O Regulamento Geral de Proteção de Dados da UE (RGPD) ou GDPR foi, nos últimos 20 anos, a mudança mais importante na regulamentação de privacidade de dados.
O regulamento reforma basicamente a forma como os dados são tratados em todos os setores, desde os serviços de saúde até os serviços bancários.
Mas se quer saber ao pormenor o que está escrito no site oficial da Comissão da UE pode clicar aqui.
Após quatro anos de preparação e debate, o RGPD foi finalmente aprovado pelo Parlamento da UE em 14 de abril de 2016.
No entanto, foi aplicado em 25 de maio de 2018 – e as organizações que não estão em conformidade podem agora enfrentar multas pesadas.
Aqui pode encontrar um Guia rápido sobre as novas regras do RGPD – Passo a Passo com Exemplos
Este artigo é um recurso para ajudar as organizações a conhecer os principais elementos do Regulamento Geral de Proteção de Dados (RGPD). Aliás serve sobretudo para ajudar as empresas a tornarem-se compatíveis com as novas regras do RGPD. As orientações que encontra neste artigo ajudam a garantir que as empresas têm estratégias eficazes de gestão de direitos sobre os dados que gerem ou possuem.
O Regulamento Geral de Proteção de Dados da UE (RGPD) substitui a Diretiva de Proteção de Dados 95/46 / EC e foi concebido sobretudo para:
- Uniformizar as leis de privacidade de dados em toda a Europa,
- Proteger, promover e garantir a privacidade dos dados dos cidadãos da UE,
- Melhorar a forma como as organizações abordam a privacidade dos dados.
O que melhora com o RGPD
De facto, o RGPD vem tentar melhorar a maneira como os diferentes setores da sociedade gerem os dados. Além disso pretende redefinir as funções dos principais líderes em negócios. São eles que devem garantir a existência de processos de gestão de consentimento adequados. Aliás, as novas regras exigem sistemas de segurança eficazes. Sistemas que consigam garantir que as organizações não percam os seus ativos mais valiosos, que são dados.
Os principais tópicos sobre as novas regras do RGPD, bem como informações sobre o impacto nos negócios, podem ser encontrados no artigo a seguir.
O QUE É O RGPD?
O Regulamento Geral de Proteção de Dados (RGPD) ou “General Data Protection Regulation” (RGPD) – Regulamento (UE) n.º 2016/679. É uma moldura legal da União Europeia (UE) que se aplica a todos os Estados-membros e a qualquer outro país que venda produtos ou serviços na Europa.
Aliás, está em vigor desde 24 de maio de 2016. No entanto, aplicável desde 25 de maio de 2018. De facto, tem como principal objetivo proteger as pessoas singulares. Protegê-las de tudo o que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
A quem se aplicam as regras do RGPD?
Em termos práticos, o RGOD aplica-se qualquer empresa com sede na UE ou fora da UE que, no contexto das atividades que exerce. Isto, mesmo que sejam atividades em forma gratuita ou então se tratem de dados pessoais de cidadãos residentes no espaço europeu. Dados recolhidos por meios automatizados (ou não automatizados). Assim, as organizações ficam obrigadas a prestar contas sobre todas as ações que envolvem esse tratamento de dados. Além disso também são obrigadas a prestar contas sobre as políticas de privacidade dadas às pessoas que os forneceram.
Assim sendo, todas as atividades de tratamento de dados pessoais terão de ser registadas de forma detalhada:
- quais os dados guardados,
- como são registados,
- para que são usados,
- como são tratados,
- onde são armazenados,
- durante quanto tempo.
Não se tratando de uma Diretiva, mas de um Regulamento, o RGPD tem caráter obrigatório e poder jurídico vinculativo.
Imagem de Benedikt Geyer por Pixabay
PRINCIPAIS DIFERENÇAS EM RELAÇÃO À ANTERIOR DIRETIVA COMUNITÁRIA
O RGPD vem substituir a Lei n.º 67/98, de 26 de outubro, e a subsequente relativa à Proteção de Dados Pessoais, de 2003.
Mas as exigências não só ter o consentimento por parte do utilizador. Ou seja, há mais coisas a fazer para poder receber qualquer tipo de comunicação ou poder processar os dados pessoais. Tem de ser um processo totalmente claro e transparente. De facto, as principais novidades em relação à legislação anterior são as seguintes:
- O cidadão tem o direito de “ser esquecido”;
- Tem o direito de informação;
- Tem o direito de acesso;
- Tem o direito de retificação;
- Tem o direito à limitação e oposição de tratamento;
- Tem o direito de portabilidade;
- Tem o direito de não ficar sujeito a decisões individuais automatizadas.
CONTEXTO E IMPORTÂNCIA DO NOVO REGULAMENTO
O novo Regulamento Geral de Proteção de Dados representa a mudança mais importante na regulação de privacidade de dados dos últimos 20 anos. Ou seja, em linhas muito gerais, visa reforçar os direitos fundamentais que as pessoas singulares têm sobre os seus dados pessoais. De facto, no fundo, pretende preparar a Europa para a era digital.
No entanto, lembre-se que a Diretiva comunitária que estava em vigor antes do RGPD foi criada antes da era das redes sociais. Ou se pensarmos bem, antes do mundo se ter tornado cada vez mais global e ligado à rede. De facto, 1995 foi o ano em que a Microsoft apresentou o Internet Explorer 1 ou que a Amazon e o eBay foram fundados. Portanto, o número de utilizadores da Internet deve rondar actualmente os 16 milhões.
RGPD EM NUMEROS
fonte: europa.eu
Num processo de aceleração histórica, e já em 2018, há mais de 3,7 biliões de utilizadores. De facto, aumentou a utilização de dispositivos móveis como smartphones, tablets, smartwatchs e laptops. Aliás, são gadgets que já funcionam como uma extensão dos nossos corpos. Isto tudo porque o ser humano tem uma necessidade de ligação à rede, de acesso, de contacto, de exposição, de consumo e de comunicação.
A dimensão desta transformação cultural teve, necessariamente, um enorme impacto socioeconómico. Na sociedade digital, o acesso facilitado aos cidadãos passou a valer ouro no mundo empresarial. De facto, as empresas estão conscientes de que os seus clientes partilham da necessidade de estarem sempre ligados. Por isso, as empresas são as principais interessadas em perceber quem são ou quais são as tendências comportamentais que os seus targets têm online.
