A entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) obriga as empresas a prepararem-se para estarem em conformidade com a nova lei, sob pena de sofrerem pesadas multas. Fique a par das grandes alterações que a nova legislação implica e confirme se a sua empresa está preparada para elas. Contacte a equipa comercial da Eurotux para saber tudo o que precisa de fazer para ficar em conformidade com o RGPD.
As multas para as empresas que não estiverem em conformidade com o RGPD podem chegar aos 20 milhões de euros.
Quando é que o RGPD entrou em vigor?
O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor a 25 de Maio de 2018.
O que é efetivamente o RGPD?
O RGPD é a nova legislação de proteção de dados da União Europeia (UE) que vai substituir a Diretiva de Proteção de Dados de 1995, bem como as várias normativas daí decorrentes aplicadas nos diferentes Estados-membro. O objetivo é tornar as leis da UE mais homogéneas em termos da Proteção e da Privacidade de Dados pessoais dos cidadãos.
Quem é abrangido pelo RGPD?
As novas normas aplicam-se a todas as empresas, independentemente do tamanho ou volume de negócios, que processem dados pessoais de cidadãos da UE ou de cidadãos não europeus que estejam ou tenham estado na UE e cujos dados tenham sido recolhidos pelas referidas empresas – mesmo que o processamento dos mesmos ocorra fora da UE.
Como sei se a minha empresa está ou não em conformidade com o RGPD?
Esta sucessão de Perguntas e Respostas visa ajudá-lo a perceber o impacto que o RGPD poderá ter na sua empresa e se ela está ou não em conformidade com as novas normas. Se depois de ler os nossos esclarecimentos, ainda não conseguir responder à questão, pode contactar a Eurotux para solicitar uma avaliação técnica detalhada do seu caso. Pode também responder ao questionário rápido da Microsoft para perceber se está ou não em conformidade.
Quais são as multas para quem não estiver em conformidade com o RGPD?
As organizações que não tomem as medidas adequadas para a aplicação das novas normas arriscam-se a pesadas multas, que podem chegar aos 20 milhões de euros ou a 4% do volume de negócios anual total (conforme o valor que for mais elevado). O RGPD prevê também a responsabilização das empresas pelos danos provocados devido ao incumprimento, nomeadamente quando os dados pessoais de cidadãos sejam “violados”, por exemplo, em ataques de malware. O RGPD prevê também a atribuição de compensações pela interrupção ou restrição das transferências de dados, pela falta de consentimento do cliente para o processamento dos seus dados, ou pela não realização de avaliações de risco. Há ainda outras penalizações que podem sair muito caras às empresas que não cumpram o RGPD.
Que exigências é que o RGPD imputa às empresas?
O novo Regulamento de Proteção de Dados assenta em sete princípios fundamentais que têm por objetivo proteger a privacidade dos cidadãos da UE e que devem orientar os procedimentos das organizações:
- Transparência: as empresas devem tratar os dados pessoais dos seus clientes de forma legal, totalmente transparente e com plena visibilidade de processos.
- Limitação de Finalidade: as empresas só devem tratar os dados pessoais para os fins para os quais eles foram recolhidos, conforme comunicado aos detentores desses dados.
- “Privacidade por Omissão”: as empresas devem garantir que, “por omissão”, só serão tratados e armazenados os dados pessoais estritamente necessários para as operações consentidas – é a chamada “Privacy by Default“.
- Exatidão: as empresas têm que garantir que os dados recolhidos estão corretos ao longo de todo o processamento dos mesmos. Os dados incorretos devem ser apagados ou corrigidos.
- Limitação do período de conservação: as empresas só devem manter os dados pessoais em sua posse pelo tempo que for estritamente necessário.
- Integridade e Confidencialidade: as empresas devem garantir por meios técnicos que os dados dos clientes são devidamente protegidos, evitando divulgações não autorizadas ou acidentais ou quaisquer outras falhas.
- Responsabilidade: as empresas são responsáveis pelo cumprimento das normas do RGPD, bem como por eventuais lacunas resultantes da não conformidade com as mesmas.
A que tipo de dados é que o RGPD se aplica?
O RGPD aplica-se a dados pessoais, isto é, a todo e a qualquer tipo de informação relacionada com uma pessoa física identificada ou identificável. Incluem-se nesta categoria, nomes, fotos, endereços de email, dados bancários, informações médicas, mas também publicações em redes sociais, endereços IP de computadores, dados de localização e imagens CCTV. Estão abrangidas informações armazenadas em bases de dados de funcionários, de vendas e de prestação de serviços, bem como dados contidos em formulários preenchidos por clientes. O RGPD também define uma categoria especial de dados pessoais sensíveis, como dados genéticos e biométricos.
Que novos direitos define o RGPD para os titulares dos dados pessoais?
