Como preparar o RGPD (Regulamento Geral da Proteção de Dados)?
A entrada em vigor do Regulamento Geral de Protecção de Dados (RGPD) está à porta. Veja como preparar a sua empresa para ficar em conformidade com a nova Lei.
O Regulamento Geral de Protecção de Dados (RGPD), que vai entrar em vigor em 2018, substituindo a actual Lei de Protecção de Dados Pessoais, acarreta mudanças significativas com reflexos na vida das empresas, independentemente da sua área de negócio ou dimensão.
Um dos aspectos-chave do RGPD é que coloca o "peso" da responsabilidade sobre a protecção dos dados pessoais, que até agora era competência da Comissão Nacional de Protecção de Dados (CNPD), nas próprias empresas e nas organizações públicas e privadas. Assim, estas terão impreterivelmente que tomar medidas para ficar em conformidade com a Lei, sob pena de pesadas multas.
Fique por dentro de tudo o que precisa de saber sobre o RGPD para não ser apanhado desprevenido, quando a Lei entrar em vigor.
Porque surgiu o RGPD
O RGPD surge no âmbito da globalização e das evoluções tecnológicas verificadas nos tempos mais recentes, com o intuito de garantir aos cidadãos maior segurança, em termos dos seus dados pessoais. Assim, de uma forma genérica, determina uma vigilância mais apertada quanto à origem, armazenamento, tratamento e acesso a dados pessoais como informações sobre cartões de crédito e sobre saúde, entre outras.
O objectivo é também harmonizar as normas e procedimentos relativamente à informação preservada pelas empresas em todos os Estados-membro da União Europeia (UE). Todavia, o RGPD vai ter implicações em todo o mundo, afectando não só as empresas da UE, mas também as que, fora da UE, prestem serviços ou vendam bens a cidadãos residentes no espaço comunitário europeu.
Quando entra em vigor o RGPD
O RGPD entra em vigor a 25 de Maio de 2018. Antes disso, até 6 de Maio, os Estados-membro da UE devem adoptar e publicar as normas legislativas e administrativas exigidas para cumprir a directiva 2016/680 do Parlamento Europeu e do Conselho Europeu de 27 de Abril de 2016, quanto à Protecção de Dados Pessoais.
Âmbito de aplicação do RGPD
O novo Regulamento abrange o tratamento de dados pessoais de cidadãos, independentemente de onde morem ou da sua nacionalidade, que estejam preservados em ficheiros e que sejam tratados, de forma manual ou automática, no âmbito da actividade de uma empresa, das tarefas de um responsável dessa empresa ou de um sub-contratado ("Data Processor") pela mesma, seja esse tratamento feito dentro ou fora da UE.
Sanções por incumprimento
As empresas que não cumpram o RGPD arriscam-se a ser severamente multadas pelas autoridades de supervisão. As sanções podem chegar aos 20 milhões de euros para grandes empresas.
Além disso, as empresas arriscam-se a ser responsabilizadas e penalizadas por eventuais danos causados pela indevida aplicação do RGPD. Podem ser condenadas a indemnizar os cidadãos afectados, seja por danos materiais ou imateriais.
O que fazer para a conformidade com o RGPD
Eis algumas das medidas que as empresas devem começar já a tomar para se irem adaptando ao RGPD...
- Sistema de registo de dados
Proceder à identificação de todos os dados que são recolhidos, da sua origem, determinar para que servem e com quem são partilhados. Fazer o "mapa" desses dados, agrupando-os por categorias, nomeadamente quanto aos riscos de protecção e conservação. Este processo permite também fazer o levantamento do que deve ser feito, para adaptação ao RGPD, bem como comprovar que todas as normas da nova Lei serão cumpridas.
O RGPD determina que todos as acções de tratamento dos dados sejam registadas, de forma detalhada, nos seguintes casos: empresas que tenham mais de 250 trabalhadores; se esse tratamento implicar riscos para os titulares dos dados; se não for um tratamento ocasional; se os dados forem sobre condenações ou infracções. Esses registos devem incluir toda a informação sobre o processo, desde os nomes do responsável pelo tratamento e do encarregado de protecção de dados, até à finalidade desse tratamento, passando pelas categorias de dados e pelos seus destinatários.