O novo Regulamento veio portanto relançar a discussão em torno da proteção dos dados pessoais. No entanto, também, veio aumentar a discussão em torno das questões da privacidade. Sobretudo fomentando o pensamento crítico sobre a forma como os cidadãos disponibilizam os seus dados. Aliás, muitas vezes “abrem mão” dos seus direitos consagrados para terem acesso a serviços online.
Que dados pessoais disponibilizamos online
- nome;
- morada;
- endereço de email;
- contactos telefónicos;
- localização;
- fotografias;
- detalhes de cartões de crédito;
- etc…
Além disso aceitamos acriticamente termos e políticas de privacidade confusas em prol do acesso a conteúdos e serviços.
Por um lado, a partilha deste tipo de dados serve para criarmos relações com as organizações com as quais interagimos e que fazem parte do nosso dia-a-dia. Por outro, se este tipo de informação cair nas mãos erradas, pode ser utilizada para um sem número de atividades fraudulentas, inclusive para o roubo de identidade.
Não será também excessivo afirmar que uma das principais ‘lacunas’ da anterior Diretiva prendia-se, digamos assim, com a falta de métrica em relação à aplicação das regras da proteção de dados. Cada Estado-membro interpretava essas mesmas regras à sua maneira quando as transformavam em legislação local.
Qual a finalidade do RGPD?
A natureza do RGPD tem, assim, por finalidade reforçar a Proteção de Dados, prevista no art.º 8.º da Carta dos Direitos Fundamentais da União Europeia, e harmonizar a legislação existente nos Estados-Membros, criando as bases para o mercado único digital. A UE acredita que o novo quadro legislativo vai economizar, coletivamente, muitos milhões de euros por ano.
Em suma, este Regulamento é uma medida essencial para reforçar os direitos fundamentais dos cidadãos na era digital e facilitar a atividade comercial através da simplificação das normas aplicáveis às empresas no mercado único digital. A introdução de um ato legislativo único acabará também com a fragmentação e os dispendiosos encargos administrativos que existem atualmente.
Photo by Fernando Arcos from Pexels
OBJETIVOS DO RGPD
Os objetivos do RGPD Regulamento Geral de Proteção de Dados são muitos mas são claros. De facto, tem como principal objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça. Também pretende a união económica de forma a incentivar o progresso económico e social. Ou seja, a consolidação e a convergência das economias a nível do mercado interno. Isto tudo ara o bem-estar das pessoas singulares.
Assim sendo, o RGPD visa:
- Assegurar o respeito pelo direito fundamental de cada pessoa à privacidade dos seus dados;
- Proteger os cidadãos da UE num contexto de economia global;
- Dar aos cidadãos o total controlo sobre os seus dados pessoais;
- Harmonizar a legislação existente nos Estados-Membros;
- Travar o crescimento das fugas de informação online, perda de dados confidenciais e ciberataques;
- Reforçar a proteção dos sistemas empresariais.
PRINCÍPIOS DO RGPD
Os princípios do RGPD são a transparência, clareza, acesso, consentimento e direito à oposição dos cidadão. Aliás, são alguns dos conceitos que visam o empowerment dos cidadãos. Ou seja, melhorar a utilização, manipulação e partilha dos dados pessoais por parte das organizações empresariais.
Aliás, o processo de conformidade com a nova legislação exigirá das empresas um esforço considerável em termos de compliance com as novas regras. Ou seja, estão obrigadas a rever uma série de medidas organizacionais, técnicas e processamento de dados. No entanto, há, também, um trabalho de mindset dos seus colaboradores que terá, obrigatoriamente, de ser levado a cabo.
De entre um conjunto vasto de medidas, as empresas terão de, por exemplo:
- Adotar mecanismos de segurança dos dados pessoais;
- Proporcionar formação aos funcionários acerca das normas do RGPD;
- Avaliar a necessidade/obrigatoriedade de nomeação de um Data Protection Officer (DPO) ou Encarregado de Proteção de Dados, figura responsável por gerir o processo de conformidade dentro da empresa;
- Mapear e categorizar os dados pessoais recolhidos e tratados;
- Criar automatismos que simplifiquem a conformidade com o Regulamento;
- Comunicar às autoridades reguladoras e aos respetivos titulares dos dados a ocorrência de incidentes de violação de dados, no prazo de 72 horas, após ser conhecida uma falha de segurança.
Photo by Markus Spiske on Unsplash
A QUEM SE APLICA O RGPD
O novo Regulamento aplica-se a todas as organizações estabelecidas em território da União Europeia, mas não só. De facto, também se aplica àquelas que, estando localizadas fora da UE, tratem dados de cidadãos aí residentes. Ou seja, são obrigadas a cumprir as novas regras desde que comercializem os seus produtos/serviços (a título oneroso ou gratuito) ou monitorizem comportamentos que ocorram dentro da UE.
É de salientar que estão excluídas desta obrigatoriedade, por exemplo, as forças de segurança pública, uma vez que estão sujeitas a uma legislação específica.
Importante ainda ressalvar que, no que toca ao registo detalhado das atividades de processamento de dados, as organizações empresariais com menos de 250 funcionários estão excluídas deste requisito. Isto, desde que não se verifique nenhuma das seguintes condições no tratamento de dados.
Condições no tratamento de dados:
- Seja suscetível de implicar um risco para os direitos e liberdades do titular de dados;
- Não seja ocasional;
- Abranja as seguintes categorias de dados: origem racial ou ética, opiniões políticas, convicções religiosas ou filosófcas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou relativos à vida sexual ou orientação sexual;
- Dados pessoais relativos a condenações penais e infrações.
QUANDO SE APLICA O RGPD
O RGPD tem aplicação direta a partir de 25 de maio de 2018. O Regulamento entrou em vigor em 24 de maio de 2016. Após quase 5 anos de negociações e cerca de 4 000 adendas, sendo aplicado diretamente, isto é, sem necessidade de qualquer transposição para a ordem jurídica interna.
QUEM SUPERVISIONA EM PORTUGAL
O cumprimento do RGPD será supervisionado em Portugal pela Comissão Nacional de Proteção de Dados (CNPD).
