Blog WireMaze

Rgpd 1 847 450
2018/02/27

Já preparou a sua autarquia para o RGPD?

Se acedeu a esta página através da newsletter, é sinal que está preocupado e atento. Passe diretamente para a nossa secção informativa.

A partir de 25 de maio de 2018 entra em vigor o novo Regulamento Geral sobre a Proteção de Dados. Trata-se de uma das maiores alterações na forma de tratamento de dados pessoais jamais realizadas, com um enorme impacto em todas as pessoas singulares e organizações privadas ou públicas que operem com dados pessoais.

Estamos todos envolvidos nesta mudança e, as autarquias, por inerência das suas funções, têm um elevado impacto.

É URGENTE a preparação dos processos para cumprir as novas exigências. Este regulamento europeu impõe restrições que garantem a proteção adequada dos dados pessoais fornecidos à autarquia. Mesmo no setor privado a maioria das entidades não está preparada para esta alteração:

  • 79% das empresas desconheciam que a data de nascimento de um cliente é classificada como dado pessoal
  • 29% das empresas não sabe que precisa de proteger informaticamente os dados dos clientes
  • 6% das empresas não sabe que numa base de dados, emails constituem informação pessoal

Fonte: Trend Micro with Opinium Report - setembro 2017 (1132 empresas do Reino Unido)

A minha autarquia está preparada?

A nível autárquico a preparação ainda está muito incipiente. Quer fazer um pequeno teste connosco? Responda a estas cinco perguntas:

  1. Ao submeter o formulário de contacto, existente no seu site, o utilizador aceita de forma explícita o tratamento dos seus dados pessoais (nome e email), bem como é informado de acordo com o RPGD?
  2. Todos os registos na sua newsletter foram realizados por opt-in, existe o comprovativo que os assinantes aceitaram receber informação, e foram notificados dos seus direitos de forma clara de acordo com o RGPD?
  3. O seu site usa um mecanismo de estatísticas conforme com o RGPD?
  4. O seu site permite proporcionar direito ao esquecimento ao titular de dados?
  5. O seu site garante o controlo do acesso à informação sensível reportando ao encarregado de proteção de dados?

Estes são apenas alguns exemplos de alterações necessárias para o cumprimento das novas exigências.

Questões similares, e outras, podem e devem ser atendidas pelas várias áreas da comunicação com o cidadão (ex.: site, balcão do munícipe, orçamento participativo, app móvel, portal recrutamento).

As soluções da WireMaze garantem a preparação da sua autarquia, com o cumprimento das exigências e evitando assim as coimas associadas.

O QUE É CONSIDERADO DADO PESSOAL?

Qualquer informação relativa a uma pessoa que possa ser utilizada para identificar a mesma. Seguem-se alguns exemplos:

  • Nome
  • Nº de um cartão de identificação
  • Data de nascimento
  • Morada
  • E-mail pessoal
  • Número de telefone
  • Dados de localização
  • Endereço IP
  • Identificação do dispositivo
  • Testemunhos de conexão (cookies)
  • Dados relativos à saúde
  • Características culturais

NOVAS EXIGÊNCIAS

As 6 grandes áreas que se seguem são abordadas pelo Regulamento e afetam direta ou indiretamente todos os departamentos autárquicos.

rgpd2

1. Comunicação

No momento de recolha de dados de um indivíduo, a autarquia deve estar claramente identificada, bem como, deve explicar em linguagem clara e simples a finalidade e justificação jurídica para tratamento de dados.

Algumas questões que deve validar se incorre:

  • O utilizador do meu site apenas aceita um aviso por causa dos cookies mas sem opção para desativar?
  • Os termos e condições estão bastante claros ou estão escritos em “legalês”?
  • Refere quanto tempo vai guardar os dados?
  • O seu alojamento está dentro da UE?

2. Consentimento

Deve existir consentimento claro e explícito para o processamento de dados. Não se pode presumir o consentimento nem usar opções pré-selecionadas em sites. Deve ser tão fácil retirar quanto é dar. O software deve guardar evidências da data do consentimento, bem como garantir que este é novamente pedido caso haja atualizações dos termos.

