RGPD: Porque é importante reajustar a sua política de privacidade?

Segundo a Comissão Nacional de Proteção de Dados, o novo Regulamento Geral da Proteção de Dados (RGPD) traz mudanças significativas que terão diferentes impactos nas organizações, consoante a sua natureza, área de atividade, dimensão e tipo de tratamentos de dados pessoais.

Segundo o estudo IDC para a Microsoft Portugal, as organizações com mais de 250 colaboradores serão as que melhor conhecem o Regulamento — mais de 50% dos decisores conhece “relativamente bem”. A mesma pesquisa aferiu que apenas 2,5% dos decisores considera que a sua organização está preparada, enquanto 43% dos decisores diz que a organização só estará preparada depois de maio de 2018 ou não sabe especificar quando estará conforme com a nova diretiva europeia.

1. Regulamento Geral da Proteção de Dados: Porquê?

Com o avanço da tecnologia e globalização, a partilha de dados pessoais tornou-se mais ágil e, hoje, as pessoas partilham milhões de informações diariamente, sem darem conta do quão comprometem a sua segurança. Com os recentes acontecimentos ligados ao uso indevido de dados pela Cambridge Analytica e Facebook começaram a surgir questões como: De que forma é que as empresas estão a usar os meu dados? A quem os passam? Para que os utilizam? Como sei se estão a ser usados por terceiros? Como posso negar o acesso à informação que não me importei de partilhar anteriormente?

Entendem-se por dados pessoais, quaisquer informações individuais como Nome, Idade, Morada, Localização, Rendimento. Para além disto, existem alguns dados considerados sensíveis e que devem realmente ser protegidos tais como o Perfil Cultural, Etnia, Religião, Orientação sexual, Dados de Relacionados com a Saúde e Genética, entre outros.

2. Para quem?

As alterações trazidas pelo novo Regulamento terão de ser aplicadas por todos os estados membros da União Europeia. De uma forma geral passará a existir um documento único para facilitar a livre circulação de dados pessoais entre os estados membros e a sua transferência para países terceiros, assegurando o nível elevado de proteção de dados pessoais.

3.  O que irá mudar no nosso dia a dia?

Com a nova legislação, qualquer cidadão passará a ter total poder e controlo sobre os seus dados, assegurando assim novos direitos:

  • Direito de Informação: Direito a saber como os dados pessoais foram adquiridos, como são guardados, protegidos e processados.
  • Direito de Acesso: Empresas devem dar acesso aos dados ao titular dos mesmos e explicar como estão a ser tratados, sem demoras nem custos excessivos.
  • Direito ao cancelamento ou esquecimento: Direito a pedir que os dados sejam eliminados, quando não há razão para serem mantidos.
  • Direito de oposição: Direito de se opor ao tratamento dos dados pessoais que lhe digam respeito.
  • Direito de retificação: O titular dos dados tem o direito de exigir que os seus dados sejam exatos e atuais, podem solicitar a sua retificação.
  • Decisões individuais automatizadas: O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis.

Todas as entidades deverão expor estas possibilidades aos seus clientes/utilizadores, com a maior clareza possível, nas suas políticas de armazenamento e proteção de dados.

4. Como serão processadas as multas?

As consequências de uma divulgação de dados não autorizada poderá acarretar punições financeiras para a empresa, da mesma forma como irá influenciar diretamente a credibilidade do negócio.
O RGPD prevê sanções até 20 milhões de euros ou 4% do volume de negócios. Para além disso, as entidades incumpridoras podem ser obrigadas a pagar os prejuízos causados aos titulares dos dados, acrescidos de juros, caso se verifiquem. No entanto, nem todas as sanções aplicam coimas, a autoridade de supervisão nacional pode inicialmente sancionar com advertências, reprimendas ou suspensão do tratamento de dados.

5. Como ser bem sucedido?

A Forrester Research realizou um Plano de Acção para o RGDP, no qual recomenda as seguintes medidas:

  • Designe um responsável pela proteção de dados (DPO – Data Protection Officer) que se torna no pivot da segurança na organização. As organizações do Estado são obrigadas a designar um DPO mas nem todas as empresas privadas têm de o fazer. Podem usar um recurso externo, e a sua formação pode ser de base tecnológica, legal ou de segurança.
  • Prepare processos para comunicar a exposição de dados (data breach). As empresas passam a ter apenas 72 horas para comunicar a violação de informação ou quebra de segurança às autoridades e aos clientes e esta é uma medida que vai exigir mais esforço e preparação do que muitos pensam já que exige a partilha de detalhes sobre o nível de exposição e o volume de dados roubados.
  • Estabeleça a regra do Privacy by Design (privacidade por defeito). Este é um dos princípios fundamentais a implementar desde o início de qualquer projeto e deve estar na base de todos os produtos e serviços, garantindo que os controles de segurança estão implementados e que não é pedida mais informação do que é necessária. A ideia é que cada empresa procura preservar ao máximo a privacidade dos seus utilizadores em cada projeto ou etapa de projeto.
  • Defina um âmbito global de aplicação. O RGPD não se aplica apenas na Europa mas também abrange organizações não europeias que vendam produtos e serviços a residentes na UE o que será um novo desafio para muitas empresas e afeta a rede de fornecedores e parceiros.

Prepare provas de que investiu na mitigação dos riscos e não apenas na segurança de dados. Mesmo na ausência de uma violação da informação ou de queixas dos consumidores, as autoridades de proteção de dados podem exigir que as empresas provem que têm as regras afinadas e que possuem uma estratégia de gestão de riscos, incluindo um levantamento do impacto da privacidade (Privacy Impact Assessment – PIA).

Para mais informações ou esclarecimento de dúvidas poderá consultar o documento oficial da Comissão Nacional da Proteção de Dados.  Se procura apoio para o processo de aplicação do novo modelo de proteção de dados, entre em contacto com um dos nossos consultores.
2018-06-13T11:06:39+00:00Junho 12th, 2018|