O consentimento passou a ser um dos requisitos mais importantes para que o tratamento de dados pessoais possa ser considerado legal. E, mesmo quando o consentimento para o tratamento é dado pelo titular, existem muitas condicionantes a ter em conta para que as empresas possam proceder a esse tratamento. Isto porque, de acordo com o RGPD, os cidadãos passam a ter os seguintes direitos:
2 – DIREITOS DOS UTILIZADORES E OS DEVERES DAS EMPRESAS
DIREITO DE INFORMAÇÃO
Todos os cidadãos têm o direito de receber informação sobre os termos que envolvem o contrato de tratamento de dados pessoais.
Não basta dar acesso a páginas de informação intermináveis, com letras miudinhas e difíceis de compreender.
A informação tem de ser clara, resumida, expressa numa linguagem fácil de entender e distinguível de outras informações como os termos e condições. Considera-se que só assim o consentimento pode ser informado.
É ainda de salientar que as empresas são obrigadas a notificar a autoridade de supervisão nacional (Comissão Nacional de Proteção de Dados). Sempre que existe uma violação dos dados que ponha os titulares dos dados em risco, no período de 72 horas seguinte ao conhecimento da violação. Devem, igualmente, comunicar aos cidadãos afetados para que estes possam tomar as medidas apropriadas.
DIREITO DE ACESSO
Este é outro aspeto de referência do novo Regulamento. Os cidadãos terão acesso a mais informação sobre os dados e à forma como estes são processados, informação esta que terá de ser clara e acessível. Após o consentimento, os cidadãos podem aceder aos dados que são recolhidos e confirmar quais são e se eles estão a ser ou não objeto de tratamento. As empresas devem criar meios para que esse acesso seja fácil e rápido, sendo que muitas já permitem essa consulta online.
Photo by Thought Catalog on Unsplash
DIREITO AO ESQUECIMENTO
O cidadão passar a ter o direito de “ser esquecido”. Isto é, tem o direito a pedir que os seus dados pessoais sejam apagados, sem demora injustificada, e dentro dos limites legalmente previstos.
Este direito apenas deixa de fora os dados que sejam necessários às empresas para cumprir com as suas obrigações legais. Por exemplo, não pode ser utilizado para apagar dados que dificultem a cobrança de dívidas.
Aliás, a medida, de acordo com o RGPD, pretende “proteger a privacidade dos indivíduos, e não de apagar eventos passados ou restringir a liberdade à imprensa”.
O Regulamento refere ainda que o titular tem o seguinte direito. Poder pedir o apagamento dos seus dados pessoais. A organização por seu lado tem a obrigação de o fazer. Isto, sem demora injustificada, quando se aplique um dos seguintes motivos:
Motivos para pedir o apagamento dos dados:
- Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
- O titular retirar o consentimento em que se baseia o tratamento dos dados, se não existir outro fundamento jurídico para o referido tratamento;
- O titular opõe-se ao tratamento e não existem interesses legítimos prevalecentes que justifiquem o tratamento;
- Os dados pessoais foram tratados ilicitamente;
- Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito;
- Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação.
DIREITO DE RETIFICAÇÃO
Se o titular dos dados verificar que as informações pessoais estão inexatas, ele tem direito a, sem demora injustificada, conseguir a sua retificação ou atualização.
A título de exemplo, nos casos em que a situação familiar e laboral possa já ter sido alterada ou em que a divulgação da situação antiga pode ser embaraçosa ou mesmo prejudicar a vida do titular.
DIREITO À PORTABILIDADE DOS DADOS
O novo direito à portabilidade dos dados vai tornar mais fácil a transmissão de dados pessoais entre fornecedores de serviços. Isto porque o cidadão passa a poder transferir os seus dados para outro prestador de serviços quando bem entender.
Além disso, qualquer cidadão pode pedir a entrega dos seus dados num formato de uso corrente e de leitura automática – seja para arquivar ou para trabalhar a sua própria informação.
DIREITO À LIMITAÇÃO E OPOSIÇÃO DO TRATAMENTO
E depois de dado o consentimento para o tratamento dos dados pessoais? Depois de dar o seu consentimento o titular pode, em qualquer momento, solicitar a limitação do tratamento integral ou parcial dos seus dados, sem que por tal a relação contratada com a empresa seja afetada.
Muito útil para, por exemplo, evitar ações de marketing direto indesejadas por parte de um fornecedor, mantendo os outros aspetos da relação comercial.
O titular tem ainda o direito de se opor à divulgação ou partilha dos seus dados pessoais.
DIREITO À PROTEÇÃO DOS DADOS “POR DESIGN” E “POR DEFINIÇÃO”
Proteção de dados “por design” significa que cada novo serviço ou negócio que faça uso de dados pessoais está obrigado a tomar em consideração a proteção desses dados. A este respeito, as empresas terão de ser capazes de mostrar que têm segurança apropriada.
Em termos práticos isto significa que os departamentos de tecnologias de informação devem ter em conta a privacidade dos dados no “design” da tecnologia do produto ou serviço.
Proteção de dados “por definição”, significa que as empresas terão de se certificar que só os dados pessoais absolutamente necessários para determinada ação serão processados.
As configurações de privacidade dos dados dos cidadãos devem estar, por defeito, no nível mais alto de segurança.
Além disso, os dados pessoais devem, por definição, apenas ser mantidos pelo espaço de tempo necessário para providenciar determinado produto ou serviço.
Photo by Hunters Race on Unsplash
RESPONSÁVEL PELO TRATAMENTO DE DADOS VS SUBCONTRATANTE
De acordo com a informação prestada pela UE, o responsável pelo tratamento de dados (“Controller”) determina as finalidades e os meios pelos quais os dados pessoais são tratados.
Uma empresa/organização é a responsável pelo tratamento se decide “porquê” e “como” os dados pessoais devem ser tratados. Os trabalhadores que efetuam o tratamento de dados pessoais na organização fazem-no para cumprir as tarefas enquanto responsável pelo tratamento.
Porém, uma empresa/organização também é responsável conjunto pelo tratamento quando determina, em conjunto com uma ou mais organizações, “porquê” e “como” os dados pessoais devem ser tratados. Os responsáveis conjuntos pelo tratamento devem celebrar um acordo que defina as respetivas responsabilidades pelo cumprimento das regras do RGPD. Os principais aspetos desse acordo devem ser comunicados às pessoas cujos dados são objeto de tratamento.
