Saltar para: Posts [1], Pesquisa [2]

Blogue RBE

Sex | 12.01.18

Novas regras relativas a dados pessoais | o que devemos saber sobre o RGPD

rgpd.png

 Autora: Joana de Sá | Fonte: JDS Advogados

 

Aplica-se a todas as empresas que tratem de dados pessoais, ou seja, que realizem operações que envolvam dados de pessoas singulares. Estas alterações afetam também todas as empresas que façam o seu negócio com cidadãos da UE, mesmo que a empresa esteja sediada fora da União.

 

Qualquer organização/empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação. 

 


DE QUE DADOS ESTAMOS A FALAR?


Informação relativa a uma pessoa singular identificada ou identificável. Inclui dados genéticos e dados biométricos. Conceito de identificável inclui o nome, número de identificação, dados de localização, identificadores por via eletrónica, bem como um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Tratamento inclui não só a recolha, mas também todo o “manuseamento”. 

 

ALTERAÇÕES AO REGULAMENTO


Algumas das inovações do sobredito diploma – Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27/04/2016:

 

Coimas máximas de 20 milhões de euros ou 4% do volume de negócios anual do grupo empresarial;


Substituição das notificações à CNPD por um sistema onde são as empresas que têm de decidir sozinhas se determinado tratamento é legal ou não, os conceitos de privacy by design e privacy by default;


Obrigação de implementação de medidas de segurança adequadas, como por exemplo mecanismos de encriptação;


Obrigação de designar um encarregado para a proteção de dados, a alteração das regras sobre obtenção de consentimento, novos direitos atribuídos aos titulares dos dados;


Implementação do direito de portabilidade, a criação de obrigações acrescidas para os subcontratados;


Obrigações de notificação relativas a violações de dados pessoais. 

 

NOVOS TERMOS DE SEGURANÇA


Privacy by design
Privacidade desde a conceção, significa que a cada novo processo de negócios ou serviço que use dados pessoais, deve-se ter em conta a proteção desses mesmos dados. Na prática, significa que o departamento tecnologias e informação (TI) tem de dar importância à privacidade durante todo o ciclo de vida do desenvolvimento ou processos de tratamento de dados pessoais.

 

Privacy by default
Significa que as configurações de privacidade aplicam-se automaticamente quando um cliente adquire um novo produto ou serviço. Noutras palavras, não deverá ser necessária qualquer alteração manual para que as configurações de privacidade sejam aplicadas a todos os novos titulares de dados pessoais de um determinado sistema. 

 

Accountability
Exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organização e demonstrar às autoridades de proteção de dados e aos titulares dos dados que toda esta informação pessoal está em segurança.

 

Oposição ao profiling
Os titulares dos dados têm direito a opor-se ao uso de profiling, ou seja, qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais.

 

Privacy impact assessments
Permite que a organização encontre problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos à reputação que poderiam acompanhar uma violação das leis e regulamentos de proteção de dados.

 

 

PASSOS A SEGUIR PARA O CUMPRIMENTO DO RGPD

 

desafios.png

 

 

AS VERIFICAÇÕES QUE DEVEMOS FAZER

 

  • Onde estão os dados pessoais?
  • Sistemas? Papel? Estão atualizados?
  • Possuímos um registo organizado?
  • Temos consentimento dos titulares de dados com todos os requisitos do RGPD?
  • Estamos preparados para dar resposta a todos os direitos dos titulares de dados?
  • Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?
  • Conseguimos detetar qualquer violação de dados logo que ocorra e comunicá-la em 72 horas?
  • Temos políticas e procedimentos que permitam avaliar e gerir os riscos?
  • Conseguimos recolher evidências e demonstrar que cumprimos com o RGPD?
  • E enquanto processador de dados por conta de terceiros, cumprimos o RGPD?
  • Já nomeámos um Encarregado da Proteção dos Dados (DPO)? 

 

SABIA QUE...

grafico.png

 

Tal como referido, a aplicação da legislação comunitária em análise está agendada já para Maio, pelo que se revela urgente a consciencialização e formação dos principais sujeitos abrangidos por este novo regulamento, bem assim como que se iniciem as operações tendentes à implementação das boas práticas e regras de regulação e funcionamento que permitam o cumprimento do RGPD.

 

JDSadvogados | Janeiro 2018

 

Conteúdo relacionado:

_____________________________________________________________________________________________________________________

Este trabalho está licenciado sob licença: CC BY-NC-SA 4.0