RGPD
O RGPD consiste numa regulamentação que se encontra em vigor nos países da União Europeia desde 2016 - Regulamento (EU) 2016/679, de 27 de abril de 2016. Substitui a atual lei de proteção de dados pessoais e cria um quadro legal comum para os vários Estados-Membros. A sua obrigatoriedade aplica-se a partir de 25 de Maio de 2018.
Objetivo
Visa garantir a privacidade e integridade dos dados dos consumidores da UE e definir que todos os cidadãos têm o direito de saber como os seus dados estão a ser usados e de exigir a eliminação dos seus dados, se tal for solicitado.
A quem se Aplica?
Às empresas estabelecidas na União Europeia, independentemente do tratamento dos dados pessoais a decorrer dentro ou fora da União.
O que muda?
As empresas terão de garantir políticas de segurança e proteção de dados mais eficientes, para se ajustarem em conformidade total com o RGPD. Tais mudanças variam de acordo com o seu setor de atividade, dimensão, nível de dados pessoais e tratamento dos mesmos. Implica a revisão de processos e implementação de medidas tecnológicas.
-
Direito à comunicação transparente
(artigos 5.º, 12.º, 13.º e 14.º)
O pedido de dados aos respetivos titulares (num formulário ou para efeitos de recrutamento, por exemplo) deve ser feito com uma linguagem simples e clara, indicando que dados estão a ser requeridos, com que fundamento, para que efeito, durante quanto tempo vão ser guardados, qual a entidade e quais os contactos do responsável pelo tratamento dos mesmos (pessoa coletiva ou individual).
-
Direito ao consentimento
(artigos 7.º e 8.º)
Assegure que os dados pessoais recolhidos têm o consentimento expresso do titular, definindo o Aviso Prévio com o respetivo campo de autorização.
-
Direito de acesso do titular dos dados
(artigo 15.º)
Qualquer titular de dados pessoais armazenados na sua empresa tem o direito de pedir o acesso à informação que possui sobre ele.
-
Direito à retificação dos dados
(artigos 5.º n.º 1 e 16.º)
Um cliente seu quer ver retificado determinado dado, como a morada? A empresa deverá fazê-lo da forma mais célere possível.
-
Direito ao esquecimento
(artigo 17.º)
Qualquer pessoa pode indicar que deseja ser “esquecida” de uma organização. Lembre-se, no entanto, de validar a identidade do requerente antes de confirmar o “esquecimento”.
-
Direito à portabilidade e transmissão dos dados
(artigo 20.º)
Com o RGPD, as empresas estão obrigadas a fornecer os dados pessoais num formato legível e atual, caso o titular assim o peça, para que possam ser usados por outra entidade. Deverá fazê-lo num período de tempo aceitável.
-
Registo das atividades de tratamento de dados pessoais
(artigo 30.º)
Defina processos internos para que, de cada vez que um colaborador utiliza dados pessoais de um titular (por exemplo, para enviar um e-mail ou fazer um telefonema comercial), indique expressamente quando o fez e com que finalidade.
-
Acessos condicionados a dados pessoais e dados sensíveis
Criação de níveis diferenciados de acesso aos diferentes registos para os seus colaboradores.
FAQ
É toda e qualquer informação que permita identificar uma pessoa singular de forma direta ou indireta.
- Diretos: são dados que permitem, por si só, identificar de forma imediata o titular (ex.: nome, e-mail, fotografia);
- Indiretos: são dados que permitem identificar uma pessoa se forem complementados com outros dados ou informação (ex.: data de nascimento, código postal e género).
Subcategorias de dados pessoais:
- Dados sensíveis (ex.: etnia, saúde, religião, orientação sexual do titular);
- Dados legais: não podem ser esquecidos porque necessitam de existir para dar resposta a determinadas imposições legais. Não serão apagados.
Quando vamos ao supermercado e cedemos o NIF para tratar os nossos dados ou quando compramos um automóvel isto constitui o cumprimento de uma obrigação legal (há emissão da fatura) logo esses dados não vão ser trabalhados, só se consideram para efeitos das Finanças.
- Titular dos Dados: é qualquer pessoa singular identificada ou identificável.
- Data Controller: responsável pelo tratamento dos dados pessoais.
- Data Processor: ou entidade subcontratante: quem trate os dados pessoais.
- Entidade Terceira: não sendo o titular de dados, sob autoridade direta do responsável pelo tratamento esteja autorizado a tratar os dados.
- Encarregado de Proteção dos Dados - DPO (Data Protection Officer)
No caso dos clientes o consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente o tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral.
Ex.: Se uma pessoa envia um currículo a uma empresa ela tem o direito a saber o que a mesma fará com os seus dados. Neste caso deve-se comunicar o tempo durante o qual o currículo vai ser guardado ou indicar que o mesmo vai ser destruído. A empresa pode adotar um formulário ou o candidato poderá escrever, à mão, que autoriza o tratamento de dados. Gravar um telefonema com o consentimento do cliente pode ser uma opção sendo que se ocorrer uma fiscalização esta terá acesso ao gravador de chamadas.
-Devem fazer uma inventariação e catalogação dos dados que já possua e apagar os dados que não usam.
- Rever os contratos e validar a conformidade dos fornecedores subcontratados com o RGPD também constitui um procedimento a adotar.
- Têm de assegurar que os titulares podem cumprir esses direitos.
- Registar evidências dos contactos.
Os incidentes de violação de dados pessoais devem ser comunicados num prazo máximo de 72 horas à Comissão Nacional de Proteção de Dados (CNPD).
Devem ser tomadas medidas para que os dados estejam guardados de forma segura e confidencial.
A designação de um DPO não é obrigatória para todas as empresas. A empresa deverá ter um DPO se:
- O processamento de dados pessoais for levado a cabo por uma entidade pública;
- No caso de se verificar a monitorização constante de indivíduos em larga escala,
- Ou caso exista processamento de dados sensíveis em larga escala.
- Informar e aconselhar a empresa sobre a conformidade de proteção de dados;
- Aconselhar sobre a avaliação do impacto da proteção de dados;
- Monitorizar a conformidade de proteção de dados, que inclui, por exemplo, formar a equipa e realizar auditorias relacionadas com esta área;
- Cooperar e atuar como ponto de contacto com as autoridades de proteção de dados.
Sim, desde que registe dados pessoais tem de cumprir com o regulamento. Por exemplo, nome e email da pessoa responsável pela área financeira de um fornecedor/cliente.
Não, pois o RGPD contempla os dados de pessoas singulares. Se for o caso de um empresário em nome individual, os seus dados já o identificam como pessoa considerando-se dados pessoais.
Não, os dados para faturar são obrigatórios por lei, não sendo necessário consentimento. Apenas seria se os dados fossem utilizados para outro fim.
Tratando-se de dados relativos a uma exigência da legislação portuguesa, como o SAFT, não são afetados pelo RGPD. A legislação nacional tem supremacia sobre o RGPD.