1 – O que é o RGPD?
O Regulamento Geral de Proteção de Dados (RGPD – Regulamento UE 2016/679) é um regulamento aprovado pela Comissão Europeia em Maio de 2016, que tem como propósito regular a matéria da proteção de dados das pessoas singulares.
Este regulamento irá determinar a forma das empresas obterem, utilizarem, armazenarem e eliminarem os dados pessoais que têm à sua disposição, tendo o objetivo impedir a utilização e manutenção não consensual desses mesmos dados, por parte do seu detentor.
O impacto deste regulamento, tanto nas empresas como nas pessoas, é bastante significativo e complexo, criando novas obrigações para as entidades que tratem dados pessoais e estabelecendo um novo paradigma no tratamento desses mesmos dados.
Como tal, urge o seu cabal conhecimento uma vez que a sua aplicação é obrigatória.
2 – A minha empresa está abrangida por este Regulamento?
Em maio de 2016, foi realizado um inquérito coordenado pelo IAPMEI (Instituto de Apoio às Pequenas e Médias empresas e à Inovação), onde se concluiu que apenas 4,8% das empresas portuguesas conhece detalhadamente quais as principais obrigações decorrentes das alterações do RGPD.
De facto, o conhecimento deste regulamento torna-se essencial uma vez que é aplicável a todos os responsáveis (entidades públicas e privadas) pelo tratamento de dados pessoais que se encontrem estabelecidos na UE, bem como a empresas que, não estando sediadas na UE, tratem dados de cidadãos da UE.
Caso a sua empresa tenha à sua disposição, qualquer tipo de dados pessoais de pessoas singulares, está obrigada a adotar as medidas necessárias ao cumprimento do regulamento.
3 – Quando entra em vigor o Regulamento?
Apesar do RGPD ter sido aprovado em Maio de 2016, foi estabelecido um período de adaptação para as empresas que vigorará durante 2 anos, por forma a possibilitar- lhes a adoção das medidas necessárias e adequadas ao cumprimento do regulamento.
No caso de a sua empresa não o ter efetuado até agora, terá até 25 de Maio de 2018 para o realizar.
4 – Quais as principais alterações do RGPD?
Com a entrada em vigor do RGPD, as organizações que efetuem tratamento de dados deverão ter maior acuidade e transparência nesta matéria. Para tal, os titulares de dados pessoais têm à sua disposição um conjunto de direitos nomeadamente:
- direito à informação – possibilidade de o titular dos dados obter toda a informação sobre quais os dados que a entidade tem sobre si;
- direito ao acesso – possibilidade de o titular dos dados ter acesso aos dados pessoais que as entidades tenham sobre si;
- direito de limitar o tratamento – possibilidade de o titular dos dados pedir que o tratamento destes dados seja restringido;
- direito de se opor – possibilidade de o titular dos dados se opor à cessão dos seus dados pessoais;
- direito à portabilidade – possibilidade de o titular solicitar que o responsável pelo tratamento dos seus dados os comunique a outra entidade;
- direito de eliminar – possibilidade de o titular dos dados requerer que os seus dados sejam eliminados;
- direito de comunicação de data breach – possibilidade de o titular dos dados ser comunicado pela entidade detentora dos seus dados, de que ocorreu uma violação de dados na sua organização e que os seus dados foram objeto dessa violação;
5 – Quais as principais obrigações para minha empresa?
A sua organização deverá tomar as medidas necessárias ao conveniente tratamento de dados pessoais de que disponha.
Para tal deverá reforçar as medidas de segurança, proceder ao registo de atividades, comunicar violações de dados pessoais, nomear um Encarregado de Dados Pessoais (DPO), e efetuar o impacto sobre a proteção de dados pessoais.
