RGPD: perguntas e respostas sobre a nova lei de proteção de dados

RGPD: perguntas e respostas sobre a nova lei de proteção de dados

O RGPD entrou em vigor no dia 25 de maio, mas ainda existem algumas dúvidas quanto ao âmbito da sua atuação. As empresas precisam de estar preparadas para não correrem o risco de sofrer com as avultadas multas que esta lei contempla. Preparamos algumas perguntas e respostas sobre a nova lei de proteção de dados e esperamos que este artigo seja útil para si!

Quando é que o Data Protection Officer é obrigatório?

Esta figura (também conhecida como DPO, Data Protection Officer) desempenha um papel essencial no período de transição da lei antiga para a nova legislação. A nomeação de um DPO é obrigatória nos seguintes casos: (1) sempre que o processamento dos dados acontecer numa entidade pública; (2) sempre que haja monitorização constante de pessoas em grande escala; (3) sempre que há processamento de dados sensíveis em grande escala.

Quem pode desempenhar o papel de Data Protection Officer?

De acordo com o RGPD, o Data Protection Officer (DPO) pode ser qualquer pessoa que trabalhe na organização, desde que reúna algumas condições. O DPO precisa de ter conhecimentos especializados no domínio do direito e nas práticas de proteção de dados. Não é obrigatório que seja um advogado, mas este profissional tem que ter conhecimentos jurídicos aprofundados na área de proteção de dados e experiência neste setor. O DPO terá que ter a capacidade para aconselhar a Administração da empresa e os seus colaboradores a respeito das obrigações do Regulamento, assim como das outras disposições de proteção de dados em vigor na UE e noutros Estados-Membros. É importante que este profissional tenha aptidão para ensinar, comunicar as suas ideias e fazer-se entender junto de todos os colaboradores da empresa. O DPO precisa de conhecer ao pormenor tudo sobre a empresa, nomeadamente procedimentos de cada departamento. Ao DPO exige-se ainda o controlo da conformidade dos processos da empresa com o novo RGPD, através de auditorias. O regulamento permite que o DPO desempenhe outras funções além da responsabilidade com a proteção dos dados, mas aconselha-se que este profissional dedique a maior parte (ou mesmo a totalidade) do seu tempo às questões de proteção de dados e cumprimento da legislação.

O que é a Avaliação de Impacto sobre Protecção de Dados (DPIA)?

De acordo com a Comissão Europeia, o DPIA (Data Privacy Impact Assessment, ou seja, Avaliação de Impacto da Privacidade de Dados) é um processo destinado a descrever o processamento de dados privados, que avalia a necessidade de um processamento e que ajuda a gerir os riscos relacionados com o processamento dos dados pessoais É uma avaliação de risco, que relaciona o impacto da concretização de ameaças de privacidade de dados com a sua probabilidade de acontecer. É necessário obter consentimento do titular dos dados no caso de uma base de dados com informação de domínio público (ex: nº de ordem profissional no setor da Saúde)? Esta questão é um paradigma, pois os dados relacionados com o setor da Saúde são sensíveis e recomenda-se o acesso apenas aos dados estritamente necessários para a prossecução da função do colaborador. Nestas situações, de modo a manter a confidencialidade e integridade dos dados, aconselha-lhe a utilização de uma ferramenta de mascaramento de dados, como o Datapeers.

Quais são as principais mudanças relativamente ao consentimento por parte dos indivíduos e das empresas?

O regulamento cria barreiras adicionais às práticas atuais de recolha e tratamento de dados em Portugal, introduzindo regras mais rígidas às empresas no que diz respeito ao consentimento para a recolha e tratamento de dados pessoais. As empresas têm que considerar a criação de um contrato com o titular dos dados, o cumprimento de obrigações jurídicas e a defesa de interesses vitais do titular dos dados. Com o novo regulamento um contacto de um cartão-de-visita, por exemplo, não poderá ser incluído em nenhuma base de dados sem o consentimento explícito do seu titular. Em termos práticos, a utilização de caixas previamente selecionadas, a ausência de respostas, a inatividade e o consentimento através de termos e condições deixarão de ser permitidos, pois nenhum dos meios apresentados é considerado um meio de demonstração do cumprimento dos requisitos de consentimento do novo regulamento.

Se detetar uma violação de segurança de dados, quem devo notificar?

O cidadão lesado e a Comissão Nacional de Proteção de Dados.

O consentimento implícito através de “Termos e Condições” continua a ser permitido no novo Regulamento?

Não, tem que haver um consentimento explícito por parte dos cidadãos.

Ao abrigo do RGPD, a encriptação dos dados é obrigatória? A encriptação não é obrigatória.

Cabe às empresas dotarem-se dos mecanismos necessários para garantir a proteção e confidencialidade dos dados.

Sobre o autor

Marketing administrator

Deixar uma resposta