Thirteen

POLÍTICA | 8 Coisas que precisas de saber sobre o RGPD

O RGPD (Regulamento Geral de Proteção de Dados) - GDPR (General Data Protection Regulation) - é um diploma europeu que nos traz algumas mudanças no que diz respeito às bases de dados e à forma como as utilizamos atualmente. A sua premissa é simples: uniformizar a legislação do mundo digital e aplicar as mesmas regras em todos os países-membros da União Europeia relativamente à proteção e tratamento dos dados pessoais dos cidadãos.

De uma forma geral, as mudanças são significativas e acabam por ter impacto na vida de quem trabalha com bases de dados, sejam elas mais ou menos sensíveis, mais ou menos detalhadas. O impacto será diferente de negócio para negócio consoante a natureza dos dados e a razão para a sua recolha e utilização mas, para que tudo seja mais simples, é essencial conhecer as regras e perceber quais as medidas que deverão ser adoptadas antes do dia 25 de Maio.

Encarregado de Proteção de Dados (DPO - Data Protection Officer) | O Encarregado de Proteção de Dados (EPD) é o responsável por garantir que o RGPD está a ser cumprido. Deve ser alguém que tenha conhecimento da lei e, para além de responder em caso de fiscalização, deve ser uma figura com alguma capacidade de liderança, que oriente o resto da equipa para o cumprimento das obrigações do diploma. Nem todas as organizações precisam de um EPD porém, se lidarem com dados considerados sensíveis, a sua designação é obrigatória. O EPD poderá ser um colaborador da empresa - não é necessária nenhuma formação em específico - ou um consultor subcontratado para o efeito.

Direitos dos titulares dos dados | O RGPD não só confere novos direitos aos titulares dos dados - o direito à portabilidade e o direito à limitação do tratamento - como também aponta novos requisitos no que diz respeito à eliminação de dados. As empresas - e quando digo empresas ou organizações refiro-me também a qualquer pessoa ou blogue que tenha e utilize uma base de dados - devem ter em atenção estas novas obrigações.

Recolha de dados | A base legal para a utilização dos dados é o consentimento dos seus titulares. E isto deve ser claro - o EPD deve saber responder como foram recolhidos os dados e ter provas de que estes foram cedidos pelos seus titulares em conformidade com o novo diploma. Quando alguém subscreve uma newsletter ou faz um registo num fórum, deve saber exatamente para que finalidades serão utilizadas as informações - tudo isto deve estar escrito de forma clara e em local acessível. Está na altura de rever "Políticas de Privacidade", "Políticas de Vendas" e "Termos e Condições".

Dados Sensíveis | Todas as bases de dados que incluam informações sobre menores, dados biométricos, judiciais ou bancários, entre muitos outros, devem ser analisadas de uma forma mais delicada e minuciosa. É por isso que certas bases de dados levam à execução de tarefas obrigatórias - a designação do EPD é uma das medidas associadas às bases de dados que contenham informações sensíveis.

Violação de segurança | Não é necessário reportar todas as violações de segurança à entidade reguladora do RGPD mas, se as bases de dados ficarem, de alguma forma, comprometidas, a organização tem 72h para comunicar o acontecimento à Comissão Nacional de Proteção de Dados (CNPD). Por outro lado, se esta violação resultar num elevado risco para os titulares dos dados, estes devem ser imediatamente informados. As empresas deverão garantir medidas de controlo e segurança  para que os dados estejam protegidos (algo que não é novo - ou, pelo menos, que não deveria ser - mas que o RGPD vem reforçar).

Documentação necessária | No caso de haver uma fiscalização, o EPD deve ser capaz de apresentar um registo de atividade - uma espécie de manual interno onde são indicados os procedimentos de recolha de dados. Esta documentação é importante pois irá ajudar a acabar com as vendas de bases de dados entre empresas (se a empresa não consegue comprovar o consentimento do titular dos dados, então não está autorizada a utilizar as informações que tem em mãos).

Bases de dados "mortas" | Um dos objetivos do RGPD é acabar com as bases de dados que não são utilizadas há anos. Para que a base de dados possa ser utilizada, a comunicação constante é obrigatória. Não está definido quanto tempo uma base de dados pode ficar sem receber comunicações por parte da empresa mas acredita-se que uma comunicação anual será suficiente - e o titular dos dados deve ter SEMPRE a opção de deixar de ser incluído nessas listas.

Passwords | Com a nova Lei da Proteção de Dados, os sistemas de autenticação vão passar a ter nove caracteres de diferentes tipologias (letras maiúsculas e minúsculas, símbolos, números...). Até ao dia 25 de Novembro, todas as apps, redes sociais, sites com e-commerce e serviços públicos vão ter que fazer esta alteração e pedir aos seus utilizadores e clientes que selecionem uma nova palavra-passe para aceder aos seus dados.

Ainda existem muitas áreas cinzentas no RGPD mas acredito que, aos poucos, a Comissão Nacional de Proteção de Dados vá esclarecendo os pontos que estão ainda a ser discutidos. O ideal - e porque já não falta assim tanto para a data em que entrará em vigor este diploma - é colocar em prática tudo isto o quanto antes (até porque as multas já estão definidas e podem chegar aos 20 milhões de euros).


Obrigada Factory Braga pela sessão tão esclarecedora!

6 comentários:

  1. Acho mesmo interessante o facto de este RGPD parecer tão seguro na transmissão de base de dados. Não é a primeira vez que oiço alguém contar que certa empresa lhes ligou e nunca lhes tinham passado os seus dados. Gostava de ir a algumas destas formações. Quando fores, apita. É sempre bom aprender sobre estes assuntos. Abreijos, Carol!!!

    ResponderEliminar
    Respostas
    1. Recomendo que sigas o Factory nas redes sociais e que subscrevas a newsletter - para além de não serem nada chatas ou formais, ficas a par de tudo isto (há imensas coisas gratuitas; aproveita sempre que puderes)! :)

      Eliminar
    2. Nem tinha pensado nisso 🤦🏽‍♀️ vou fazê-lo!!!

      Eliminar
  2. P.S.- Nãoooooo, sou muito afeiçoada à minha password e ela não tem 9 dígitos!!!!

    ResponderEliminar
  3. Não tinha conhecimento de nenhuma destas coisas. Gostava muito de ir a uma sessão da Factory, já ando há imenso tempo a dizê-lo, mas ainda não se proporcionou.
    Beijinhos,
    Blog: Life of Cherry

    ResponderEliminar