protecção de Dados, que, caso não seja do interesse da empresa contratar ou nomear esse novo elemento, a nossa equipa de Protecção de Dados também disponibiliza esse serviço como parte da nossa solução.
O regulamento obriga a manter um registo documentado de todas as actividades de tratamento de dados pessoais. As organizações são obrigadas a demonstrar o cumprimento de todos os requisitos decorrentes da aplicação do regulamento e obriga a que o subcontratante garanta que detém todas as autorizações dos responsáveis pelo tratamento de dados. Os contratos de subcontratação terão de ser revistos para incluir um conjunto vasto de informações com o objectivo de proteger a informação dos titulares de dados que é frequentemente tratada por várias entidades sem os respetivos titulares terem conhecimento.
O regulamento introduz a figura do Encarregado de Protecção de Dados que terá um papel de controlador dos processos de segurança para garantir a protecção de dados no dia-a-dia da empresa. Embora não seja obrigatório para todas as empresas, a existência do mesmo ou de um serviço externo que garanta essa função pode acrescentar muito valor aos processos de cumprimento das obrigações.
O regulamento obriga a um grande controlo do risco associado ao possível roubo de informação perda e alterações acidentais ou ilícitas, ou a divulgação/acesso não autorizado de dados. O regulamento salienta a necessidade de passar a avaliar projetcos futuros de tratamento de dados com a devida antecedência e rigor de forma a poder avaliar o seu impacto na protecção de dados e adoptar as medidas adequadas para mitigar esses riscos.O regulamento também refere que todas as violações de segurança que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados e estabelece um quadro de aplicação uniforme assente em dois escalões (em função da gravidade) : Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado. Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante.