Construimos e desenhamos o seu site  - Grow Under - Website Development

Como preparar o RGPD - Regulamento Geral de Protecção de Dados

Preparar o RGPD

4 5

Votação deste artigo: 5 Votos, média: 4 de 5
 

A entrada em vigor do Regulamento Geral de Protecção de Dados (RGPD) está à porta. Veja como preparar a sua empresa para ficar em conformidade com a nova Lei.

O Regulamento Geral de Protecção de Dados (RGPD), que vai entrar em vigor em 2018, substituindo a actual Lei de Protecção de Dados Pessoais, acarreta mudanças significativas com reflexos na vida das empresas, independentemente da sua área de negócio ou dimensão.

Um dos aspectos-chave do RGPD é que coloca o "peso" da responsabilidade sobre a protecção dos dados pessoais, que até agora era competência da Comissão Nacional de Protecção de Dados (CNPD), nas próprias empresas e nas organizações públicas e privadas. Assim, estas terão impreterivelmente que tomar medidas para ficar em conformidade com a Lei, sob pena de pesadas multas.

Fique por dentro de tudo o que precisa de saber sobre o RGPD para não ser apanhado desprevenido, quando a Lei entrar em vigor.

Porque surgiu o RGPD

O RGPD surge no âmbito da globalização e das evoluções tecnológicas verificadas nos tempos mais recentes, com o intuito de garantir aos cidadãos maior segurança, em termos dos seus dados pessoais. Assim, de uma forma genérica, determina uma vigilância mais apertada quanto à origem, armazenamento, tratamento e acesso a dados pessoais como informações sobre cartões de crédito e sobre saúde, entre outras.

O objectivo é também harmonizar as normas e procedimentos relativamente à informação preservada pelas empresas em todos os Estados-membro da União Europeia (UE). Todavia, o RGPD vai ter implicações em todo o mundo, afectando não só as empresas da UE, mas também as que, fora da UE, prestem serviços ou vendam bens a cidadãos residentes no espaço comunitário europeu.

Quando entra em vigor o RGPD

O RGPD entra em vigor a 25 de Maio de 2018. Antes disso, até 6 de Maio, os Estados-membro da UE devem adoptar e publicar as normas legislativas e administrativas exigidas para cumprir a directiva 2016/680 do Parlamento Europeu e do Conselho Europeu de 27 de Abril de 2016, quanto à Protecção de Dados Pessoais.

Âmbito de aplicação do RGPD

O novo Regulamento abrange o tratamento de dados pessoais de cidadãos, independentemente de onde morem ou da sua nacionalidade, que estejam preservados em ficheiros e que sejam tratados, de forma manual ou automática, no âmbito da actividade de uma empresa, das tarefas de um responsável dessa empresa ou de um sub-contratado ("Data Processor") pela mesma, seja esse tratamento feito dentro ou fora da UE.

Sanções por incumprimento

As empresas que não cumpram o RGPD arriscam-se a ser severamente multadas pelas autoridades de supervisão. As sanções podem chegar aos 20 milhões de euros para grandes empresas.

Além disso, as empresas arriscam-se a ser responsabilizadas e penalizadas por eventuais danos causados pela indevida aplicação do RGPD. Podem ser condenadas a indemnizar os cidadãos afectados, seja por danos materiais ou imateriais.

O que fazer para a conformidade com o RGPD

Eis algumas das medidas que as empresas devem começar já a tomar para se irem adaptando ao RGPD...

  • Sistema de registo de dados

Proceder à identificação de todos os dados que são recolhidos, da sua origem, determinar para que servem e com quem são partilhados. Fazer o "mapa" desses dados, agrupando-os por categorias, nomeadamente quanto aos riscos de protecção e conservação. Este processo permite também fazer o levantamento do que deve ser feito, para adaptação ao RGPD, bem como comprovar que todas as normas da nova Lei serão cumpridas.

O RGPD determina que todos as acções de tratamento dos dados sejam registadas, de forma detalhada, nos seguintes casos: empresas que tenham mais de 250 trabalhadores; se esse tratamento implicar riscos para os titulares dos dados; se não for um tratamento ocasional; se os dados forem sobre condenações ou infracções. Esses registos devem incluir toda a informação sobre o processo, desde os nomes do responsável pelo tratamento e do encarregado de protecção de dados, até à finalidade desse tratamento, passando pelas categorias de dados e pelos seus destinatários.

  • Consentimento dos titulares dos dados

É preciso rever a política de privacidade de modo a confirmar que os procedimentos estão em conformidade com o RGPD, nomeadamente para perceber se o consentimento dos titulares dos dados pessoais continuará válido. É importante que esse consentimento seja feito de forma clara, por via oral ou escrita, com conhecimento informado do titular dos dados, de modo a poder confirmar-se, de forma inequívoca, que esse consentimento foi dado. Pode ser necessário obter, junto do titular dos dados, novo consentimento de modo a estar em conformidade com o RGPD.

  • Novos direitos dos titulares dos dados

O RGPD obriga as empresas a garantirem aos titulares dos dados que armazenam e tratam o "direito de portabilidade", que visa facilitar a transmissão de dados pessoais entre prestadores de serviços, e que pode implicar a implementação de medidas para permitir o download directo desses dados.

