» NEWSLETTER » 253 611 611 » SUPORTE
RGPD

RGPD – Regulamento Geral de Proteção de Dados

 

O que é o Regulamento Geral sobre a Proteção de Dados (RGPD)?

O RGPD – Regulamento Geral sobre a Proteção de Dados regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/CE. O RGPD atualmente em vigor e de direta aplicação a partir de 25 de maio de 2018, introduz não só novas regras, como também elevadas coimas em caso de incumprimento, o que exige uma atenção cuidada das Organizações que lidam com dados pessoais.
O novo Regulamento reveste-se de alguma complexidade, com novos princípios e conceitos, novos direitos para os titulares de dados que significam novos deveres para as empresas que com eles lidam. A avaliação de impacto, a privacidade na conceção de novos produtos ou serviços com dados e a privacidade por defeito, notificações das violações de segurança e a figura do Encarregado de Proteção de Dados (DPO), são alguns exemplos.

 

O que será alterado, especificamente, com o novo Regulamento Geral de Proteção de Dados (RGPD), aplicável diretamente a partir de 25 de maio de 2018, e que vem substituir a atual diretiva e lei de proteção de dados pessoais?

Com efeito, o Novo Regulamento Geral de Proteção de Dados terá aplicação obrigatória a partir de 25 de Maio de 2018 em todos os Estados Membro da União Europeia (UE), revogando em Portugal a Lei n.º 67/98, que transpõe para a ordem jurídica interna a anterior Diretiva 95/46/CE. O Novo RGPD visa assegurar a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais, em toda a União Europeia. Nessa medida, o RGPD aplica-se a todas as pessoas singulares e coletivas que efetuem tratamento de dados pessoais a residentes na União Europeia.

São previstos novos direitos para as pessoas singulares titulares de dados, designadamente o direito a solicitar a retificação, o apagamento, a limitação ou até o direito de se opor ao tratamento dos seus dados pessoais. O titular dos dados pessoais tem o “direito a ser esquecido” pela entidade responsável pelo tratamento dos dados, bem como o direito à portabilidade dos seus dados. Os dados pessoais podem ser transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.

 

Porque o RGPD está a alarmar quem tem dados pessoais?

  • Porque tem coimas avultadas e a CNPD será atuante;
  • Porque não se cinge a questões legais e IT. É transversal na organização e implica implementar um sistema de gestão de risco, um sistema de gestão de segurança da informação e a adoção de comportamentos novos;
  • Porque há muito trabalho a fazer para cumprir com o RGPD, num período de tempo que se vai reduzindo;
  • Porque cabe às Organizações provarem que cumprem com o regulamento.

 

Coimas podem atingir 4% da faturação global anual ou 20 M€

 

A publicação do Regulamento Geral sobre a Proteção de Dados(1) (RGPD) tem vindo a gerar uma preocupação generalizada nas empresas. A preocupação resulta, desde logo, do valor das coimas que introduz (até vinte milhões de euros ou 4% do volume de negócios mundial da empresa), bem como, das alterações operacionais que pode implicar nas empresas para que estejam em conformidade.

No RGPD, são particularmente relevantes as alterações introduzidas ao papel do regulador, concentrando a sua atividade em ações de fiscalização em substituição do processamento dos pedidos de autorização prévia atuais. Esta alteração responsabiliza muito mais as empresas quanto ao cumprimento das regras de privacidade.

O regulamento será aplicável a partir de 25 de maio de 2018, devendo as organizações, com atividade na União Europeia, usarem este hiato temporal para se prepararem.

Os principais desafios operacionais são:

 

1. Obrigatoriedade de notificar violações de dados

A partir de 25 de maio de 2018, as empresas que sofram uma violação de dados têm, obrigatoriamente, de notificar o regulador e o titular dos dados pessoais do facto. Nas situações de violações graves, a notificação ao regulador deverá ocorrer no prazo máximo de 72 horas.

É expectável que as empresas queiram evitar não só as coimas associadas, mas também a publicidade negativa dessas divulgações. Para tal, devem avaliar a sua exposição aos riscos de violações de privacidade e realizar ações que melhorem a segurança da sua organização.

 

2. “Direito a ser esquecido”

Este requisito introduzido pelo RGPD permite, ao titular dos dados e mediante determinadas circunstâncias, o direito de solicitar o apagamento/destruição de todos os seus dados pessoais guardados por uma empresa.

Os dados guardados com o objetivo de cumprimento de obrigações legais, fiscais ou regulamentares estão, à partida, excluídos desse direito.

 

3. Avaliações de impacto de privacidade

 O RGPD obriga as empresas a realizarem Data Protection Impact Assessments (DPIA) sempre que existam operações de processamento de dados invasivas. Estas avaliações devem evidenciar que os riscos de violações de dados pessoais estão anulados ou amplamente mitigados e que os requisitos do RGPD são cumpridos.

Considera-se que um dos fatores mais relevantes na preparação das organizações para o RGPD será a formação dos colaboradores nos modelos de gestão de privacidade que vierem a ser definidos e de os manter sensibilizados para o espírito que o legislador teve aquando da produção do regulamento: proteção dos dados pessoais dos cidadãos.

 

4. Privacidade por desenho e por padrão

O novo regulamento obriga a que, por padrão, novos bens, serviços, produtos, sistemas, dispositivos e processos sejam construídos, desde a fase de desenho, cumprindo requisitos de privacidade.

