- en
- pt
A entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) obriga as empresas a prepararem-se para estarem em conformidade com a nova lei, sob pena de sofrerem pesadas multas. Fique a par das grandes alterações que a nova legislação implica e confirme se a sua empresa está preparada para elas. Contacte a equipa comercial da Eurotux para saber tudo o que precisa de fazer para ficar em conformidade com o RGPD.
As multas para as empresas que não estiverem em conformidade com o RGPD podem chegar aos 20 milhões de euros.
O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor a 25 de Maio de 2018.
O RGPD é a nova legislação de proteção de dados da União Europeia (UE) que vai substituir a Diretiva de Proteção de Dados de 1995, bem como as várias normativas daí decorrentes aplicadas nos diferentes Estados-membro. O objetivo é tornar as leis da UE mais homogéneas em termos da Proteção e da Privacidade de Dados pessoais dos cidadãos.
Quem é abrangido pelo RGPD?
As novas normas aplicam-se a todas as empresas, independentemente do tamanho ou volume de negócios, que processem dados pessoais de cidadãos da UE ou de cidadãos não europeus que estejam ou tenham estado na UE e cujos dados tenham sido recolhidos pelas referidas empresas – mesmo que o processamento dos mesmos ocorra fora da UE.
Esta sucessão de Perguntas e Respostas visa ajudá-lo a perceber o impacto que o RGPD poderá ter na sua empresa e se ela está ou não em conformidade com as novas normas. Se depois de ler os nossos esclarecimentos, ainda não conseguir responder à questão, pode contactar a Eurotux para solicitar uma avaliação técnica detalhada do seu caso. Pode também responder ao questionário rápido da Microsoft para perceber se está ou não em conformidade.
As organizações que não tomem as medidas adequadas para a aplicação das novas normas arriscam-se a pesadas multas, que podem chegar aos 20 milhões de euros ou a 4% do volume de negócios anual total (conforme o valor que for mais elevado). O RGPD prevê também a responsabilização das empresas pelos danos provocados devido ao incumprimento, nomeadamente quando os dados pessoais de cidadãos sejam “violados”, por exemplo, em ataques de malware. O RGPD prevê também a atribuição de compensações pela interrupção ou restrição das transferências de dados, pela falta de consentimento do cliente para o processamento dos seus dados, ou pela não realização de avaliações de risco. Há ainda outras penalizações que podem sair muito caras às empresas que não cumpram o RGPD.
O novo Regulamento de Proteção de Dados assenta em sete princípios fundamentais que têm por objetivo proteger a privacidade dos cidadãos da UE e que devem orientar os procedimentos das organizações:
O RGPD aplica-se a dados pessoais, isto é, a todo e a qualquer tipo de informação relacionada com uma pessoa física identificada ou identificável. Incluem-se nesta categoria, nomes, fotos, endereços de email, dados bancários, informações médicas, mas também publicações em redes sociais, endereços IP de computadores, dados de localização e imagens CCTV. Estão abrangidas informações armazenadas em bases de dados de funcionários, de vendas e de prestação de serviços, bem como dados contidos em formulários preenchidos por clientes. O RGPD também define uma categoria especial de dados pessoais sensíveis, como dados genéticos e biométricos.
O RGPD reforça os critérios de privacidade e de segurança dos titulares dos dados pessoais em posse das empresas, impondo uma política de “privacy by design” e de “privacy by default“. Assim, as empresas são obrigadas a proteger a privacidade dos dados pessoais desde a recolha ao armazenamento, passando pelo seu processamento até ao “apagamento”. Além disso, têm que assegurar que só são recolhidos os dados estritamente necessários para os fins específicos para os quais eles serão processados. Os cidadãos têm também o direito ao “esquecimento” – quando um titular solicitar, os seus dados têm que ser removidos ou apagados da base de dados no prazo de um mês – e o direito de portabilidade – o titular de dados pode solicitar que estes sejam transferidos de uma entidade para uma terceira, sem pagar nada por isso. Têm, ainda, o direito de restringir o processamento dos seus dados e podem retificá-los a qualquer momento.
A principal mudança está relacionada com o consentimento dado pelos titulares dos dados para a respetiva recolha e processamento. O RGPD exige que esse consentimento seja definido claramente, de forma oral ou escrita, para o fim concreto a que os dados a recolher se destinam. Aquando do consentimento, as empresas devem igualmente informar o titular dos dados, de forma transparente e clara (sobretudo quando estiverem em causa menores de idade), sobre como serão processados os dados e por quanto tempo serão armazenados. Devem, ainda, informar os mesmos titulares de que têm o direito a retirar esse consentimento a qualquer momento, o que determinará que os seus dados sejam apagados das bases de dados e dos backups, bem como de eventuais infraestruturas de Disaster Recovery. A transmissão de dados de clientes entre empresas está abrangida pela mesma regra, sendo necessário que o respetivo titular afirme o seu consentimento explícito.
O regulamento aplica-se independentemente da localização do armazenamento dos dados, sendo muito importante garantir que a empresa só transfere dados para qualquer cloud desde que cumpra os requisitos que se aplicariam à transferência para qualquer outra infraestrutura.
O RGPD aplica-se tanto às empresas que recolhem e processam dados para uso próprio, determinando os fins, condições e formas desse processamento – os chamados “controladores” -, como às empresas que processam dados em nome de terceiros – os chamados “processadores”. Deste modo, os “controladores” só devem recorrer a “processadores” que estejam em conformidade com o RGPD. Os “processadores” estão também obrigados a processarem os dados segundo as instruções dos “controladores”, a implementarem medidas de proteção dos mesmos e a manterem um registo de todas as atividades de processamento que executem em nome de terceiros.
Só empresas e organismos públicos, bem como empresas que lidam com dados pessoais considerados sensíveis ou em grande escala, têm que nomear um Encarregado de Proteção de Dados (Data Protection Officer). No entanto, esta medida pode também ser aplicada nas demais empresas, para garantir que todos os esforços são cumpridos no sentido da conformidade com o RGPD.
O RGPD obriga as empresas a reportarem falhas de segurança à autoridade supervisora e ao cliente/clientes cujos dados pessoais tenham sido “violados” num prazo de 72 horas após terem detetado as respetivas falhas. A comunicação das falhas/violações de dados deve incluir a extensão e o tipo de falha, bem como a quantidade de dados afetados e os procedimentos de atuação detalhados para conter o problema e resolvê-lo. A empresa também é obrigada a estabelecer medidas preventivas para melhorar a segurança informática e evitar novas falhas.
O RGPD estabelece a cifra dos dados como uma medida de proteção contra potenciais falhas de segurança. Quando estão envolvidos dados mais sensíveis e riscos maiores, o RGPD aconselha a cifra como uma medida técnica adequada para evitar ameaças. A cifra de dados torna-os ininteligíveis perante potenciais ataques e, assim, pode também evitar que as empresas tenham que reportar falhas, se não se verificar qualquer violação dos dados dos seus clientes. Há vários produtos e serviços que garantem a cifra robusta de dados em trânsito ou estáticos. Pode contactar a Eurotux para ficar a conhecer alguns deles.
A sua empresa deve começar por fazer um levantamento de processos que conduzam à identificação dos sistemas, das atividades e dos colaboradores que interagem com dados pessoais. A seguir, deverá realizar um Privacy Impact Assessment, aplicando-se posteriormente o que for determinado em termos de processos, sistemas, tecnologias, pessoas, atividades, regulamentos internos ou até mesmo questões jurídicas.
Abrace a transformação digital com a Eurotux.