Já o subcontratante só efetua o tratamento de dados pessoais em nome do responsável pelo tratamento (“Processor”). O subcontratante é, geralmente, externo à empresa. Contudo, no caso referido dos grupos de empresas, uma empresa pode atuar como subcontratante para outra empresa.
3 – MEDIDAS E PROCEDIMENTOS PARA GARANTIR A CONFORMIDADE COM O RGPD
De acordo com o RGPD, uma empresa/organização deve ser responsável por cumprir todos os princípios da proteção de dados e também por demonstrar esse cumprimento (Princípio da Responsabilidade).
A este propósito, o novo Regulamento oferece às empresas/organizações um conjunto de instrumentos, alguns dos quais obrigatórios, que lhes permitem demonstrar a sua responsabilidade.
Por exemplo, em casos específicos, a nomeação de um Encarregado de Proteção de Dados (EPD) ou a realização de Avaliações de Impacto da Proteção de Dados (AIPD) podem ser obrigatórias.
Os responsáveis pelo tratamento podem optar por utilizar outros instrumentos, como códigos de conduta e procedimentos de certificação, para demonstrar a conformidade com os princípios da proteção de dados.
Tanto os códigos de conduta como a certificação são instrumentos opcionais, pelo que cabe à empresa/organização decidir se pretende aderir a um determinado código de conduta ou solicitar uma certificação.
Embora a empresa/organização continue a ter de respeitar e cumprir o RGPD, a adesão a estes instrumentos pode ser tida em consideração no caso de uma medida de execução adotada contra a sua organização por violação do RGPD.
MEDIDAS DE GESTÃO
A defesa dos direitos ARCO e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais exige a adoção de medidas técnicas e organizativas adequadas. Servem sobretudo para assegurar o cumprimento dos requisitos do RGPD.
Aliás, para poder comprovar a conformidade com o novo Regulamento, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados. Isto deve ser feito desde a conceção à proteção de dados por defeito (Privacy by Design and by Default). Tais medidas podem incluir:
Atualização do regulamento interno
O qual deve refletir todas as ações da empresa para estar em conformidade com a nova legislação. Deve incluir uma lista de todos os colaboradores que lidam com dados pessoais e respetiva discriminação de responsabilidades.
Reformulação de Termos e Condições e Políticas de Privacidade
As empresas devem rever os Termos e Condições e Políticas de Privacidade das suas páginas online – os quais, na maioria, são muito extensos e confusos para o utilizador. Além de refletirem as novas políticas de proteção de dados, devem ser mais transparentes e concisos.
Avaliação da recolha de dados
As empresas devem avaliar se toda a informação que recolhem dos seus clientes é absolutamente necessária. Se não houver uma justificação clara para recolher e tratar esses dados, é aconselhável que as empresas não os recolham. Todos os dados que recolherem deverão estar espelhados no regulamento interno, bem como a justificação de os ter recolhido e de como os trata.
Recorde-se que se deve recolher e processar dados pessoais só para objetivos legais, e proteger sempre esses dados. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso e alteração. Ou seja, estes requisitos devem garantir, entre outros, os direitos ARCO.
Avaliação da necessidade de nomear um EPD – Encarregado de Proteção de Dados
Quer seja um responsável pelo tratamento, quer um subcontratante. Se as atividades principais da empresa/ organização envolverem o tratamento de dados sensíveis. Ou então se as atividades principais envolverem o controlo sistemático, regular e em grande escala de pessoas, então deve ser nomeado um EPD. Esta figura, que pode ser um funcionário ou um consultor externo, ficará responsável pela conformidade em matéria de proteção de dados.
Formação dos colaboradores
De forma a assegurar a não violação das novas normas e de demonstrar que a proteção de dados é um assunto de vital importância para as empresas. Um dos muitos desafios será, com toda a certeza, sensibilizar os colaboradores para as novas questões de privacidade e tratamento de dados. O que se procura será fundar uma nova mentalidade corporativa para esta nova era da regulamentação da privacidade. Deverão, adicionalmente, ser concluídos termos de responsabilidade com os colaboradores que têm acesso a dados pessoais.
Photo by Scott Graham on Unsplash
MEDIDAS QUE COMPROVEM A CONFORMIDADE
Um dos pontos transversais ao RGPD prende-se com o facto das empresas terem de manter documentação. Serve para provar, em caso de fiscalização ou auditoria, que todos os consentimentos necessários foram recolhidos e que está, de facto, em conformidade com a lei.
Tem de se manter documentação de todas as atividades de processamento de dados, nomeadamente:
- o propósito do processamento,
- as categorias de dados pessoais envolvidos,
- as categorias dos destinatários,
- as salvaguardas em todas as transferências de dados,
- limites temporais para apagar esses dados.
Também é necessário manter uma descrição técnica das medidas de segurança na organização. Estes registos deverão ser mantidos em suporte de papel ou eletrónico, e disponíveis para auditoria e revisão pela autoridade de supervisão sempre que solicitado. Aliás, além desta recolha de consentimentos, é fundamental, mais uma vez, que o regulamento interno demonstre cabalmente a um potencial auditor que a empresa se ajustou ao RGPD. Mas sobretudo que prove que a empresa adotou novas políticas com vista à proteção de dados pessoais.
