Blog WireMaze

Yura fresh dk4en2rfoie unsplash 1 847 450
2020/09/08

Qual o impacto do RGPD na sua Organização?

Desde 25 de maio de 2018 entrou em vigor o novo Regulamento Geral sobre a Proteção de Dados. Representou uma das maiores alterações na forma de tratamento de dados pessoais jamais realizadas, com um enorme impacto em todas as pessoas singulares e organizações privadas ou públicas que operem com estes.

As organizações públicas, por inerência das suas funções, têm um elevado impacto.

Existem ainda muitas organizações que não cumprem o RGPD e é URGENTE a preparação dos processos para cumprir as novas exigências. Este regulamento europeu impõe restrições que garantem a proteção adequada dos dados pessoais fornecidos à organização. Mesmo no setor privado a maioria das entidades não está preparada para esta alteração:

  • 79% das empresas desconheciam que a data de nascimento de um cliente é classificada como dado pessoal
  • 29% das empresas não sabe que precisa de proteger informaticamente os dados dos clientes
  • 6% das empresas não sabe que numa base de dados, emails constituem informação pessoal

Fonte: Trend Micro with Opinium Report - setembro 2017 (1132 empresas do Reino Unido)

A minha organização já cumpre o Regulamento?

Faça um pequeno teste connosco? Responda a estas cinco perguntas e verifique se a sua organização já cumpre o regulamento:

  1. Ao submeter o formulário de contacto, existente no seu site, o utilizador aceita de forma explícita o tratamento dos seus dados pessoais (nome e email), bem como é informado de acordo com o RPGD?
  2. Todos os registos na sua newsletter foram realizados por opt-in, existe o comprovativo que os assinantes aceitaram receber informação, e foram notificados dos seus direitos de forma clara de acordo com o RGPD?
  3. O seu site usa um mecanismo de estatísticas conforme com o RGPD?
  4. O seu site permite proporcionar direito ao esquecimento ao titular de dados?
  5. O seu site garante o controlo do acesso à informação sensível reportando ao encarregado de proteção de dados?

Estes são apenas alguns exemplos de alterações necessárias para o cumprimento das exigências do regulamento.

A preparação da sua organização com o cumprimento destas exigências evitando, assim, as coimas associadas.

O que é considerado dado pessoal?

Qualquer informação relativa a uma pessoa que possa ser utilizada para identificar a mesma. Seguem-se alguns exemplos:

  • Nome
  • Nº de um cartão de identificação
  • Data de nascimento
  • Morada
  • E-mail pessoal
  • Número de telefone
  • Dados de localização
  • Endereço IP
  • Identificação do dispositivo
  • Testemunhos de conexão (cookies)
  • Dados relativos à saúde
  • Características culturais

Novas exigências

As 6 grandes áreas que se seguem são abordadas pelo Regulamento e afetam direta ou indiretamente todos os departamentos organizacionais.

areas-rgpd

 

1. Comunicação

No momento de recolha de dados de um indivíduo, a organização deve estar claramente identificada, bem como, deve explicar em linguagem clara e simples a finalidade e justificação jurídica para tratamento de dados.

Algumas questões que deve validar se incorre:

  • O utilizador do meu site apenas aceita um aviso por causa dos cookies mas sem opção para desativar?
  • Os termos e condições estão bastante claros ou estão escritos “legalês”?
  • Refere quanto tempo vai guardar os dados?
  • O seu alojamento está dentro da UE?
2. Consentimento

Deve existir consentimento claro e explícito para o processamento de dados. Não se pode presumir o consentimento nem usar opções pré-selecionadas em sites. Deve ser tão fácil retirar quanto é dar. O software deve guardar evidências da data do consentimento, bem como garantir que este é novamente pedido caso haja atualizações dos termos.

Algumas questões que deve validar se corre:

  • Recolho registos para a newsletter sem termos e condições ou por “opt-out”?
  • Os formulários têm informação sobre o tratamento dos dados e respetivo consentimento?
  • Na comunicação por SMS com o utilizador recebeu consentimento para enviar mensagens?
3. Direitos de Pessoas Singulares

O titular dos dados tem a possibilidade de ter acesso à informação que a entidade possui sobre si mesmo, pode inclusive optar por dar essa informação a outra instituição/empresa. Se ocorrer uma violação de dados prejudicial para a pessoa singular, a organização é obrigada a notificar o mesmo e a CNPD (Comissão Nacional de Proteção de Dados), como também oferecer a oportunidade de eliminar toda a informação pessoal que possui.

Algumas questões que deve validar se incorre:

  • É fácil ao utilizador pedir para ser retirado da base de dados? <E o software faz isso facilmente?
  • Quem registar uma violação de dados pode aceder ao processo facilmente e com transparência?
  • O utilizador pode extrair um ficheiro com todos os dados que a Organização tem registados sobre ele?
4. Encarregado de proteção de dados

Pode ser um funcionário ou consultor externo. Exige conhecimentos especializados em direito da proteção de dados, bem como conhecimento do setor empresarial e organização. Poderá ser obrigatório, no caso de autoridades públicas ou quando a natureza da atividade exige controlo regular sistemático dos titulares de dados em grande escala.

Algumas questões que deve validar:

  • Sabe que não pode ser o responsável da informática?
  • É fácil o encarregado da proteção de dados aceder aos registos de segurança?
5. Privacidade do início ao fim

Os dados apenas poderão ser utilizados estritamente à finalidade a que se destinam. Exige-se proteção extra para as informações mais sensíveis como saúde, características raciais, orientação sexual, religião ou preferências políticas.

Algumas questões que deve validar se incorre:

  • No backoffice consegue-se aceder ao nome ou email de um utilizador sem registo de quem ou quando?
6. Coimas

Podem ir até 4% do volume de negócios global anular, ou 20 milhões de euros, o valor que for mais elevado. A coima poderá ser aplicada mesmo que não haja perda de dados. Aconselha-se a documentação de todas as atividades relacionadas com o tratamento de dados e o registo dos procedimentos internos.

Medidas a tomar pela organização

De forma a cumprir com as exigências seguem 6 passos que podem simplificar o processo de adaptação:

  1. Rever impressos
  2. Retificar políticas de privacidade
  3. Rever todos os textos que prestem informação aos titulares dos dados
  4. Transformar os procedimentos internos
    1. Recolher apenas dados relevantes para o tratamento de processos
    2. Devem estar documentadas, de forma detalhada, todas as atividades relacionadas com o tratamento de dados pessoais
    3. Notificação de violações de segurança
      1. Nem todas as violações têm de ser comunicadas à CNPD, mas têm de ser todas devidamente documentadas
      2. Deve-se atender aos prazos previstos no RGPD
      3. Em casos de elevado risco é necessário notificar o titular
      4. Fuga de informação: aconselhamos a encriptar a sua base de dados. Em caso de roubo, terá de alertar num prazo de 72 horas o órgão português responsável pelo RGPD e, em alguns casos, o próprio utilizador
  5. Garantir que os subcontratados passam a ter as mesmas obrigações que os responsáveis pelo tratamento de dados (é necessário rever todos os contratos)
  6. Implementar medidas técnicas e organizativas de segurança para conferir um nível de segurança do tratamento adequado, que garanta confidencialidade e a integridade dos dados e que previna a destruição, perda e alterações acidentais ou ilícitas, ou ainda, a divulgação ou acesso não autorizado dos dados.

Por uma sociedade melhor, mais evoluída e conectada!