A Privacidade de Dados está hoje no centro do mundo

2019-01-28


Um olhar sobre as principais alterações trazidas pelo RGPD no dia em que se comemora o Dia Internacional da Privacidade de Dados

 

A sociedade de informação em que vivemos, onde a crescente adoção da internet, das redes sociais e dos modelos de negócio digitais trouxeram enormes desafios na proteção dos dados pessoais e da privacidade, foi mote para a maior alteração legislativa destas matérias em 20 anos: o RGPD – Regulamento Geral de Proteção de Dados.

Embora os princípios-chave da privacidade de dados ainda se mantenham fiéis à diretiva anterior, muitas mudanças foram propostas para as políticas reguladoras, que trazem impactos diretos nos negócios e nas empresas.

Vejamos as principais alterações:

 

Aumento do Escopo Territorial (aplicabilidade extraterritorial)

Indiscutivelmente, a maior mudança no panorama regulatório da privacidade de dados está ligada à jurisdição estendida do RGPD, uma vez que se aplica a todas as empresas que processam os dados pessoais dos titulares de dados residentes na União Europeia, independentemente da localização da empresa.
Anteriormente, a aplicabilidade territorial da diretiva era ambígua e referia-se ao processo de dados "no contexto de um estabelecimento".
O RGPD torna a sua aplicabilidade muito clara: aplica-se não só a sujeitos e estabelecimentos da UE, mas também a estabelecimentos que, estando fora da UE, ofereçam bens ou serviços no espaço europeu (quer seja a cidadãos europeus ou não) ou controlem comportamentos no espaço europeu.

 

Penalidades

As organizações que violem o RGPD podem ser multadas em 4% da sua faturação global anual ou 20 milhões de euros (o de valor superior). Esta é a penalidade máxima que pode ser imposta para as infrações mais graves, por exemplo, não ter o consentimento suficiente do cliente para processar dados, ou violar questões centrais do conceito de Privacy by Design.
Com o RGPD, foi criada uma abordagem escalonada para as multas, em que uma empresa pode ser multada em 2% da sua faturação global anual por não ter os seus registos em ordem (artigo 28), por não notificar a autoridade supervisora e o titular dos dados sobre uma violação, ou por não realizar uma Avaliação de Impacto (Data Protection Impact Assessment).
De reforçar que estas regras se aplicam tanto aos responsáveis pelo tratamento quanto aos subcontratados, o que significa que as clouds não estão isentas da fiscalização do RGPD.

 

Consentimento

As condições de consentimento foram reforçadas e as empresas deixam de poder usar termos e condições longos e ilegíveis. O pedido de consentimento deve ser dado de forma clara e de fácil acesso, com informação precisa sobre a finalidade de processamento desses dados. O consentimento do titular deve ser livre e manifestado de forma específica, explícita e informada, passando a ser ilícito o consentimento tácito. Deve ser tão fácil retirar o consentimento quanto dá-lo.

 

Direitos dos Titulares de Dados

1. Notificação de violação

À luz do RGPD, as notificações são obrigatórias sempre que uma violação de dados seja suscetível de "resultar em risco para os direitos e liberdades dos indivíduos". A notificação à autoridade supervisora deve ser feita até 72 horas após o conhecimento da violação. Os subcontratados também são obrigados a notificar os seus clientes e os responsáveis pelo tratamento.

 

2. Direito ao Acesso

Parte dos direitos expandidos dos titulares de dados delineados pelo RGPD é o direito a obterem a informação sobre quais os dados pessoais que estão a ser utilizados, onde e com que finalidade, quer estejam ou não a ser processados. O responsável pelo tratamento deve fornecer gratuitamente uma cópia dos dados pessoais em formato eletrónico ao seu titular, caso seja solicitado. Esta é uma mudança drástica na transparência de dados e no fortalecimento dos direitos dos titulares de dados.

 

3. Direito ao Esquecimento

O direito a ser esquecido autoriza o titular de dados a fazer com que o responsável pelo tratamento apague os seus dados pessoais, interrompa a sua disseminação e potencialmente suspenda o seu processamento.
As condições para o apagamento, conforme descrito no artigo 17, incluem os dados que não sejam relevantes para a finalidade do processamento, ou a retirada de consentimento de um titular de dados.

 

Portabilidade dos Dados

O RGPD introduz o conceito de portabilidade de dados, ou seja, o direito de um titular a receber os dados pessoais que lhe digam respeito e que tenha fornecido, num formato digital e de utilização generalizada. O titular pode ainda de transmitir/ transferir esses dados para outro prestador.

 

Privacy by Design

O conceito de Privacy by Design existe há anos, mas torna-se com o RGPD numa exigência legal.
Na sua essência, o Privacy by Design exige a inclusão da proteção de dados desde a conceção dos sistemas, e não como um acréscimo ou adaptação. Trata-se de medidas técnicas e organizativas que podem passar pela minimização de dados, o controlo de acessos, a rastreabilidade, a pseudonimização ou a anonimização.

 

DPO – Encarregado de Proteção de Dados

À luz do RGPD, não é necessário enviar notificações e registos para a autoridade supervisora sobre as atividades de processamento de dados, nem é obrigatório notificar ou obter aprovação para transferências de dados: estamos perante um sistema de autorregulação, em que se exige a manutenção de registos internos.
A nomeação de um DPO é obrigatória apenas nas entidades públicas ou nas organizações cujas atividades principais consistam em operações de tratamento de dados ou de tratamento em grande escala de categorias especiais de dados, ou dados relativos a condenações e infrações penais.

O perfil do Encarregado de Proteção de Dados:

  • Deve ser nomeado com base nas suas qualidades profissionais e, em particular, no conhecimento especializado sobre legislação e práticas de proteção de dados;
  • Pode ser um membro da equipa ou um prestador de serviços externo;
  • Os detalhes de contacto devem ser fornecidos à CNPD;
  • Deve ter ao seu dispor os recursos apropriados para realizar as suas tarefas e manter os seus conhecimentos especializados;
  • Deve reportar diretamente ao mais alto nível de administração;
  • Não deve executar nenhuma outra tarefa que possa resultar num conflito de interesses.

 

Como a Moneris pode ajudar?

Esta nova regulamentação reveste-se de alguma complexidade, representando um desafio para todas as empresas e organizações, públicas e privadas, que terão de implementar ferramentas de controlo e procedimentos específicos para a gestão e proteção dos dados dos seus clientes e colaboradores.

Mas conformar uma organização ao RGPD pode ser muito mais do que aplicar as novas regras de Privacidade e Proteção de Dados. Com o parceiro certo e um processo desenhado à sua medida, pode caminhar para uma visão consolidada da gestão de risco e ulterior qualidade dos processos internos.

Para acompanhá-lo neste desafio, a Moneris reuniu um conjunto de especialistas e parceiros, com experiência e know-how comprovados, para tornar este complexo processo mais simples, apoiando a sua organização em toda a linha processual, com um pacote chave na mão.

Conheça a nossa proposta diferenciada e adaptada às especificidades da sua organização. Fale connosco através do seu Gestor Moneris local, ou através dos nossos contactos: info@moneris.pt | 210 316 400.

 

Proposta Moneris - RGPD