CONSENTIMENTOS
Embora as regras de processamento de dados pessoais, vigente na lei desde 1995, não sejam muito diferentes no RGPD, o novo Regulamento traz novas exigências no que toca à validade do consentimento. Tendo em vista a conformidade, as empresas devem:
- Avaliar se os dados já recolhidos, e que estão registados na base de dados, foram recolhidos com o consentimento necessário. Se não, os consentimentos devem ser novamente recolhidos para poderem continuar a comunicar com os seus clientes;
- Assegurar que as plataformas que estão a ser utilizadas permitem uma gestão de consentimentos. É importante que o utilizador possa gerir os seus consentimentos ou mesmo apagar a sua conta, na sua área de cliente, a qualquer momento;
- Assegurar que o consentimento é obtido através de um ato positivo inequívoco e de uma manifestação de vontade livre, específica, informada e explícita. Ou seja, por exemplo o consentimento não pode estar pré-selecionado no caso de utilização de checkboxes;
- Assegurar que os consentimentos são recolhidos de forma granular, ou seja, de forma a que o consentimento para diferentes atividades de marketing receba obrigatoriamente consentimentos separados. A este propósito, recorde-se, os consentimentos não podem ser remetidos para os termos e condições da plataforma. Isto porque, não servirá como prova de recolha de consentimento se o utilizador não fizer o opt in (ato mediante o qual, o utilizador dá o seu consentimento);
- Privilegiar os consentimentos obtidos através de double opt in. Isto é, além dos consentimentos não poderem estar “previamente clicados”, recomenda-se que as empresas obtenham um consentimento duplo. Em termos práticos, traduz-se em enviar um email ao titular dos dados a confrmar que consente, de facto, com essas comunicações. Isto aplica-se, por exemplo, nos casos de registo na newsletter ou de registo no site, onde o cliente receberá um email para confirmar que foi ele que, de facto, fez esse registo.
Photo by Campaign Creators on Unsplash
COOKIES
Até à entrada em vigor do RGPD, as cookies eram tratadas com um simples alerta, de aceitação ou não aceitação da política de cookies – para se poder continuar a navegar num determinado site.
Embora as cookies não sejam consideradas, diretamente, dados pessoais, existem formas de cruzamento de informação que podem levar à identificação de um cidadão. Por esta razão, o RGPD encara as cookies como dados pessoais, mesmo que apenas identifiquem um cidadão indiretamente.
Neste contexto, e tendo em vista a conformidade, as empresas devem:
- Fazer uma gestão de cookies que permita a possibilidade de o utilizador aceitar ou recusar, parcial ou totalmente, as cookies. Cada tipo de cookie deve ser explicada ao utilizador de forma clara e sucinta.
- Nunca recusar acesso ao utilizador mesmo que este recuse todas as cookies;
- Enquanto o utilizador não tomar qualquer ação sobre as cookies, o site não deve gravar nenhuma cookie no seu browser, sendo que é aconselhável que o alerta permaneça visível até que o utilizador tome alguma ação.
Photo by Paul Hanaoka on Unsplash
BASE DE DADOS
Aliás, a principal preocupação que as empresas devem ter com as suas bases de dados de clientes prende-se com a recolha de consentimentos. De acordo com o RGPD:
- As bases de dados devem ser recolhidas pelas empresas em conformidade com as regras do novo Regulamento;
- É aconselhável a encriptação das bases de dados, de forma a evitar ataques informáticos e/ou eventuais fugas de informação. Em caso de fuga ou roubo, as empresas terão de alertar num prazo de 72 horas as autoridades reguladoras. Em alguns casos, os próprios titulares dos dados;
- Em caso de exercício dos direitos ARCO, devem as bases de dados ser atualizadas conforme o direito pretendido, consoante seja exercido o direito de retificação, cancelamento, oposição ou esquecimento.
4 – INCUMPRIMENTO E COIMAS
As penalizações para quem não estiver em conformidade com o novo Regulamento serão severas. O RGPD estabelece um quadro de aplicação de coimas assente em dois escalões (em função da gravidade), a saber:
- Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
- Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
No primeiro caso, as coimas aplicar-se-ão a falhas no cumprimento de exigências técnicas ou organizacionais, como, por exemplo, falha na comunicação de violações das suas bases de dados, ou falta de certificações.
No segundo, para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados. Como, por exemplo, o não respeito pelo consentimento dado pelo utilizador. Ou então a transferência de dados pessoais para outros países ou organizações que não assegurem um determinado nível de proteção de dados.
Photo by Alex Radelich on Unsplash
COMO PROCEDER EM CASO DE INCUMPRIMENTO
O novo Regulamento obriga a que todas as violações de segurança que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados.
De acordo com o novo Regulamento (Artigo 33.º), em caso de violação de dados pessoais, os procedimentos de comunicação à autoridade de controlo são os seguintes:
- O responsável pelo tratamento notifica desse facto a autoridade de controlo competente. Isto, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma. A menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
A notificação deve, pelo menos:
- Descrever a natureza da violação dos dados pessoais. Incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
- Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
- Descrever as consequências prováveis da violação de dados pessoais;
- Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem demora injustificada. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.
- O responsável pelo tratamento documenta quaisquer violações de dados pessoais. Compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.
Já no que respeita à comunicação ao titular dos dados (Artigo 34.º), os procedimentos são:
- Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares. O responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
- A comunicação ao titular dos dados descreve, em linguagem clara e simples, a natureza da violação dos dados pessoais e fornece, pelo menos, as seguintes informações:
– Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
– Descrever as consequências prováveis da violação de dados pessoais;
– Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais. Inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.
- A comunicação ao titular dos dados não é exigida se for preenchida uma das seguintes condições:
– O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas. Essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais. Especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
– O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados já não é suscetível de se concretizar; ou
– Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.
Photo by Kelly Sikkema on Unsplash
5 – MINUTAS/ EXEMPLOS DE DOCUMENTOS
POLÍTICAS DE PRIVACIDADE
Uma Política de Privacidade é um documento que deve constar, por exemplo, no site de uma empresa. Tem por objetivo informar de forma transparente, leal e clara os utilizadores desse mesmo site. Sobra a razão porque os dados são recolhidos, para que efeito são utilizados, com quem serão partilhados (se aplicável) e como o utilizador pode impor os seus direitos.
Exemplo:
Política de Privacidade e de Proteção de Dados Pessoais
Como é do conhecimento público, o novo Regulamento Geral de Proteção de Dados é aplicável desde 25 de maio em todos os Estados-Membros da União Europeia.
Na NOME DA EMPRESA, valorizamos e atribuímos a máxima importância à confiança que deposita em nós e garantimos que os seus dados pessoais se encontram em segurança e são processados com total privacidade.
Privacidade, confidencialidade e transparência são três elementos fulcrais na relação de confiança que estabelecemos com os nossos Clientes.
O tratamento dos seus dados pessoais permite, entre outras finalidades, o desenvolvimento e a comercialização direta dos produtos e serviços que acreditamos serem os mais adequados ao perfil e necessidades de cada Cliente.