Em rigor, tais medidas consubstanciam-se, entre outras, em:
- Obter por parte do titular dos dados o seu consentimento livre, explícito e informado para o tratamento do dados;
- Dotar a sua empresa de um programa que permita o armazenamento dos dados recolhidos por forma a que seja possível perceber qual a finalidade da recolha e do tratamento dos dados;
- Adotar novas práticas e medidas de segurança aplicáveis a todas as categorias de dados pessoais nomeadamente através da pseudonimização e cifragem de dados pessoais;
- Assegurar que a sua empresa adotou medidas capazes de assegurar a confidencialidade, integridade e disponibilidade dos serviços de tratamento de dados;
- No caso de violação de dados pessoais garantir que a empresa é capaz de restabelecer a segurança dos dados;
- Reportar à CNPD qualquer violação de dados pessoais que a sua empresa seja alvo no prazo de 72 horas;
- Registar as atividades de todos os utilizadores que acedam a dados pessoais;
- Limitar o acesso de todos aqueles que, dentro da sua organização, não devem ter acesso a tal informação;
6 – O que significa tratamento de dados pessoais?
O tratamento de dados pessoais, como o próprio nome indica, significa realizar qualquer operação com este tipo de dados, independentemente do meio utilizado.
São alguns exemplos de tratamento de dados pessoais, o armazenamento, a gravação, a consulta, a utilização, a divulgação ou até mesmo a destruição de qualquer tipo dados à disposição da sua empresa.
Se a sua organização se insere neste conceito, e se está a realizar alguma ação relacionada com o processamento de dados pessoais, então está obrigada a adotar as medidas necessárias ao cumprimento do RGPD.
7 – E o que se consideram dados pessoais?
Consideram-se dados pessoais qualquer tipo de informações que a sua empresa possua, e que possam ser ou estar relacionadas à identidade de uma determinada pessoa. Isto é, qualquer tipo de informação respeitante ao titular dos dados pessoais que esteja na disponibilidade da sua organização, sendo esse titular uma pessoa individual identificada ou identificável.
Os dados pessoais podem ser de natureza iminentemente pessoal como por exemplo o nome completo, a morada, o n.º do cartão do cidadão, o NIF entre outros, ou dados tecnológicos como por exemplo dados de localização como GPS, dados biométricos, dados bancários.
Ainda podemos distinguir estes dados, dos dados sensíveis nomeadamente convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, origem racial ou étnica etc.
8 – Tenho que contratar um Encarregado de Proteção de Dados (DPO)?
A nomeação de um DPO apenas é necessária, se o tratamento de dados for efetuado por uma entidade ou organismo público (à exceção dos tribunais) que efetue tratamento de dados em grande escala ou que realize tratamento de dados de categorias especiais, e/ou relacionados com condenações penais e infrações.
No caso de reunir estes requisitos, a sua organização deverá adotar as medidas necessárias ao cumprimento do RGPD.
9 – Quais as sanções em que a minha empresa incorrerá caso não cumpra o RGPD?
As coimas podem variar.
Poderá ser aplicada uma coima à sua organização no valor de 10 milhões de euros ou de 2% do volume mundial de negócios no caso de infrações menos graves, ou de 20 milhões de euros ou 4% do volume mundial de negócios no caso de infrações mais graves.
A entidade competente para aplicação da sanção é a Comissão Nacional de Proteção de Dados, que o efetuará após realizar uma ação de fiscalização.
10 – Em que medida o Conselhos do Consultor poderá auxiliar minha empresa?
Fizemos uma parceria com a UTTER – Business & Consulting, uma equipa com experiência e Know-how na área da Privacidade e Proteção de Dados, que ajudará a sua empresa a adaptar-se ao RGPD, efetuando, para tal, um diagnóstico inicial, mapeamento de informação, avaliação do impacto de privacidade, elaboração de Gap Analisys e realização de propostas de recomendações.
Após esta fase, a nossa equipa prestará ainda acompanhamento, tanto na implementação dos procedimentos recomendados, como nas novas práticas diárias que a sua empresa deverá adotar, para que consiga cumprir todas as obrigações emergentes do regulamento.
Tem ainda à sua disposição um parceiro estratégico na área da Cibersegurança, Compliance e Privacidade, que, em sinergia com a UTTER – Business & Consulting, potenciará uma resposta cabal em toda a linha no processo de adaptação ao RGPD, por forma a evitar as avultadas sanções que dele decorrem.