O RGPD é o tema do momento. No dia 25 de maio, o novo regulamento que visa proteger os dados pessoais dos cidadãos da União Europeia entra em vigor com carácter obrigatório. As principais mudanças desta lei relativamente à atual lei em vigor relacionam-se com o direito ao esquecimento, direito à portabilidade dos dados e mudanças no consentimento da autorização do tratamento dos dados por parte dos cidadãos. No artigo de hoje vamos abordar as mudanças que o RGPD vai trazer para a sua empresa!
Relativamente ao relacionamento online com clientes, os sistemas das empresas deverão expor as políticas de privacidade numa linguagem clara e objetiva. O consentimento do tratamento dos dados por parte dos cidadãos deverá ser guardado para servir como prova de consentimento livre e inequívoco. O regulamento cria barreiras adicionais às práticas atuais de recolha e tratamento de dados, introduzindo regras mais rígidas às empresas no que diz respeito ao consentimento para a recolha e tratamento de dados pessoais. As empresas têm que considerar a criação de um contrato com o titular dos dados, o cumprimento de obrigações jurídicas e a defesa de interesses vitais do titular dos dados. Com o novo regulamento um contacto de um cartão-de-visita, por exemplo, não poderá ser incluído em nenhuma base de dados sem o consentimento explícito do seu titular. Em termos práticos, a utilização de caixas previamente selecionadas, as ausências de respostas, a inatividade e o consentimento através de termos e condições deixarão de ser permitidos, pois nenhum dos meios apresentados é considerado um meio de demonstração do cumprimento dos requisitos de consentimento do novo regulamento.
Esta figura (também conhecida como DPO, Data Protection Officer) desempenha um papel essencial no período de transição da lei antiga para a nova legislação. A nomeação de um DPO é obrigatória nos seguintes casos: (1) sempre que o processamento dos dados acontecer numa entidade pública; (2) sempre que haja monitorização constante de pessoas em grande escala; (3) sempre que há processamento de dados sensíveis em grande escala; (4) em empresas com mais de 250 funcionários.
Deve registar detalhadamente todas as atividades relacionadas com o tratamento de dados pessoais, de modo a que a organização demonstre que cumpre todas as obrigações em vigor no RGPD. A legislação prevê que as entidades em regime de subcontratação tenham quase as mesmas obrigações que os responsáveis pelo tratamento, estando assim obrigadas a provar que cumprem o que é exigido.
As empresas e as organizações têm o dever de notificar a Autoridade Nacional de supervisão para violações de dados para situações que coloquem os indivíduos em risco e comunicar ao cidadão em causa todas as violações de alto risco o mais rapidamente possível, de modo a que se possam tomar as medidas adequadas.
Sobre o autor