O acesso facilitado aos dados é outras das medidas previstas - os titulares dos dados podem pedir às empresas uma cópia das informações que estas dispõem sobre eles. E, da mesma forma, podem solicitar o "apagamento" dos seus dados pessoais, no que se chama o "direito ao esquecimento". Neste caso, há excepções que estão relacionadas com obrigações legais e/ou o interesse e a saúde públicos.

Os cidadãos também têm o direito de saber se os seus dados pessoais foram violados, nomeadamente por acções de pirataria informática. Nesses casos, as empresas são obrigadas a reportarem aos titulares situações de violação grave dos seus dados pessoais. Ao mesmo tempo, têm que informar a CNPD sobre esses incidentes.

  • Formação e Consciencialização dos Recursos Humanos

As empresas devem levar a cabo formações internas no sentido de consciencializar e de preparar os funcionários para as implicações e normas do RGPD. A organização empresarial pode também ter que estar apta para enquadrar na sua estrutura um Encarregado de Protecção de Dados (EPD) - a definição desta função, que visa centralizar todas as questões relacionadas com o RGPD, é obrigatória para entidades públicas (excepto tribunais); para actividades onde haja um controle sistemático e frequente dos titulares dos dados e em larga escala, como são os casos das empresas de telecomunicações e os bancos; para casos de tratamento de dados especiais, como genéticos, biométricos e de saúde, ou ainda de condenações penais e infracções.

  • "Privacy by Design"

As empresas devem adoptar medidas internas, técnicas e organizacionais, que definam, de forma transparente e criteriosa, todo o processo de tratamento dos dados pessoais "desde a concepção", isto é, desde o início do registo. É a chamada "Privacy by Design" que permite acompanhar com detalhe todos os procedimentos efectuados, para garantir que não há falhas na conformidade com o RGPD.

  • "Data Minimization"

Importa que as organizações assegurem, por via de procedimentos técnicos claros, que, "por defeito", só sejam registados e tratados os dados pessoais estritamente necessários para cada fim estipulado - é o princípio da "Privacy by Default" ou da "Data Minimization". A medida abrange a quantidade dos dados, a forma do seu tratamento, o prazo de conservação e o acesso a esses mesmos dados.

  • Revisão e actualização das normas de segurança

Para dar cumprimento aos critérios do RGPD, é imperioso que as empresas revejam as suas medidas de segurança no tratamento de dados. Entre os requisitos técnicos previstos estão a pseudonimização (substituir campos de identificação por identificadores artificiais) e a cifragem (ou codificação) dos dados pessoais; a garantia da confidencialidade, integridade, disponibilidade e resiliência permanentes das infraestruturas tecnológicas e dos serviços de tratamento; o restabelecimento atempado dos dados em caso de incidentes físicos ou técnicos; a realização de Avaliações de Impacto de Protecção de Dados (DPIAs), nos casos de dados de "alto risco". Nem todas as empresas estão obrigadas a cumprir estes requisitos todos, e podem até adoptar outros critérios, mas caso não assumam qualquer medida, arriscam-se a ser gravemente sancionadas perante uma situação de violação de dados devido a razões de segurança. 

  • Transferências transfronteiriças de dados

O RGPD também se aplica às empresas que não integram a UE, sempre que estejam em causa dados pessoais alusivos a cidadãos que residem no espaço comunitário europeu. Assim, as actuais regras para as transferências internacionais de dados são reforçadas com o RGPD. Às actuais "cláusulas contratuais-tipo" e ao consentimento do titular, que se mantêm, acrescem as chamadas "regras vinculativas" que implicam tanto os responsáveis pelo tratamento dos dados, como os sub-contratantes. O "Escudo de Protecção da Privacidade" de dados UE-EUA é outra das novas soluções imposta pelo RGPD.

Saiba mais dicas úteis

Sites estáticos vs sites dinâmicos

Os sites podem dividir-se entre sites estáticos e sites dinâmicos. Existe uma grande distinção entre os dois e é isso que vou explicar de seguida...

Jogar Pokemon Go em segurança com estas dicas anti malware

O Pokemon Go já conquistou milhões de pessoas em todo o mundo. Mas as "caçadas" por Pokemons no jogo de realidade aumentada podem sair muito caro aos jogadores por causa do malware e das questões de segurança.

PrestaShop vs OpenCart: o melhor para um site de vendas online

Descubra quem ganha duelo PrestaShop vs OpenCart como melhor plataforma para vendas online. Conheça funcionalidades destas soluções open source para criar sites de compras online.

Garantia de Satisfação

Satisfação de Clientes

Os nossos clientes mantêm uma relação próxima com a Grow Under, tendo sempre resposta imediata para todos os problemas.

Contactos

+351 914 132 130

info@growunder.com

Avenida Barbosa du Bocage 87 - 4 1050-030 Lisboa - Portugal

Direitos de autor © 2018 Grow Under - Gestão de sites - Formaçao em Joomla. Todos os direitos reservados.