Opinião

Opinião. As empresas portuguesas e as novas regras da proteção de dados

As mudanças introduzidas poderão ter diferentes impactos e resultados expressivos na vida das organizações

A partir de maio de 2018 o novo Regulamento Geral de Proteção de Dados (RGPD) entra em vigor nos 28 Estados-Membros da União Europeia e apresenta desafios legais significativos – e novas oportunidades – para todas as organizações.

As mudanças introduzidas poderão ter diferentes impactos e resultados expressivos na vida das organizações, consoante a sua natureza, área de atividade, dimensão e tipo de tratamentos de dados pessoais que realizem. Torna-se, por isso, essencial conhecer o que trazem de novo estas novas regras, analisar as novas obrigações, verificar o nível atual de cumprimento e adotar as medidas necessárias durante este período de transição, de modo a assegurar que em maio de 2018 tudo estará pronto.

O novo RGDP aplica-se a todas as organizações, de forma direta ou indireta, embora com diferentes níveis de conformidade. No limite, algumas organizações terão que assegurar a conformidade com o RGPD em duas perspetivas: a interna e a externa.

Em termos práticos isto significa que, no caso de a organização prestar serviços ou comercializar produtos para o Mercado, esses serviços e produtos também terão que estar conforme o RGPD (caso lidem com dados privados), e não apenas os seus processos internos. Talvez o exemplo mais direto seja o das empresa produtoras de software, que terão necessariamente que garantir a conformidade dos seus processos internos, ao mesmo tempo que o software que desenvolvem terá igualmente que estar de acordo com a nova Lei, naturalmente, caso lide com dados privados.

A Comissão Nacional de Proteção de Dados fez um excelente trabalho ao identificar os principais pontos a ter em conta para a conformidade com o RGPD. Os seis pontos que se seguem ajudam a perceber o verdadeiro alcance das alterações a caminho:

Informação aos titulares dos dados

Dentro das exigências de maior transparência do RGPD, deve ter em atenção que as informações devem ser prestadas aos cidadãos de forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples.

Reveja a informação que fornece aos titulares dos dados, por escrito ou por telefone. Deve ser tido particular cuidado quando as informações são dirigidas a crianças;

Direitos dos titulares dos dados

Passa a existir o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação, eliminação ou limitação de tratamento solicitados pelos titulares.

Deve rever os procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, em especial aos prazos máximos de resposta. Não se esqueça que todos os procedimentos devem ser devidamente documentados;

Consentimento dos titulares dos dados

Deve verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares, quando este serve de base legal para o tratamento de dados pessoais. O regulamento alarga o conceito de consentimento e introduz novas condições para a sua obtenção, pelo que é necessário apurar se o consentimento obtido pelo responsável pelo tratamento respeita todas as novas exigências;

Dados sensíveis

Deve avaliar a natureza dos tratamentos de dados efetuados, a fim de apurar quais os que se enquadram no conceito de dados sensíveis e, consequentemente, se aos quais se aplicam condições específicas para o seu tratamento quanto à licitude do tratamento, aos direitos ou às decisões automatizadas.

O regulamento veio estender o leque das categorias especiais de dados, integrando, por exemplo, os dados biométricos, que passaram a fazer parte do elenco de dados sensíveis.

Deve analisar também o contexto e a escala destes tratamentos de dados para verificar se daí decorrem obrigações particulares, tais como a designação de um encarregado de proteção de dados (DPO);

Documentação e registo de atividades de tratamento

De modo a que as organizações estejam aptam a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD, é importante documentar detalhadamente todas as atividades relacionadas com o tratamento de dados pessoais – tanto as que resultam diretamente da obrigação de manter um registo, como as relativas a outros procedimentos internos;

Organização e segurança do tratamento

À luz das novas condições regulamentares, as entidades devem adotar as medidas técnicas e organizativas necessárias para assegurar e comprovar que todos os tratamentos de dados efetuados estão em conformidade com o RGPD, a partir do momento da sua aplicação.

Na avaliação precedente há que ter em conta a natureza, âmbito, contexto e finalidades dos tratamentos de dados, bem como os riscos que deles podem decorrer para os direitos e liberdades dos cidadãos.

A menos de um ano de distância desta mudança, importa assim assumir que a abordagem correta das empresas deverá ser contínua e holística, de modo a assegurar a conformidade total com os novos regulamentos e, dessa forma, capitalizar mais rapidamente o potencial que deles resultar.

Comentários
Outras Notícias que lhe podem interessar
Hoje
Fotografia: Adelino Meireles/Global Imagens

IEFP. Desemprego registado cai para mínimo de 16 anos

Turismo. Fotografia: REUTERS/Nacho Doce

Excedente comercial nacional afunda mais de 68% no 1º semestre

O ministro das Finanças, Mário Centeno MANUEL DE ALMEIDA/LUSA

Orçamento pode trazer novo alívio de 200 milhões de euros no IRS

Outros conteúdos GMG
Opinião. As empresas portuguesas e as novas regras da proteção de dados