O novo regulamento irá ter grande impacto nas empresas e as coimas previstas para quem não cumprir são deveras pesadas.
A partir de 25 de Maio deste ano irá entrar em vigor o novo regulamento de protecção de dados. O que implica?
Acima de tudo a União Europeia pretende garantir a protecção das pessoas singulares no que toca ao tratamento dos dados pessoais e à circulação livre desses mesmos dados.
Agora existirão novas regras, e acima de tudo coimas elevadas em caso de incumprimento,
Os direitos dos titulares dos dados está mais protegido, e isso surge à custa de novas obrigações junto das empresas que lidam com eles.
Acima de tudo o que há a saber-se é que o novo Regulamento Geral de Protecção de Dados tem coimas avultadas e a Comissão Nacional de Protecção de Dados será atuante.
A união Europeia quer mesmo dissuadir os incumprimentos prevendo coimas que podem alcançar 4% da facturação anual, ou 20 milhões de euros – e pasmem-se… de acordo com o jornal Público, a coima é sempre pelo valor que for maior. Para delitos menores a multa será de 2% da facturação anual ou 10 milhões de euros. No entanto o governo Português parece querer descer e muito estas multas atirando valores de 2000 euros para delitos graves, 1000 em menores, nas PME, 5000 e 2500 para grandes empresas, e 1000 e 500 para pessoas singulares. Valores pesados, mas que são bem diferentes dos valores dissuasores que a UE aponta, e que não sabemos se Portugal não terá de seguir!
Este regulamento não se cinge a questões legais e IT. É transversal na organização e implica que estas implementem um sistema de gestão de risco, um sistema de gestão de segurança da informação e a adopção de comportamentos novos, sendo que as organizações necessitam de provar que cumprem com o regulamento.
Acima de tudo qualquer tratamento de dados pessoais, mesmo que recolhidos antes do regulamento, terá de cumprir com ele. A necessidade do consentimento do titular é essencial para se poder manter os mesmos, e este consentimento tem de ser livre, específico, informado, explícito e por ato inequívoco.
Mais ainda, a possibilidade da pessoa retirar o consentimento da manutenção dos dados deverá ser tão simples quanto é o conceder do mesmo, sendo que os consentimentos já existentes, na sua grande maioria, não cumprem com os requisitos do novo RGPD, obrigando a se obter novo consentimento.
Agora, em caso de queixa à Comissão Nacional de Protecção de Dados, a organização tem de provar o consentimento, mostrando que:
• Os dados pessoais que possuem são legítimos e estão limitados ao que é necessário
• Os dados estão atualizados, seguros e confidenciais
• Têm políticas, procedimentos, códigos de conduta e instruções internas, formalizadas e capazes de serem disponibilizadas às entidades de supervisão
• Possuem sistemas para monitorizar se as políticas e procedimentos estão a ser seguidas.
• Possuem registos probatórios desse consentimento (algo que invalida o mero consentimento verbal)
Terão ainda de provar que ao possuírem estes dados, as empresas garantem os direitos associados ao consentimento da sua manutenção, nomeadamente.
• O direito de ser esquecido: o titular de dados tem direito a solicitar que os dados sejam apagados
• O direito de portabilidade: o titular de dados pode solicitar que os dados que disponibilizou a um prestador de serviços sejam transferidos para outro prestador, desde que tecnicamente possível
• O direito de não sujeição a nenhuma decisão tomada apenas com base no tratamento automatizado.
A segurança destes dados tem de ser reforçada e a empresa necessita de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento, o que na prática significa a obrigatoriedade (por lei) de implementação de um sistema de gestão de segurança da informação, algo que a maior parte das empresas não possui.
Existe ainda a obrigatoriedade de rapidamente e facilmente localizar dados pessoais e eliminar os não conformes, quer nos diversos sistemas quer em papel, quer nas Organizações quer nos subcontratados para tratamento.
De notar que para cumprimento do de cima poderão existir custos significativos de adaptação dos sistemas às novas regras e a técnicas de proteção recomendadas, sendo introduzido o conceito Privacy by Design, que inclui a protecção de dados desde a concepção e por defeito, o que requer a inclusão desta temática nos processos de desenvolvimento do tratamento de dados.
A CNPD terá de ser notificada (em 72 horas) de todas as violações de dados com risco para o titular. Para tal, as Organizações têm de ser capazes detectar qualquer violação de dados, logo que ocorra.
Nesse sentido as empresas que pretendam manter dados pessoais requerem um “Data Protection Officer” (DPO), ou Encarregado da Protecção de Dados, sendo que mesmo nos casos onde este não seja mandatório deverá existir um responsável pelo tratamento e proteção dos dados pessoais.
Deixamos de seguida um link para poderem descarregar um White Paper do novo RGPD para que possam consultar as exigências e conformidade do cumprimento com o novo regulamento!
E lembrem-se… a partir do dia 25, isto vai “piar fino” pois o risco de uma coima que eventualmente pode atingir 10 milhões de euros retiraria de circulação a maior parte das empresas. Daí que estejam cientes dos vossos direitos e obrigações pois perante estas coimas não é sequer previsível que as empresas ponderem continuar a recolher dados. E em caso de problemas… queixem-se! Quer a nível nacional, quer internacional! A lei está do vosso lado e ninguém tem de ter dados vossos sem autorização, algo que se estava a tornar uma praga actualmente.
COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS
R. de São Bento 148, 1200-031 Lisboa
Telefone: 21 392 8400
COMISSÃO EUROPEIA
Secretário-Geral
B-1049 Bruxelas
BÉLGICA
Fax: 3222964335
Nota: Se queres verificar se a tua empresa cumpre com os requerimentos necessários para o armazenamento e processamento de dados pessoais de terceiros, segue este link.