- Consentimento dos titulares dos dados
É preciso rever a política de privacidade de modo a confirmar que os procedimentos estão em conformidade com o RGPD, nomeadamente para perceber se o consentimento dos titulares dos dados pessoais continuará válido. É importante que esse consentimento seja feito de forma clara, por via oral ou escrita, com conhecimento informado do titular dos dados, de modo a poder confirmar-se, de forma inequívoca, que esse consentimento foi dado. Pode ser necessário obter, junto do titular dos dados, novo consentimento de modo a estar em conformidade com o RGPD.
- Novos direitos dos titulares dos dados
O RGPD obriga as empresas a garantirem aos titulares dos dados que armazenam e tratam o "direito de portabilidade", que visa facilitar a transmissão de dados pessoais entre prestadores de serviços, e que pode implicar a implementação de medidas para permitir o download directo desses dados.
O acesso facilitado aos dados é outras das medidas previstas - os titulares dos dados podem pedir às empresas uma cópia das informações que estas dispõem sobre eles. E, da mesma forma, podem solicitar o "apagamento" dos seus dados pessoais, no que se chama o "direito ao esquecimento". Neste caso, há excepções que estão relacionadas com obrigações legais e/ou o interesse e a saúde públicos.
Os cidadãos também têm o direito de saber se os seus dados pessoais foram violados, nomeadamente por acções de pirataria informática. Nesses casos, as empresas são obrigadas a reportarem aos titulares situações de violação grave dos seus dados pessoais. Ao mesmo tempo, têm que informar a CNPD sobre esses incidentes.
- Formação e Consciencialização dos Recursos Humanos
As empresas devem levar a cabo formações internas no sentido de consciencializar e de preparar os funcionários para as implicações e normas do RGPD. A organização empresarial pode também ter que estar apta para enquadrar na sua estrutura um Encarregado de Protecção de Dados (EPD) - a definição desta função, que visa centralizar todas as questões relacionadas com o RGPD, é obrigatória para entidades públicas (excepto tribunais); para actividades onde haja um controle sistemático e frequente dos titulares dos dados e em larga escala, como são os casos das empresas de telecomunicações e os bancos; para casos de tratamento de dados especiais, como genéticos, biométricos e de saúde, ou ainda de condenações penais e infracções.
- "Privacy by Design"
As empresas devem adoptar medidas internas, técnicas e organizacionais, que definam, de forma transparente e criteriosa, todo o processo de tratamento dos dados pessoais "desde a concepção", isto é, desde o início do registo. É a chamada "Privacy by Design" que permite acompanhar com detalhe todos os procedimentos efectuados, para garantir que não há falhas na conformidade com o RGPD.
- "Data Minimization"
Importa que as organizações assegurem, por via de procedimentos técnicos claros, que, "por defeito", só sejam registados e tratados os dados pessoais estritamente necessários para cada fim estipulado - é o princípio da "Privacy by Default" ou da "Data Minimization". A medida abrange a quantidade dos dados, a forma do seu tratamento, o prazo de conservação e o acesso a esses mesmos dados.
- Revisão e actualização das normas de segurança
Para dar cumprimento aos critérios do RGPD, é imperioso que as empresas revejam as suas medidas de segurança no tratamento de dados. Entre os requisitos técnicos previstos estão a pseudonimização (substituir campos de identificação por identificadores artificiais) e a cifragem (ou codificação) dos dados pessoais; a garantia da confidencialidade, integridade, disponibilidade e resiliência permanentes das infraestruturas tecnológicas e dos serviços de tratamento; o restabelecimento atempado dos dados em caso de incidentes físicos ou técnicos; a realização de Avaliações de Impacto de Protecção de Dados (DPIAs), nos casos de dados de "alto risco". Nem todas as empresas estão obrigadas a cumprir estes requisitos todos, e podem até adoptar outros critérios, mas caso não assumam qualquer medida, arriscam-se a ser gravemente sancionadas perante uma situação de violação de dados devido a razões de segurança.
- Transferências transfronteiriças de dados
O RGPD também se aplica às empresas que não integram a UE, sempre que estejam em causa dados pessoais alusivos a cidadãos que residem no espaço comunitário europeu. Assim, as actuais regras para as transferências internacionais de dados são reforçadas com o RGPD. Às actuais "cláusulas contratuais-tipo" e ao consentimento do titular, que se mantêm, acrescem as chamadas "regras vinculativas" que implicam tanto os responsáveis pelo tratamento dos dados, como os sub-contratantes. O "Escudo de Protecção da Privacidade" de dados UE-EUA é outra das novas soluções imposta pelo RGPD.