A presente Política de Privacidade estabelece a forma como a NOME DA EMPRESA utiliza os dados pessoais dos seus clientes e dos seus potenciais clientes e é composta pelas seguintes secções [a preencher pela empresa]:
Quem é responsável pelo tratamento dos seus dados pessoais >>
Como é que recolhemos os seus dados pessoais >>
Para que finalidades e com que fundamento podem ser utilizados os seus dados pessoais >>
Que dados pessoais podem ser recolhidos >>
Como é que mantemos os seus dados pessoais seguros >>
Durante quanto tempo conservamos os seus dados pessoais >>
Com quem podemos partilhar os seus dados pessoais e como é que os mantemos seguros >>
Como é que pode alterar ou retirar seu consentimento >>
Os seus direitos de proteção de dados >>
O direito de apresentar reclamação junto da sua autoridade de controlo >>
Caso esteja insatisfeito com a nossa utilização dos seus dados pessoais ou com a nossa resposta após o exercício de algum destes direitos, tem o direito de apresentar reclamação junto da sua autoridade de controlo.
Comissão Nacional de Proteção de Dados – CNPD | Rua de São Bento, n.º 148, 3º, 1200-821 Lisboa | Tel: 351 213928400 | Fax: +351 213976832 | e-mail: geral@cnpd.pt).
Entre em contato connosco para mais informações >>
CONSENTIMENTO
Um pedido de consentimento tem de ser apresentado de forma clara e concisa, utilizando uma linguagem fácil de compreender, e de uma forma que o distinga claramente de outras informações, como os Termos e Condições.
Aliás, o pedido tem de especificar qual a utilização que será dada aos dados pessoais e tem de incluir os contactos da empresa que efetua o tratamento dos dados.
O consentimento tem de ser dado de livre vontade e tem de ser específico e informado. Consentimento informado significa que o titular dos dados tem de receber, pelo menos, as seguintes informações sobre o tratamento.
Informações sobre o tratamento de dados:
- A identidade da organização que efetua o tratamento dos dados;
- Os fins para os quais os dados estão a ser tratados;
- O tipo de dados que serão tratados;
- A possibilidade de retirar o consentimento dado (por exemplo, enviando uma mensagem de correio eletrónico para retirar o consentimento);
- Se aplicável, o facto de os dados irem ser utilizados para decisões exclusivamente automatizadas, incluindo a definição de perfis;
- Informações destinadas a apurar se o consentimento está relacionado com uma transferência internacional dos dados. Quais são os possíveis riscos de transferências de dados para fora da UE. Ou então se tais países não estiverem sujeitos a uma decisão de adequação da Comissão e não existirem garantias adequadas.
Exemplo:
DECLARAÇÃO
NOME: _______________________________________________________
CLIENTE N.º:__________________________________________________
Declaro para os efeitos previstos no disposto no art.º 13.º do Regulamento Geral de Proteção de Dados (EU)2016/679 do P. E. e do Conselho de 27 de abril (RGPD) prestar, por este meio, o meu consentimento para o tratamento dos meus dados pessoais à NOME DA EMPRESA, Pessoa Coletiva n.º 000000000, com sede em MORADA DA EMPRESA.
Li e aceito a Política de Privacidade e de Proteção de Dados pessoais e autorizo a NOME DA EMPRESA a:
Fornecer os meus dados, sem prejuízo da sua confidencialidade, assegurando uma utilização em função do objecto social desta empresa e compatível com os fins da recolha.
Os dados transmitidos a NOME DA EMPRESA, por esta são incorporados e tratados num ficheiro da sua responsabilidade, tendo como único fim a gestão dos serviços solicitados pelo cliente, por forma a cumprir as exigências legais aplicáveis.
Autorizo o tratamento dos referidos dados e aceito o acesso aos mesmos, pelos colaboradores da NOME DA EMPRESA que desenvolvam qualquer das atividades necessárias para a prestação e promoção do serviço.
Tenho conhecimento que sou livre de fornecer ou não as informações solicitadas e de autorizar ou não o seu tratamento, quando submeto um formulário devidamente preenchido.
Aceito que não fornecendo todas as informações solicitadas, a NOME DA EMPRESA poderá não prestar-me o serviço ou então vender o bem, ou conseguir o correto funcionamento de algumas funcionalidades presentes e/ou futuras no portal. Bem como proceder com eficácia um posterior envio, tratamento informático, consulta ou contacto.
Tenho conhecimento que tenho o direito de retirar o meu consentimento a qualquer momento, não comprometendo nesse caso, a licitude do tratamento efectuado com base no consentimento previamente dado.
___/____/____ ___________________________________
(Data) (Assinatura)
Photo by Hunter Haley on Unsplash
6 – FERRAMENTAS ÚTEIS
Estas são algumas das melhorias ferramentas online para verificar a conformidade com as regras do novo Regulamento.
ALGOLIA’S
A Algolia’s é uma ferramenta que reúne todas as informações sobre o RGPD.
ECOMPLY.IO
ECOMPLY.io é uma ferramenta de gestão de tarefas relacionada com a conformidade ao RGPD.
EMAIL COPY
O Email Copy é um software que disponibiliza templates com emails padrão a enviar aos titulares dos dados, de forma a obter o consentimento.
RGPD FORM
O RGPD Form disponibiliza formulários para fazer a gestão de solicitações de acesso, portabilidade, limitação ou oposição de dados, por parte dos titulares.
LUBENDA
A Lubenda é uma das ferramentas disponíveis para as necessidades da conformidade com o RGPD. Banners de cookies, gestão de consentimentos e ferramentas internas de privacidade são algumas das soluções que disponibiliza.
SIFTERY TRACK
Este software, Siftery Track, é uma preciosa ajuda no que toca a verificar se os fornecedores de SaaS estão em conformidade. Isto no que diz respeito à proteção dos dados pessoais.
ULTIMATE RGPD QUIZ
O Ultimate RGPD Quiz, como o próprio nome indica, é um quiz que o ajuda a verificar as regras de conformidade ao RGPD.
Photo by Glenn Carstens-Peters on Unsplash
7 – CHECKLIST
Tendo em consideração as medidas e os procedimentos para garantir a conformidade com o RGPD, listados no ponto 3 deste artigo as empresas devem assegurar os seguintes requisitos:
- Atualizar Regulamento Interno;
- Reformular Termos e Condições e Políticas de Privacidade;
- Avaliar os dados atuais (local onde estão armazenados; processos de transferência de dados; políticas de segurança);
- Validar todos os mecanismos de segurança e reporting.