O RGPD reforça os critérios de privacidade e de segurança dos titulares dos dados pessoais em posse das empresas, impondo uma política de “privacy by design” e de “privacy by default“. Assim, as empresas são obrigadas a proteger a privacidade dos dados pessoais desde a recolha ao armazenamento, passando pelo seu processamento até ao “apagamento”. Além disso, têm que assegurar que só são recolhidos os dados estritamente necessários para os fins específicos para os quais eles serão processados. Os cidadãos têm também o direito ao “esquecimento” – quando um titular solicitar, os seus dados têm que ser removidos ou apagados da base de dados no prazo de um mês – e o direito de portabilidade – o titular de dados pode solicitar que estes sejam transferidos de uma entidade para uma terceira, sem pagar nada por isso. Têm, ainda, o direito de restringir o processamento dos seus dados e podem retificá-los a qualquer momento.
Como é que o RGPD vai afetar a forma como recolho dados dos meus clientes?
A principal mudança está relacionada com o consentimento dado pelos titulares dos dados para a respetiva recolha e processamento. O RGPD exige que esse consentimento seja definido claramente, de forma oral ou escrita, para o fim concreto a que os dados a recolher se destinam. Aquando do consentimento, as empresas devem igualmente informar o titular dos dados, de forma transparente e clara (sobretudo quando estiverem em causa menores de idade), sobre como serão processados os dados e por quanto tempo serão armazenados. Devem, ainda, informar os mesmos titulares de que têm o direito a retirar esse consentimento a qualquer momento, o que determinará que os seus dados sejam apagados das bases de dados e dos backups, bem como de eventuais infraestruturas de Disaster Recovery. A transmissão de dados de clientes entre empresas está abrangida pela mesma regra, sendo necessário que o respetivo titular afirme o seu consentimento explícito.
E se os meus dados estiverem armazenados na Cloud?
O regulamento aplica-se independentemente da localização do armazenamento dos dados, sendo muito importante garantir que a empresa só transfere dados para qualquer cloud desde que cumpra os requisitos que se aplicariam à transferência para qualquer outra infraestrutura.
A minha empresa só processa dados em nome de terceiros: ainda precisa de cumprir o RGPD?
O RGPD aplica-se tanto às empresas que recolhem e processam dados para uso próprio, determinando os fins, condições e formas desse processamento – os chamados “controladores” -, como às empresas que processam dados em nome de terceiros – os chamados “processadores”. Deste modo, os “controladores” só devem recorrer a “processadores” que estejam em conformidade com o RGPD. Os “processadores” estão também obrigados a processarem os dados segundo as instruções dos “controladores”, a implementarem medidas de proteção dos mesmos e a manterem um registo de todas as atividades de processamento que executem em nome de terceiros.
O RGPD obriga a designar um Encarregado de Proteção de Dados?
Só empresas e organismos públicos, bem como empresas que lidam com dados pessoais considerados sensíveis ou em grande escala, têm que nomear um Encarregado de Proteção de Dados (Data Protection Officer). No entanto, esta medida pode também ser aplicada nas demais empresas, para garantir que todos os esforços são cumpridos no sentido da conformidade com o RGPD.
O que é que o RGPD determina para as falhas de segurança?
O RGPD obriga as empresas a reportarem falhas de segurança à autoridade supervisora e ao cliente/clientes cujos dados pessoais tenham sido “violados” num prazo de 72 horas após terem detetado as respetivas falhas. A comunicação das falhas/violações de dados deve incluir a extensão e o tipo de falha, bem como a quantidade de dados afetados e os procedimentos de atuação detalhados para conter o problema e resolvê-lo. A empresa também é obrigada a estabelecer medidas preventivas para melhorar a segurança informática e evitar novas falhas.
O RGPD tem alguma coisa a ver com cifra de dados?
O RGPD estabelece a cifra dos dados como uma medida de proteção contra potenciais falhas de segurança. Quando estão envolvidos dados mais sensíveis e riscos maiores, o RGPD aconselha a cifra como uma medida técnica adequada para evitar ameaças. A cifra de dados torna-os ininteligíveis perante potenciais ataques e, assim, pode também evitar que as empresas tenham que reportar falhas, se não se verificar qualquer violação dos dados dos seus clientes. Há vários produtos e serviços que garantem a cifra robusta de dados em trânsito ou estáticos. Pode contactar a Eurotux para ficar a conhecer alguns deles.
Por onde devo começar para ficar em conformidade com o RGPD?
A sua empresa deve começar por fazer um levantamento de processos que conduzam à identificação dos sistemas, das atividades e dos colaboradores que interagem com dados pessoais. A seguir, deverá realizar um Privacy Impact Assessment, aplicando-se posteriormente o que for determinado em termos de processos, sistemas, tecnologias, pessoas, atividades, regulamentos internos ou até mesmo questões jurídicas.
Para saber mais: