trans('Top')
Notícia

GDPR Compliance - Guia essencial

  • 30/10/2017

Privacy is the next business imperative.

The fact is that good privacy is good business – it fosters trust, builds consumer confidence, strengthens brand recognition, increases customer loyalty and ultimately, delivers competition advantage.”

Privacy Commissioner of Ontario, Canada, August 2001


 

A mudança

As negociações para a entrada em vigor do novo Regulamento Geral sobre a Proteção de Dados (GDPR) levaram quatro anos de negociações (e dois de transição) e vieram introduzir um enquadramento jurídico mais rigoroso a partir de 25 de maio de 2018.

Como principais fatores impulsionadores para esta mudança, podem-se identificar:

  - as Tecnologias de Informação sofreram um desenvolvimento exponencial nos últimos tempos e a Diretiva de 95 não captura todas as formas de tratamento de dados pessoais disponíveis nos dias correntes;

  - a necessidade de tornar o regime jurídico nesta área mais claro e previsível para empresas e consumidores e de o adaptar à nova era digital, de modo a incentivar a criação de oportunidades de negócio, levando à redução dos encargos administrativos associados ao mercado digital a nível europeu;

  - a quantidade de dados armazenados e transacionados, estruturados e não estruturados, e que não se limitam às fronteiras, aumentou e aumentará exponencialmente nos próximos anos (big data);

  - a recolha e utilização dos dados pessoais é uma preocupação cada vez maior dos consumidores e das empresas, uma vez que desconhecem as formas como os seus dados pessoais estão a ser tratados;

  - a crescente frustração dos principais agentes devido à falta de harmonização da regulação entre os vários países;

  - é um passo essencial para a Agenda Digital para a Europa (criação do Mercado Único Digital).


Boas práticas a adotar pelas organizações

Embora o GDPRentre em vigor apenas a 25 de maio de 2018, o período transitório de dois anos, poderá revelar-se insuficiente para garantir que todas as novas obrigações e procedimentos trazidos por aquele diploma são incorporados adequadamente na cultura e nos procedimentos das organizações.

Destacam-se as seguintes boas práticas a adotar pelas organizações para garantir o cumprimento do novo Regulamento:

  - formar - ou facilitar a formação - das várias equipas de colaboradores e clientes para garantir que eles estão conscientes das implicações do GDPR;

  - revisão e documentação dos procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, atendendo às novas exigências específicas do regulamento neste domínio quanto à tramitação dos pedidos, em especial aos prazos máximos de resposta;

  - avaliação do fundamento legal com que se está a processar dados; caso seja com base no consentimento, terá de rever o consentimento dado, para apurar se respeita todas as novas exigências, ou se será necessário obter novo consentimento;

  - transparência na notificação legal e no uso de cookies; explicar como irão ser tratados cada um dos dados captados e como podem vir a ser modificados, transferidos ou excluídos.

  - avaliação do tipo de tratamentos de dados, de modo a analisar a sua natureza e contexto e os potenciais riscos que possam comportar para os titulares dos dados, de modo a aplicar com eficácia os princípios da proteção de dados desde a conceção e por defeito;

  - adoção de procedimentos internos e ao nível da subcontratação, se for o caso, para lidar com casos de violações de dados pessoais, designadamente na deteção, identificação e investigação das circunstâncias, medidas mitigadoras, circuitos da informação entre responsável e subcontratante, envolvimento do encarregado de proteção de dados e notificação à CNPD, nos prazos estabelecidos;

  - revisão dos impressos, formulários, políticas de privacidade; verificar se a linguagem utilizada é clara, acessível e se são fornecidos aos titulares dos dados, toda a informação a que o Regulamento obriga;

  - revisão dos contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais para verificar se contêm todos os elementos exigidos pelo regulamento;

  - preparação e estabelecimento de mecanismos de resposta ao exercício dos novos direitos pelos titulares dos dados: direito ao esquecimento e direito à portabilidade de dados;

  - realização de auditoria/ assessment para verificar o que tem de ser feito para cumprir com o Regulamento (accountability);

  - designação e definição das funções do Encarregado de Proteção de Dados – DPO (se aplicável), com a antecedência devida;

  - elaboração de documentação detalhada de todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo, como as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do GDPR;

  - avaliação do local onde estão alojados os dados e se há transferência de dados para fora da União Europeia (e nesse caso se é legítima).


 

Em resumo

Qualquer empresa que disponha de dados como o nome, a morada, o telefone, endereço de email, imagens ou qualquer outro elemento relativo a pessoas individuais (sejam clientes, trabalhadores ou fornecedores), que possua sistemas de videovigilância, efetue a gravação de chamadas telefónicas, utilize cookies, etc., independentemente do sector de atividade em que atua, deve ter em consideração o novo Regulamento de proteção de dados pessoais, e tem de garantir que possui os seus sistemas e processos alinhados às novas diretrizes.

 

Nuno Carvalho, Abaco Training Academy