"A proteção conferida pelo presente regulamento deverá aplicar-se às pessoas singulares, independentemente da sua nacionalidade ou do seu local de residência, relativamente ao tratamento dos seus dados pessoais. O presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva."

Quando entra em vigor

· Já está em vigor e a partir de 25 de maio de 2018 é obrigatório que todas as organizações que operem na UE, estejam em conformidade com o RGPD.

​

A quem se destina

· A todas as empresas e entidades públicas que tratem ou processem dados pessoais, independentemente da sua natureza ou dimensão.

· Aplica-se a todas as organizações localizadas na EU, mas também localizadas fora da UE caso ofereçam serviços ou produtos a cidadãos da UE.

​

Tratamento de dados pessoais

· O tratamento de dados pessoais abrange qualquer operação ou conjunto de operações efetuadas sobre dados pessoais com ou sem meios automatizados, como, por exemplo, recolha, consulta, registo, utilização, organização, comunicação por transmissão ou difusão, conservação, destruição, eliminação, adaptação ou modificação.

· Os dados pessoais podem ser: endereços de e-mail, informações sobre hábitos de navegação na web, endereço IP, número de telefone, nome, endereços postais, data de nascimento. No fundo, qualquer coisa que possa ser usada para identificar uma pessoa está enquadrada no RGPD.

Coimas

· Menos graves (comunicação de violação, obrigação de notificação, cooperação com autoridade): coimas que poderão chegar aos 10 milhões de euros ou 2% do volume mundial de negócios do grupo onde se insere a empresa.

· Mais graves (regras de consentimento, transferências internacionais de dados): coimas que podem atingir os 20 milhões de euros ou 4% do volume mundial de negócios do grupo onde se insere a empresa.

​

Direitos do detentor dos dados

· Direito ao esquecimento: possibilidade de impedir o tratamento dos seus dados pessoais, podendo exigir a uma empresa a eliminação dos mesmos. As empresas têm o dever de facilitar a eliminação do consentimento no processamento de dados do utilizador.

· Portabilidade dos dados: migração dos dados do utilizador. Por exemplo, um cidadão que seja cliente de uma determinada seguradora e pretende mudar para outra, não terá de fornecer os seus dados à nova seguradora.

Obrigações das empresas

· As entidades devem ponderar a criação de um “Sistema de Gestão da Proteção de Privacidade” (SGPP) que disponibilize a documentação das atividades relacionadas com o tratamento de dados pessoais, bem como a obrigação de manter o registo dos procedimentos internos.

· “Minimização de dados”: as empresas devem captar apenas as informações estritamente necessárias.

· Torna-se obrigatória a aplicação de medidas que assegurem um nível de segurança adequado, como, por exemplo, encriptação dos dados pessoais; capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento; capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada, em caso de incidente físico ou técnico.

Consentimento

· “Deve ser tão fácil retirar o consentimento quanto é dar”. Desta forma, o consentimento deve utilizar linguagem clara e simples e o pedido do mesmo deve ser dado de forma inteligível e facilmente acessível. De caráter obrigatório e com poder jurídico vinculativo, é diretamente aplicável aos 28 estados membros da União Europeia.

​

​

Pode consultar aqui o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016

(Jornal Oficial da União Europeia)

Exemplos práticos dos passos a seguir

Ação definida: Verificar se os contratos têm cláusulas que regulem a privacidade e a proteção de dados. O que fazer: Integrar nos contratos cláusulas que estabeleçam as responsabilidades de ambas as partes do negócio.

Ação definida: Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais. O que fazer: Ter uma declaração escrita e, se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples.

Ação definida: Os Titulares dos Dados têm o direito de serem informados de quem é o Responsável pelo Tratamento dos seus dados pessoais. O que fazer: Informar por escrito quem é o Encarregado de Proteção de Dados da Empresa, divulgar no site, etc.

Ação definida: Se o consentimento for exigido pelo Responsável pelo Tratamento para tratar os dados pessoais o titular dos dados, poderá, a qualquer momento, revogar tal consentimento. O que fazer: Através de notificação por escrito ao Encarregado de Proteção de Dados.

Ação definida: Os Titulares dos Dados têm o direito de solicitar que todos os dados pessoais imprecisos sobre si sejam corrigidos, bloqueados, apagados ou destruídos; O que fazer: Estar preparado do ponto de vista dos Processos e da Tecnologia.

Ação definida: Os Titulares dos Dados têm o direito de solicitar ao Responsável pelo Tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao seus dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados; O que fazer: Mudar mentalidades, delinear processos e validar a tecnologia porque, por exemplo, o titular dos dados tem o direito de obter, sem demora injustificada, do Responsável pelo Tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Para além de que, tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.

​

Quais as novas obrigações para os colaboradores e responsáveis da empresa, a nível do tratamento da informação?

No quadro geral do princípio da “responsabilidade” o responsável pelo tratamento tem de poder comprovar o respeito pelos seis Princípios da Privacidade. As empresas responsáveis pelo tratamento de dados devem saber, como se traduzem, na prática, os princípios da privacidade, que são:

​

1. Licitude, lealdade e transparência;

2. Limitação das finalidades;

3. Minimização dos dados;

4. Exatidão (exatos e atualizados sempre que necessário);

5. Limitação da conservação;

6. Integridade e confidencialidade.

Isto significa, por exemplo, que uma empresa que queira cumprir o princípio da licitude deve obter um consentimento válido. Logo, quem tinha no seu site a cruzinha do sim já preenchida, irá ter de alterar a forma de obter consentimento, porque o RGPD exige um comportamento ativo por parte das pessoas. Também neste âmbito, será necessário garantir que é tão fácil retirar o consentimento como dá-lo, logo, é necessário instalar formas rápidas de retirar o consentimento e estar preparado para apagar dados.

​

Que direitos têm os titulares dos dados?

Os direitos dos Titulares dos Dados podem ser elencados como o direito à informação, o direito de acesso aos seus dados, o direito de retificação de dados inexatos, o direito ao apagamento dos dados («direito a ser esquecido»), direito de oposição, direito à limitação do tratamento (inexatidão ou oposição em avaliação), direito a notificação de retificação ou apagamento ou limitação de tratamento, direito de portabilidade, direito de oposição a decisões individuais automatizadas.

#dicasdeblog #WixBlog