- Avaliar a recolha de dados (informar o utilizador do propósito da recolha e ser claro e direto na mensagem transmitida;
- Não usar checkbox previamente selecionadas para fazer chegar essa mensagem ao utilizador;
- Identificar qual o propósito da recolha dos dados;
- Estipular prazo para manter esses dados
- Assegurar uma comunicação transparente com os titulares dos dados
- Garantir o consentimento livre, específico, informado e explícito para os dados pessoais recolhidos
- Optimizar o direito de acesso a esses mesmos dados
- Permitir a retificação dos dados
- Facilitar o direito de cancelamento e oposição
- Agilizar o direito ao esquecimento
- Simplificar a portabilidade e transmissão dos dados
- Efetuar o registo das atividades do tratamento de dados
- Criar acessos condicionados a dados pessoais e dados sensíveis
- Identificar permissões dos colaboradores que processam dados
- Prevenir a violação de dados. Por exemplo, implementar tecnologias e software que visem gerar reports de falhas e do comportamento dos sistemas
- Contratar um EPD (Encarregado de Proteção de Dados), quando tal for legalmente exigível
- Formação de colaboradores
- Não transferir dados pessoais para fora da U.E.
- Ter um plano para resolução de incidentes devidamente discriminado
- Encriptação de todos os dispositivos com dados pessoais (periféricos USB, Discos externos, CDs, DVDs, computadores, entre outros)
- Encriptação das bases de dados
- Encriptação de todos os e-mails com dados pessoais
- Utilização de mecanismos de criptografia para garantir que a troca de informação é feita de forma segura
- Implementar mecanismos de autenticação seguros no acesso à rede ou dispositivos (VPNs, máquinas virtuais, etc.)
- Implementar sistemas de cópias de segurança
- Implementar mecanismos de monitorização, frewalls, IDSS, geração de relatórios e alertas
- Manter, em suporte de papel e eletrónico, uma descrição técnica das medidas de segurança adoptadas. Tem de estar disponível no caso de uma auditoria ou revisão pela autoridade de supervisão sempre que solicitada.
- Assegurar a conformidade da política de cookies
Photo by Tingey Injury Law Firm on Unsplash
8 – RGPD – MITOS E VERDADES
Quando se é popular, as pessoas gostam de falar sobre nós. Mas muitas vezes nem tudo o que se diz é verdade.
Por isso vamos mostrar a seguir alguns mitos sobre o Regulamento Geral de Proteção de Dados (RGPD):
RGPD muda completamente a forma com as organizações lidam com os seus dados
O RGPD não é nada de novo relacionado com as regras de proteção de dados da União Europeia. É apenas uma evolução do actual conjunto de regras.
Baseia-se nos fortes princípios que já existiam relativamente à protecção de dados. Ou seja, são regras que já existem desde 1995. O que a UE fez foi apenas aplicar essas mesmas regras a era digital.
As organizações devem olhar para as novas regras do RGPD como uma oportunidade para melhorarem os seus processos internos.
RGPD vai travar a inovação no campo de inteligência artificial (Ai)
A proteção de dados pessoais é um direito fundamental na UE. Como tal, aplica-se também ao processamento de dados pessoais através de inteligência artificial (IA) e robótica.
No entanto, quando os dados utilizados para IA são anonimizados, então os requisitos do RGPD não se aplicam.
O RGPD foi concebido para ser tecnologicamente neutro e fornece a estrutura para o desenvolvimento de uma IA que respeite os cidadãos.
RGPD permite que haja uma decisão automatizada. Sobretudo onde exista uma justificação por um contrato, consentimento explícito ou uma lei. Isto tudo desde que sejam aplicados e salvaguardados os direitos específicas dos indivíduos em causa.
São direitos como por exemplo, receber informações sobre a lógica envolvida e as consequências do processamento dos seus dados.
RGPD exige aos senhorios que retirem os nomes dos inquilinos das campainhas
De facto, o RGPD não exige que os nomes sejam removidos das campainhas ou caixas de correio. Consentimento é apenas uma das bases legais sobre as quais os dados podem ser processados no âmbito do RGPD.
Neste caso aplica-se a regra do “interesse legítimo”, já que as pessoas precisam de saber quem vive num determinado apartamento. Não só para poderem entrar em contato com a pessoa em questão como para se poder distribuir a correspondência.
Se os nomes das campainhas estão no contrato de arrendamento então esse mesmo contrato é considerado a base jurídica para o poderem fazer.
Ou seja, o consentimento não é a única base legal para o processamento de dados.
RGPD é esmagador para os pequenos negócios
O RGPD não se destina a sobrecarregar as PME. As obrigações são calibradas para o tamanho do negócios e/ou a natureza dos dados a ser processados.
Empresas menores, processam menos dados e não utilizam dados sensíveis. Tais como opiniões políticas e orientação sexual e por isso terão menos obrigações a seguir.
Por exemplo, nem todas as empresa tem que indicar um Responsável pela proteção de dados ou realizar uma avaliação de impacto da proteção de dados.
De facto, as obrigações não são as mesmas para todas as empresas e organizações
RGPD torna o jornalismo mais difícil
As novas regras de proteção de dados têm em conta a liberdade de imprensa. Isso significa que os jornalistas ainda são capazes de fazer o seu trabalho e proteger as suas fontes.
Os membro da UE devem, quando necessário, prever isenções ou derrogações à imprensa nas suas leis nacionais.
De facto, o RGPD suporta e promove a liberdade de imprensa.
RGPD empresas pedem consentimento e depois fazerem o que querem
O RGPD afirma que os dados pessoais não podem ser usados sem o consentimento da pessoa em causa.
Se uma empresa recolher dados de uma pessoa para um determinado propósito e, em seguida, os utilizar para outra finalidade, ou encaminhar a terceiros, deve pedir o consentimento da pessoa novamente.
Se o seu consentimento foi solicitado para processar os seus dados, então pode, a qualquer momento, pedir que a organização pare de os processar retirando os seu consentimento.
Eles devem fazê-lo imediatamente já que retirou o seu consentimento para poderem processar os seus dados.
