O Regulamento Geral de Proteção de Dados ( RGPD ) entra em vigor em 25 de Maio de 2018 e substitui a atual diretiva e lei de proteção de dados em vigor. De seguir, apresentam-se as suas ideias principais assim como o regulamento completo.
Informação aos titulares dos dados
O regulamento obriga a informar acerca da base legal para o tratamento de dados, prazo de conservação dos mesmos e transferência dos mesmos. Todas as políticas de privacidade e textos que prestem informação aos titulares de dados têm de ser revistos.
Exercício dos direitos dos titulares dos dados
O regulamento obriga a garantir o exercício dos direitos dos titulares dos dados. Desta forma, os pedidos de exercício desse direito passam a ser monitorizados e documentados com prazos máximos de resposta, direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre a retificação ou apagamento ou limitação de tratamento solicitados pelos titulares.
Consentimento dos titulares dos dados
O regulamento obriga a controlar as circunstâncias em que foi obtido o consentimento dos titulares quando isso for base legal do tratamento dos dados pessoais. Existem um conjunto de exigências para obtenção desse consentimento e o seu não cumprimento obriga à obtenção de um novo consentimento.
Natureza dos dados
O regulamento define o conceito de dados sensíveis que estão sujeitos a condições específicas para o seu tratamento, nomeadamente direitos e decisões automatizadas. Um exemplo de dados sensíveis serão os dados biométricos. Dependendo da dimensão e contexto destes tratamentos de dados específicos, poderá ser obrigatória a nomeação de um Encarregado de Proteção de Dados, que, caso não seja do interesse da empresa contratar ou nomear esse novo elemento, a nossa equipa de Proteção de Dados também disponibiliza esse serviço como parte da nossa solução.
Documentação e registo
O regulamento obriga a manter um registo documentado de todas as atividades de tratamento de dados pessoais. As organizações são obrigadas a demonstrar o cumprimento de todos os requisitos decorrentes da aplicação do regulamento.
Subcontratação
O regulamento obriga a que o subcontratante garanta que detém todas as autorizações dos responsáveis pelo tratamento de dados. Os contratos de subcontratação terão de ser revistos para incluir um conjunto vasto de informações com o objetivo de proteger a informação dos titulares de dados que é frequentemente tratada por várias entidades sem os respetivos titulares terem conhecimento.
Encarregado de Proteção de Dados (DPO – Data Protection Officer)
O regulamento introduz a figura do Encarregado de Proteção de Dados que terá um papel de controlador dos processos de segurança para garantir a proteção de dados no dia-a-dia da empresa. Embora não seja obrigatório para todas as empresas, a existência do mesmo ou de um serviço externo que garanta essa função pode acrescentar muito valor aos processos de cumprimento das obrigações.
Processos de Segurança e Tratamento de Dados
O regulamento obriga a um grande controlo do risco associado ao possível roubo de informação. Este controlo de risco deverá passar a ser garantido por medidas de segurança efetivas que garantam a confidencialidade, a integridade dos dados e que previnam a destruição , perda e alterações acidentais ou ilícitas, ou a divulgação/acesso não autorizado de dados.
Proteção de dados desde a conceção
O regulamento salienta a necessidade de passar a avaliar projetos futuros de tratamento de dados com a devida antecedência e rigor de forma a poder avaliar o seu impacto na proteção de dados e adotar as medidas adequadas para mitigar esses riscos.
Notificação de violações de segurança
O regulamento obriga a que todas as violações de segurança que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados.
Coimas
O regulamento estabelece um quadro de aplicaçao uniforme assente em dois escalões (em função da gravidade) :
Para saber mais pode visitar o site oficial da Comissão Nacional de Protecção de Dados.
Consultar o email a partir do seu telemóvel pode ser em alguns casos perigoso, já que pode não ser capaz de ver toda a informação do Remetente. Se não conhece a fonte, não o abra. Se suspeita que alguma coisa possa ser perigosa, ex, Phishing, quando chegar ao escritório reporte o mais rápido possível à equipa de IT ou reporte através do botão Report Phishing presente no ecrã.
