O novo regulamento geral de proteção de dados entrou em vigor em maio deste ano e apesar de toda a informação que se gerou em torno desta nova lei, a verdade é que muitas empresas ainda se sentem perdidas e ainda não começaram a proteger a sua informação. Por esse motivo, preparamos um guia definitivo com todas as informações que precisa de conhecer para proteger o seu negócio ao abrigo da nova lei de proteção de dados!
O RGPD visa alinhar os requisitos de proteção de dados nos diversos Estados-membro da União Europeia, tornando assim esta questão mais coerente. Segundo um estudo da IDC, a segurança dos dados lidera a lista de preocupações nas empresas europeias e esta norma ajuda as organizações a garantirem a proteção da sua informação. Os cidadãos saem também beneficiados com esta lei, visto que ganham um maior controlo sobre os seus dados pessoais.
Dados pessoais são todos aqueles que que revelem a origem racial ou étnica, as opiniões políticas, convicções religiosas ou filosóficas ou afiliação sindical e dados relativos à vida sexual ou orientação sexual.
O regulamento cria barreiras adicionais às práticas atuais de recolha e tratamento de dados em Portugal e na União Europeia, introduzindo regras mais rígidas às empresas no que diz respeito ao consentimento para a recolha e tratamento de dados pessoais. As empresas têm que considerar a criação de um contrato com o titular dos dados, o cumprimento de obrigações jurídicas e a defesa de interesses vitais do titular dos dados. Com o novo regulamento um contacto de um cartão-de-visita, por exemplo, não poderá ser incluído em nenhuma base de dados sem o consentimento explícito do seu titular. Em termos práticos, a utilização de caixas previamente selecionadas, a ausência de respostas, a inatividade e o consentimento através de termos e condições deixarão de ser permitidos, pois nenhum dos meios apresentados é considerado um meio de demonstração do cumprimento dos requisitos de consentimento do novo regulamento.
A empresa deve garantir que os dados altamente sensíveis estão encriptados ou mascarados, para que não haja o risco de serem perdidos e a empresa ser vítima das pesadas multas que constam no novo regulamento. O Datapeeers oferece uma variedade de técnicas scrambling sofisticadas para proteger dados sensíveis, substituindo-os de forma irreversível por dados fictícios mas realistas.
Esta figura desempenha um papel essencial no período de transição da lei antiga para a nova legislação. A pessoa responsável pela proteção dos dados deve garantir que tudo se encontra perfeitamente legal à data de entrada em vigor do RGPD. Esta função é atribuída sempre que o processamento dos dados acontecer numa entidade pública; sempre que haja monitorização constante de pessoas em grande escala e sempre que há processamento de dados sensíveis em grande escala. Este profissional deve formar a sua equipa, realizar auditorias e ser o ponto de contacto com as autoridades de proteção de dados.
O novo regulamento exige que seja designado um DPO se um destes casos se verificar:
O DPO pode desempenhar as suas funções em tempo parcial ou a tempo inteiro e pode ser um colaborador interno da empresa ou contratado externamente. Deve ser um profissional com formação relevante para a área e é a pessoa responsável por todas as questões relacionadas com os dados pessoais na empresa.
De acordo com o RGPD, o Data Protection Officer (DPO) pode ser qualquer pessoa que trabalhe na organização, desde que reúna algumas condições. O DPO precisa de ter conhecimentos especializados no domínio do direito e nas práticas de proteção de dados. Não é obrigatório que seja um advogado, mas este profissional tem que ter conhecimentos jurídicos aprofundados na área de proteção de dados e experiência neste setor. O DPO terá que ter a capacidade para aconselhar a Administração da empresa e os seus colaboradores a respeito das obrigações do Regulamento, assim como das outras disposições de proteção de dados em vigor na UE e noutros Estados-Membros. É importante que este profissional tenha aptidão para ensinar, comunicar as suas ideias e fazer-se entender junto de todos os colaboradores da empresa. O DPO precisa de conhecer ao pormenor tudo sobre a empresa, nomeadamente procedimentos de cada departamento. Ao DPO exige-se ainda o controlo da conformidade dos processos da empresa com o novo RGPD, através de auditorias. O regulamento permite que o DPO desempenhe outras funções além da responsabilidade com a proteção dos dados, mas aconselha-se que este profissional dedique a maior parte (ou mesmo a totalidade) do seu tempo às questões de proteção de dados e cumprimento da legislação.
Sobre o autor