Ou seja, as empresas precisam de pedir o consentimento uma segunda vez se quiserem utilizar os seus dados para um segundo propósito.
RGPD não tem de ser cumprido pelo Facebook porque a sede é nos E.U.A
Todas as empresas que operam no mercado da UE terão de cumprir as novas regras, Não importa onde eles estão baseados e onde as suas atividades de processamento de dados são feitas.
Todas as empresas estarão sujeitas às mesmas sanções se violarem as regras. Isso cria condições equitativas para as empresas da UE e de países terceiros.
As empresas não pertencentes à UE também têm de cumprir.
RGPD dificulta as campanhas políticas
O RGPD não proíbe partidos políticos e grupos de campanha de processarem os seus dados pessoais para fins políticos. Mas as regras esclarecem que só podem fazer isso por razões de interesse público e desde que sejam estabelecidas seguranças adequadas.
Os partidos políticos podem processar dados para campanhas – mas apenas para razões de interesse público.
RGPD é complicado por isso é necessário tempo para nos adaptarmos
Quando o RGPD entrou em vigor em 24 de maio de 2016, foi concedido um período de transição de dois anos. Isto foi sobretudo para que as empresas tivessem tempo para adequarem as suas práticas às novas regras.
Esta transição terminou em 25 de maio de 2018. A partir dessa data, as autoridades de supervisão podem sancionar aqueles que não estão em conformidade com as novas regras.
2 anos não foi tempo suficiente?
RGPD tem multas que podem fechar um negócio
O RGPD estabelece uma série de penalidades para quem infringe as regras.
Assim como multas, existem outras medidas corretivas como advertências, repreensões e ordens para atender às solicitações dos utilizadores.
São normalmente aplicadas pelas autoridades de supervisão da proteção de dados.
A decisão de aplicar coimas deve ser proporcional e baseada na avaliação de todas as as circunstâncias do caso individual.
Se decidirem aplicar uma multa, então 20 € milhões ou 4% do volume de negócios anual é o valor máximo absoluto.
Ou seja, o valor multa depende das circunstâncias do caso individual, incluindo a gravidade da infracção ou se a infracção foi intencional ou negligente.
Quebrar as regras não significa automaticamente 20 milhões de euros, antes ainda existem os avisos.
RGPD vai arruinar com o Natal
É correto dizer que as regras do RGPD foram criadas para proteger os seus dados pessoais
que são utilizados sem a sua permissão. Mas essas regras em nada impedem as crianças de pedirem publicamente ao Pai Natal o que querem para o Natal.
Cabe por isso aos pais decidirem se os seus filhos podem ou não partilhar sua lista de desejos publicamente ou não.
O RGPD não impede as crianças de escreverem cartas ao Pai Natal.
Photo by Maarten van den Heuvel on Unsplash
9 – GLOSSÁRIO
Consentimento do titular dos dados
Uma manifestação de vontade, livre, específica, informada e explícita. Através da qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
Dados biométricos
Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular. Permitam ou confirmam a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos.
Dados genéticos
Os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular. São dados que resultam designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa.
Dados pessoais
Informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador. Como por exemplo um nome, um número de identificação, dados de localização ou identificadores por via eletrónica. Ou então um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Dados relativos à saúde
Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.
Dados sensíveis
São dados pessoais que estão sujeitos a condições de tratamento específicas. Entre eles:
- Dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
- Filiação sindical;
- Dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;
- Dados relacionados com a saúde;
- Dados relativos à vida sexual ou orientação sexual da pessoa.
Encarregado de Proteção de Dados (EPD)
Figura responsável pela conformidade em matéria de proteção de dados. Pode ser um funcionário da empresa ou um consultor externo. Facilita a conformidade através da implementação de instrumentos de responsabilização. Viabiliza por exemplo, avaliações de impacto sobre a proteção de dados e efetuando ou viabilizando auditorias).
Os EPD servem de intermediários entre as partes interessadas. Ou seja, as autoridades de controlo, os titulares de dados e as unidades empresariais dentro de uma organização).
Limitação do tratamento
A inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro.
Responsável pelo tratamento (data controller)
A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.
Isto sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro. O responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
Subcontratante (data processor)
Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
Tratamento
Uma operação ou um conjunto de operações efetuadas sobre dados pessoais. Ou então sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, como por exemplo:
- recolha
- registo
- organização
- estruturação
- conservação
- adaptação
- alteração
- recuperação
- consulta
- utilização
- divulgação
- transmissão
- difusão
- disponibilização
- comparação
- interconexão
- limitação
- apagamento
- destruição.
Violação de dados pessoais
Uma violação da segurança é algo que provoca, de modo acidental ou ilícito o seguinte aos dados pessoais. Que podem ter sido transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento:
- Destruição;
- Perda;
- Alteração;
- Divulgação (não autorizada);
- Acesso (não autorizado).
Photo by Cytonn Photography on Unsplash
9 – CONCLUSÕES
Estar em conformidade com o RGPD não é uma questão que deve ser tomada de ânimo leve, conforme descrevemos no conteúdo deste artigo.
De facto o não cumprimento implica a risco de duras multas às organizações que negligenciam a privacidade e a proteção dos dados pessoais dos utilizadores.
Além disso, também representa um sério risco em termos de imagem da empresa. Afeta sobretudo a competitividade da empresa no mercado e a qualidade geral dos serviços que oferece.
No entanto, as organizações não devem considerar essa regulamentação como uma estipulação. Mas sim como uma oportunidade de obter vantagem sobre os concorrentes no mercado totalmente regulamentado do futuro.
Servirá sobretudo para desenvolver a lealdade e confiança do cliente e aprimorar seus sistemas de gestão de dados.
O Regulamento Geral de Proteção de Dados é um grande passo para o futuro brilhante do moderno mercado de dados pessoais.
Talvez num próximo artigo, falemos mais sobre a conformidade com o RGPD no desenvolvimento de software e web.
Quais os requisitos de projeto e controle de qualidade quando em conformidade com as regras do RGPD.
Podemos dar dicas e conselhos técnicos, bem como exemplos de boas práticas de RGPD.
Precisa de software compatível com RGPD ou serviços de desenvolvimento web?
Entre em contato e nós ajudaremos.
Fonte: Ekonomista