Algumas questões que deve validar se incorre:

  • Recolho registos para a newsletter sem termos e condições ou por opt-out?
  • Os formulários têm informação sobre o tratamento dos dados e respetivo consentimento?
  • No seu OP recebeu consentimento para enviar mensagens?

3. Direitos de Pessoas Singulares

O titular dos dados tem a possibilidade de ter acesso à informação que a entidade possui sobre si mesmo, pode inclusive optar por dar essa informação a outra instituição/empresa. Se ocorrer uma violação de dados prejudicial para a pessoa singular, a autarquia é obrigada a notificar o mesmo e a CNPD (Comissão Nacional de Proteção de Dados), como também oferecer a oportunidade de eliminar toda a informação pessoal que possui.

Algumas questões que deve validar se incorre:

  • É fácil ao cidadão pedir para ser “esquecido”? E o software faz isso facilmente?
  • Quem registar uma violação de dados pode aceder ao processo facilmente e com transparência?
  • O cidadão pode extrair um ficheiro com todos os dados que a autarquia tem registados sobre ele?

4. Encarregado de proteção de dados

Pode ser um funcionário ou consultor externo. Exige conhecimentos especializados em direito da proteção de dados, bem como conhecimento do setor empresarial e organização. Poderá ser obrigatório, no caso de autoridades públicas ou quando a natureza da atividade exige controlo regular sistemático dos titulares de dados em grande escala.

Algumas questões que deve validar se incorre:

  • Sabe que não pode ser o responsável da informática?
  • É fácil o encarregado da proteção de dados aceder aos registos de segurança?

5. Privacidade do início ao fim

Os dados apenas poderão ser utilizados estritamente à finalidade a que se destinam. Exige-se proteção extra para as informações mais sensíveis como saúde, características raciais, orientação sexual, religião ou preferências políticas.

Algumas questões que deve validar se incorre:

  • No backoffice consegue-se aceder ao nome ou email de um munícipe sem registo de quem ou quando?

6. Coimas

Podem ir até 4% do volume de negócios global anular, ou 20 milhões de euros, o valor que for mais elevado. A coima poderá ser aplicada mesmo que não haja perda de dados. Aconselha-se a documentação de todas as atividades relacionadas com o tratamento de dados e o registo dos procedimentos internos.

MEDIDAS A TOMAR PELA AUTARQUIA

De forma a cumprir com as exigências seguem 6 passos que podem simplificar o processo de adaptação:

1. Rever impressos
2. Retificar políticas de privacidade
3. Rever todos os textos que prestem informação aos titulares dos dados
4. Transformar os procedimentos internos

  • Recolher apenas dados relevantes para o tratamento de processos
  • Devem estar documentadas, de forma detalhada, todas as atividades relacionadas com o tratamento de dados pessoais
  • Notificação de violações de segurança
    • Nem todas as violações têm de ser comunicadas à CNPD, mas têm de ser todas devidamente documentadas
    • Deve-se atender aos prazos previstos no RGPD
    • Em casos de elevado risco é necessário notificar o titular
    • Fuga de informação: aconselhamos a encriptar a sua base de dados. Em caso de roubo, terá de alertar num prazo de 72 horas o órgão português responsável pelo RGPD e, em alguns casos, o próprio utilizador
  • Garantir que os subcontratados passam a ter as mesmas obrigações que os responsáveis pelo tratamento de dados (é necessário rever todos os contratos)
  • Implementar medidas técnicas e organizativas de segurança para conferir um nível de segurança do tratamento adequado, que garanta confidencialidade e a integridade dos dados e que previna a destruição, perda e alterações acidentais ou ilícitas, ou ainda, a divulgação ou acesso não autorizado dos dados

Por uma sociedade melhor, mais evoluída e conectada!

Se pretender saber mais sobre a forma como a WireMaze aborda esta visão de futuro da sociedade, contacte-nos.

César Silva
eGovernment Evangelist