O Regulamento Geral de Proteção de Dados (RGPD) entra em vigor em 25 de maio de 2018 e vem substituir a atual lei de proteção de dados. Esta regulamentação introduz maior rigor, novas regras iguais para toda a União Europeia, como também elevadas coimas em caso de incumprimento.
Estas novas alterações exigem uma atenção cuidada das empresas sendo necessário garantir politicas de segurança e proteção de dados mais eficientes.
A responsabilidade do cumprimento do RGPD cabe, exclusivamente, a cada empresa, que deve atualizar ou definir novos processos internos de forma a dar resposta ao Regulamento.
Confira 10 pontos essenciais para o cumprimento do Regulamento.
Informação aos titulares dos dados Rever toda a informação que fornece aos titulares dos dados (por escrito ou por telefone) no âmbito da recolha de dados, seja esta realizada diretamente junto do titular ou não. As informações a fornecer são designadamente a base legal para o tratamento de dados, o prazo de conservação dos dados, informações mais detalhadas sobre as transferências internacionais e a possibilidade de apresentar queixa junto da CNPD. Estas devem ser prestadas de forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. |
|
Exercício dos direitos dos titulares dos dados Rever os procedimentos internos de garantia do exercício dos direitos dos titulares dos dados. Os direitos dos titulares foram alargados em relação à atual lei, passando a existir o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação ou apagamento ou limitação de tratamento solicitados pelos titulares. |
|
Consentimento dos titulares dos dados Verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares, quando este serve de base legal para o Particular atenção deve ser dada ao consentimento dos menores ou dos seus representantes legais, considerando as exigências específicas do regulamento para este efeito. |
|
Dados sensíveis Avaliar a natureza dos tratamentos de dados efetuados, de forma a apurar quais os que se podem enquadrar no conceito de dados sensíveis. A estes dados pode aplicar-se condições específicas para o seu tratamento, relativas à licitude do tratamento, aos direitos ou às decisões automatizadas. |
|
Documentação e Registo de atividades de tratamento Documentar de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD. |
|
Contratos de subcontratação Deve rever os contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais para verificar se contêm todos os elementos exigidos pelo regulamento. O RGPD veio especificar o conteúdo dos contratos de subcontratação, impondo a introdução de um vasto conjunto de informações. Assim, será muito provável que os contratos existentes necessitem de ser modificados para respeitar os termos do regulamento. |
|
Encarregado de proteção de dados Este desempenhará um papel fulcral neste período de transição de forma a garantir que a organização cumpre todas as obrigações legais desde o início da aplicação do regulamento. Deve ser dada atenção à posição do encarregado de proteção de dados dentro da organização, bem como às funções que lhe são atribuídas pelo RGPD, cujo desempenho requer a satisfação de determinadas condições. Além das situações previstas no regulamento em que a organização está obrigada a designar um encarregado de proteção de dados (entidades públicas), a organização pode sempre, mesmo não se encontrando em nenhuma das circunstâncias exigíveis, decidir ter um encarregado de proteção de dados. |
|
Medidas técnicas e organizativas e segurança do tratamento Rever as políticas e práticas da organização à luz das novas obrigações do regulamento, adotando as medidas técnicas e organizativas |
|
Proteção de dados desde a conceção e avaliação de impacto Avaliar rigorosamente o tipo de tratamentos de dados que tenha projetado realizar num futuro próximo, de modo a analisar a sua natureza e contexto e os potenciais riscos que possam comportar para os titulares dos dados, de modo a aplicar com eficácia os princípios da proteção de dados desde a conceção e por defeito. |
|
Notificação de violações de segurança Adotar procedimentos internos e ao nível da subcontratação (se for o caso) para lidar com casos de violações de dados pessoais, designadamente na deteção, identificação e investigação das circunstâncias, medidas mitigadoras, circuitos da informação entre responsável e subcontratante, envolvimento do encarregado de proteção de dados e notificação à CNPD, atendendo aos prazos prescritos no regulamento. Nem todas as violações devem ser reportadas à autoridade de controlo, apenas aquelas que sejam suscetíveis de resultar num risco para os direitos dos titulares. Todavia, todas as violações devem ser devidamente documentadas conforme preceituado no regulamento. Também nalguns casos, em que possa resultar um elevado risco para os titulares, é exigido que estes sejam notificados, pelo que |
Texto baseado no documento “10 Medidas para Preparar a Aplicação do Regulamento Europeu de Proteção de Dados” da Comissão Nacional de Proteção de Dados.
Faça download do ebook e saiba mais: