Como garanto que a minha empresa cumpre o RGPD?

Com a ajuda de quem melhor sabe, o Dinheiro Vivo dá resposta a questões relacionadas com proteção de dados.

Ricardo Henriques, sócio da Abreu Advogados, responde aqui às suas questões sobre o Regime Geral de Proteção de Dados em Portugal (RGPD). Envie o seu caso ou dúvida para editorial@dinheirovivo.pt

Que ações fundamentais devo cumprir para garantir que a minha empresa não viola o RGPD?

Existem diversas ações a tomar para cumprir com o RGPD e evitar violações. Desde logo, deverá cumprir com os vários princípios do RGPD, isto é: tratar os dados de uma forma lícita, leal e transparente em relação ao titular dos dados, apenas tratando os mesmos para finalidades determinadas, explícitas e legítimas e não tratando os mesmos de uma forma incompatível com essas finalidades; tratar apenas os dados que sejam adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados; tomar as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora; conservar os dados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; tratar os dados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.

É também importante mencionar mais dois princípios centrais em todas as operações de tratamento: a proteção de dados desde a conceção e por defeito (by design and by default): a consideração da proteção de dados em todos os momentos de conceção de um produto ou serviço e a escolha da configuração que, por defeito, mais salvaguarde os direitos dos titulares de dados.

O RGPD exige ainda que um responsável pelo tratamento aplique as medidas técnicas e organizativas adequadas para assegurar e ser capaz de demonstrar que o tratamento é realizado em conformidade com o RGPD. Algumas dessas medidas recomendadas são, desde logo a nomeação de um encarregado de proteção de dados e a manutenção de um registo das atividades de tratamento completo; a implementação de medidas de segurança física da informação e de avisos, políticas e procedimentos internos; e a celebração de contratos escritos com terceiros e subcontratantes relativos ao tratamento de dados e a realização de ações de formação e de sensibilização de todos os envolvidos nas operações de tratamento.

Será ainda fulcral a realização de avaliações de impacto sobre a proteção de dados para os tratamentos de dados que assim o justifiquem e a manutenção de um registo de violações de dados, para além das necessárias notificações à CNPD e aos titulares de dados, quando aplicável.

Recomendadas

Outros Conteúdos GMG

Patrocinado

Apoio de