O que muda com a nova legislação para as PME
1. O que são dados pessoais?
Dados pessoais» é a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular
2. Como podem as PME prepararem-se ao novo regulamento?
As empresas são desafiadas a estarem bem informadas num mercado onde a informação sólida, que neste tema novo é um recurso escasso: na realidade, existem poucas pessoas completamente habilitadas para aconselharem sobre o Regulamento. Recomendo que procurem profissionais certificados neste tema da Privacidade e Proteção de Dados.
3. Quais as obrigações que as empresas passam a ter ao nível do tratamento de dados?
As empresas, para além de procurarem profissionais certificados, deverão ter em conta que o Programa de Conformidade para o cumprimento do RGPD pode ser realizado seguindo um processo de quatro passos.
O primeiro passo do processo, é a realização de uma Auditoria e Avaliação. Este passo visa obter uma compreensão da organização e da sua conformidade presente. Na metodologia que defendo, as empresas são convidadas a rever uma lista de formalidades, sendo elas nas áreas da Transparência (ou seja, Política de Privacidade), Recolha e Limitação das Finalidade, Consentimento, Qualidade dos Dados, Gestão do Programa de Privacidade, Segurança no Contexto de Privacidade, Prontidão e resposta à Violação de Dados, Direitos Individuais e Soluções.
O segundo passo, deverá ser realizada uma Inventariação e Mapeamento dos Dados Pessoais, seguida de uma Análise de Conformidade e Avaliação de Risco.
Com o mapeamento e inventariação efetuados, avaliada a conformidade e o nível de risco, o terceiro passo é construir um plano atribuindo prioridades com base nos riscos e nível de esforço para as Organizações.
Depois de termos concluído o plano e obtido apoio organizacional, podemos dar início ao quarto passo, a implementação de todas as medidas de correção para a conformidade.
Exemplos:
O que fazer: verificar se os contratos têm cláusulas que regulem a privacidade e a proteção de dados; Na prática: integrar nos contratos cláusulas que estabeleçam as responsabilidades de ambas as partes do negócio;
O que fazer: quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais; Na prática: ter uma declaração escrita e se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples;
O que fazer: os Titulares dos Dados têm o direito de serem informados de quem é o Responsável pelo Tratamento dos seus dados pessoais; Na prática: informar por escrito quem é o Encarregado de Proteção de Dados da Empresa, divulgar no site, etc;
O que fazer: se o consentimento for exigido pelo Responsável pelo Tratamento para tratar os dados pessoais o titular dos dados, poderá, a qualquer momento, revogar tal consentimento. Na prática: Como? Através de notificação por escrito ao Encarregado de Proteção de Dados
O que fazer: Os Titulares dos Dados têm o direito de solicitar que todos os dados pessoais imprecisos sobre si sejam corrigidos, bloqueados, apagados ou destruídos; Na prática: Estar preparado do ponto de vista dos Processos e da Tecnologia.
O que fazer: Os Titulares dos Dados tem o direito de solicitar ao Responsável pelo Tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao seus dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados; Na prática: Mudar Mentalidades, delinear Processos e validar a Tecnologia porque, por exemplo, titular dos dados tem o direito de obter, sem demora injustificada, do Responsável pelo Tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Para além de que, tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
4. Quais as novas limitações/obrigações para os colaboradores e responsáveis da empresa que o novo regulamento implica, a nível do tratamento da informação?
No quadro geral do princípio da "responsabilidade" o responsável pelo tratamento tem de poder comprovar o respeito pelos seis Princípios da Privacidade. As empresas, responsáveis pelo tratamento de dados devem saber, como se traduz, na prática, os princípios da Privacidade, que são: Licitude, lealdade e transparência; Limitação das finalidades; Minimização dos dados; Exatidão (exatos e atualizados sempre que necessário); Limitação da conservação; integridade e confidencialidade.
Isto significa, por exemplo, uma empresa que queira cumprir o princípio da licitude deve obter um consentimento válido. Logo quem tinha no seu Site a cruzinha do sim já preenchida, irá ter de alterar a forma de obter consentimento, porque o RGPD exige um comportamento ativo por parte das pessoas.
Também, terá de garantir que é tão fácil retirar o consentimento como dá-lo, logo há que instalar formas rápidas de retirar o consentimento e estar preparado para apagar dados.
5. De um lado as Empresas têm a obrigatoriedade de cumprir os Princípios da Privacidade e, de outro, os Titulares de Dados Pessoais, isto é, as Pessoas Individuais com uma grande diversidade de Direitos. Podemos ter uma visão de que Direitos estamos a falar?
Os direitos dos Titulares dos Dados podem ser elencados como o Direito à Informação, o Direito de Acesso aos seus dados, o Direito de retificação de dados inexatos, o Direito ao apagamento dos dados («direito a ser esquecido»), Direito de oposição, Direito à limitação do tratamento (inexatidão ou oposição em avaliação), Direito a notificação de retificação ou apagamento ou limitação de tratamento, Direito de portabilidade, Direito de oposição a decisões individuais automatizadas.
As Empresas sabem que a cada um destes direitos corresponde uma obrigação da sua parte, o que irá obrigar a refletir sobre esta matéria e, já não existe muito tempo para implementar. O prazo para se estar de acordo com o regulamento determina a sua conformidade a 25 de Maio de 2018.
6. Portabilidade de dados - o que é, para que serve?
Os titulares dos dados têm o direito a solicitar a Portabilidade dos seus dados pessoais, isto é, pedir ao Responsável do Tratamento de Dados que lhe forneça todas as informações reunidas sobre o mesmo, de modo legível e em suporte adequado. Esta informação pode ser para conhecimento do próprio ou para fornecer a outra entidade. Por exemplo, se mudarmos de seguradora, podemos pedir os nossos dados de forma a entregar na nova seguradora, ou novo hospital privado, outra empresa fornecedora de energia ou empresa de telecomunicações. Ou seja, os nossos dados na posse de uma entidade podem ser portados, a nosso pedido para outra entidade da mesma área ou área diversa.
7. A figura do DPO: a obrigatoriedade da sua adoção - estou abrangido? Diferença entre interno e externo.
O DPO - Data Protection Officer, ou Encarregado da Proteção de Dados, não é obrigatório para todas as organizações mas o responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o.
O DPO:
Pode desempenhar as funções em part-time ou a tempo inteiro; Pode ser um colaborador interno ou em outsourcing; Tem que ser um colaborador com relevante formação e experiência na proteção de dados pessoais; Reporta à Gestão de Topo; Deve permanecer independente e protegido; Controla a conformidade e fornece conselhos e orientações sobre questões de proteção de dados. Incluindo, a repartição de responsabilidades, a sensibilização e formação do pessoal, e auditorias correspondentes; Coopera com a autoridade de controlo e é o ponto de contacto primário
Para as PME, as vantagens do Encarregado de Proteção de dados externo são claras: tem uma função independente e com conhecimento de diferentes sectores, o que lhe permite acesso as melhores práticas. Paralelamente, não cria dependências das empresas permitindo maior distanciamento e aconselhamento mais isento, para além de ser muito menos oneroso, o que é cada vez mais importante.
8. A responsabilidade do diretor de PME com a nova legislação
Deverá ser elaborado um de código de conduta interna, que defina os graus de acesso à informação dos colaboradores dentro da organização, e que obrigue os dados, independentemente do suporte, sejam sempre encriptados/protegidos, nos casos em que se percam os suportes com a informação, sejam pens, telemóveis, computadores...De outra forma, é considerado data breach as organizações sujeitas a elevadas multas elevadas.