As evidências desta preocupação devem abranger o modelo de governação da privacidade na organização com políticas, procedimentos e regras que enderecem a privacidade por desenho e por padrão. Adicionalmente, devem implicar o desenvolvimento de competências de “engenharia” de privacidade por toda a organização.

 

5. Encarregado de proteção de dados

O regulamento prevê a criação da função de Data Protection Officer (DPO), ou seja, de encarregado de proteção de dados.

As organizações devem designar um DPO quando há tratamento de dados pessoais, que devido à natureza, âmbito ou finalidade exija um controlo regular e sistemático, ou quando há tratamento de dados sensíveis em grande escala.

O DPO terá como principais tarefas a monitorização da conformidade com o RGPD, a metodologia e quando realizar DPIA, a cooperação com o regulador, o acompanhamento do risco associado às operações de processamento de dados e o garantir do registo das evidências necessárias para demonstrar a conformidade junto do regulador.

Face aos desafios operacionais apresentados, a primeira diligência deverá ser a avaliação da conformidade com o RGPD e a identificação de iniciativas que minimizem o risco de incumprimento à data do início das ações inspetivas, constituindo o “roadmap” para a conformidade.

O “roadmap” incluirá, necessariamente, iniciativas jurídicas, processuais e tecnológicas.

Conclui-se, aconselhando-se as empresas que ainda não tenham iniciado este caminho, com a maior celeridade possível definirem o seu “roadmap” para a conformidade e lançarem a sua execução. O dia 25 de maio de 2018 é já amanhã!!!

O que é essencial é que as organizações estejam absolutamente cientes da sua realidade interna e do que devem fazer para cumprir a lei. Começar por uma auditoria de segurança e procurar profissionais conhecedores das condições legais determinadas pelo RGPD e, em particular, dos aspetos técnicos a considerar para as implementar, é o melhor caminho.

A Empis pode ajudá-lo neste trilho rumo à conformidade plena com o RGPD. Agende já uma reunião, pois não vale a pena adiar aquele que é um rumo inevitável.

 

 

1. Contexto da Organização, Governação e Políticas de Tratamento de Dados Pessoais

A organização deve assegurar os recursos e atribuir as responsabilidades necessárias que sejam relevantes para a execução do Regulamento Geral de Proteção de Dados e manter políticas, procedimentos, instruções e notas de privacidade apropriadas às necessidades e expetativas das partes interessadas que incluam os requisitos legais aplicáveis e garantam a privacidade dos Dados Pessoais.

A nomeação do encarregado de proteção de dados (DPO), a elaboração da Política de Tratamento de Dados Pessoais, a criação de procedimentos que garantam a qualidade dos Dados Pessoais, a composição de comunicados de privacidade e a preparação de procedimentos de resposta aos pedidos dos Titulares do Dados estão entre as tarefas a serem realizadas durante a primeira fase.

2. Classificação, Mecanismos de Transferência e Inventário dos Dados Pessoais

Identificação, classificação e registo dos Dados Pessoais da organização garantindo a sua proteção, confidencialidade, integridade e disponibilidade.

Garantir um nível legal adequado à transferência de Dados Pessoais para países terceiros.

3. Consciencialização

As partes interessadas devem estar cientes e sensibilizadas da sua contribuição para a eficácia da política de tratamento de Dados Pessoais e das implicações da não conformidade com os requisitos do Regulamento Geral de Proteção de Dados.

As questões relacionadas com a privacidade dos Dados Pessoais devem ser incorporadas na sensibilização e formação de todas as equipas da organização com especial enfâse na dos recursos humanos, conformidade, suporte presencial e remoto, informática interna, centro de atendimento, marketing e vendas.

4. Avaliação e Tratamento do Risco de Segurança da Informação na Organização e na Relação com Partes Terceiras

Avaliar e implementar um plano de tratamento de riscos de segurança da informação e assegurar a proteção dos Dados Pessoais que estão acessíveis a parceiros, fornecedores, prestadores de serviço e outras entidades externas. As alterações devem ser controladas e ações corretivas implementadas sempre que necessário.

5. Ciclo de Vida Operacional

Assegurar a proteção dos Dados Pessoais desde a conceção e por defeito em todos os processos, sistemas e plataformas organizacionais e realizar avaliações de impacto sobre a proteção de dados.

6. Gestão de incidentes de Dados Pessoais

Assegurar uma abordagem consistente e eficaz à gestão de incidentes e violações de Dados Pessoais.

Devem ser estabelecidos procedimentos e responsabilidades para assegurar uma classificação e resposta eficazes aos incidentes de segurança.

7. Monitorização de Desempenho e Eficácia da aplicação do Regulamento

A organização deve conduzir auditorias internas assim como medir, avaliar e rever em intervalos planeados a adequabilidade do processo de tratamento de Dados Pessoais, bem como manter documentação que seja apropriada como evidência de todo o processo.

8. Conformidade

Acompanhar novos requisitos de conformidade, expetativas e melhores práticas e evitar violações de obrigações legais, estatutárias, regulamentares ou contratuais relacionadas com a privacidade dos Dados Pessoais.

Caso não disponha de recursos internos deve-se apoiar num parceiro que o possa acompanhar ao longo de todo o processo estratégico de implementação, eliminando o risco de incumprimento normativo de eventuais coimas pela respetiva autoridade de controlo e sobretudo, eliminando o risco de ocorrência de algum tipo de incidente sobre Dados Pessoais geridos na organização.

 

Para saber mais pode visitar o site oficial da Comissão Nacional de Protecção de Dados.