Tenha atenção ao que está a dizer e se está a falar muito alto. Podem estar pessoas próximas de si a ouvi-lo e algumas conversas mais sensíveis podem ser classificadas de “dados pessoais”.
Verificar se os endereços de email, conteúdos e anexos estão corretos antes de enviá-los, é uma tarefa difícil de fazer no telemóvel. Se for possível, espere até chegar ao escritório. Caso contrário, tenha a certeza de que está a utilizar o sistema de email da sua empresa.
Durante o trabalho, pode encontrar uma app, um browser ou um sistema de IT que acredita que vai melhorar a performance do negócio e, por isso, terá vontade de subscrevê-lo ou fazer download. Todas as requisições de software (instalações ou aplicações web) têm de ser sempre aprovadas pela equipa de IT, de forma a evitar um virus ou outro tipo de problemas.
Utilize apenas o sistema oficial de email da empresa para assegurar que os emails são vistos e enviados de forma segura, et assim quaisquer controlos adicionais (ex. Virus, rastreio de malware, monitorização) não deixarão de ser feitos. Siga todas as políticas de segurança da equipa de IT da sua empresa, no que respeita “screen-locks”, proteção de “password” e armazenamento.
Já viu dados pessoais ou sensíveis? Assegure-se que os dados são seguros. Evite partilhá-los a não ser por uma razão justificada.
E sobre o envio de dados a parceiros? Espere até saber que a sua empresa tem um contrato ou assinou um acordo de divulgação dos mesmos. Quando aprovada a transferência, utilize uma solução segura para partilhar essa informação.
Tem ficheiros ou relatórios antigos? Arquive ou apague-os se não precisa mais deles. Verifique com a equipa de IT sobre processos locais aprovados, incluindo quaisquer políticas de retenção de documentos, marcação e destruição.
Não deixe o seu PC aberto ou com o ecrã desbloqueado. Lembre-se de bloquear sempre o seu ecrã quando deixa o PC e desligue-o totalmente quando vai para casa.
Pode necessitar de levar dados para fora do escritório quando trabalha em casa ou está numa viagem de negócios., especialmente se estão no seu PC. Não negligencie o seu uso, independentemente de onde está a utilizá-los. Tudo o que está numa USB ou numa pasta deve continuar a ser gerido, de acordo com os habituais processos da empresa.
Não deixe documentos confidenciais perdidios (tal como no comboio ou noutro lugar) – tenha a certeza que os guarda, ou se não precisa mais deles, triture-os ou coloque numa zona de lixo segura.
No regresso a casa, pense duas vezes antes de se conectar a uma rede WiFi pouca segura (ex. Viagem de comboio, ou metro). Se pretende aceder a dados pessoais, use sempre VPN (Rede Privada Virtual) que encripta os dados mesmo que através de uma rede potencialmente segura.
As empresas devem ver o RGPD como uma oportunidade para limpar, gerir e proteger dados pessoais vulneráveis e, com isso, criar e aproveitar as novas oportunidades de negócio. Isso requer uma desintoxicação de dados, e vai ajudar os negócios a economizarem dinheiro, a tornarem-se mais competitivos e preparados para futuros desafios desafios e requisitos de negócio.
A Empis – Informática e Serviços, Lda pode ajudá-lo a definir um plano de ataque para que a sua equipa fique em boas condições e esteja pronta para o RGPD:
Prevenção
Criar mecanismos de auditabilidade:
• Exportação de dados pessoais (quem, o quê, para que fins, quem autorizou, a quem)
• Pseudoanonimização, Rastreabilidade
• Segmentação de Dados Pessoais
• Mecanismos de transporte adequados à sensibilidade dos dados
• Cláusulas jurídicas relativas à utilização exclusiva para os fins acordados
Controlo
Jurídico
Regulamento-Geral-Proteção-Dados
10 Medidas para preparar o RGPD
Orientações sobre o direito à portabilidade dos dados
Orientações sobre o direito à portabilidade dos dados – Perguntas Frequentes
Orientações sobre os Encarregados de Proteção de Dados (EPD)
Orientações sobre a identificação da autoridade de controlo
Orientações sobre a identificação da autoridade de controlo – Perguntas Frequentes