O novo Regulamento Geral de Proteção de Dados

O novo regulamento geral de proteção de dados

Com o novo regulamento geral de proteção de dados (RGPD) a entrar em vigor a partir de 28 de Maio de 2018 e que afetará empresas e particulares dentro da União Europeia, são muitos os que se questionam em relação ao impacte destas alterações sobre as suas organizações na forma como atualmente são trabalhados os dados.

Neste artigo pretendemos responder às dúvidas que incidem em especial sobre o Aftermarket e desmistificar alguns conceitos aqui apresentados.

Mas afinal o que é o RGPD?

Embora as leis de proteção de dados não sejam novas na União Europeia o novo regulamento pretende limar algumas arestas, reforçando por um lado a segurança do indivíduo o que se traduz numa alteração na forma como os dados são tratados, e por outro exigindo um maior rigor às empresas na manipulação e tratamento desses dados.

Outro ponto a frisar é que o novo regulamento abrange todos e quaisquer dados, independentemente do seu formato (papel, cloud, pen…).

O DPO

O novo regulamento traz a necessidade da criação de um encarregado de proteção de dados (DPO), o qual ficará responsável pela gestão de todos os dados da empresa, devendo qualquer pedido de requisição de dados passar por este.

O cargo de DPO apenas é requerido a empresas com um nº superior a 250 funcionários, sendo aconselhado às restantes empresas que elejam internamente alguém que tenha esta função.

Coimas

O novo regulamento veio reforçar as coimas atribuídas em caso de incumprimento as quais poderão atingir os 20 milhões de euros ou 4% da faturação anual da empresa.

Pontos essenciais do novo RGPD

  1. Registo de dados
    O novo regulamento vem exigir um registo dos dados, de modo a deixar claro de onde vêm, como, porquê e com quem são partilhados, criando um mapa dos dados.
     
  2. Política de Privacidade
    Repensar os princípios da privacidade, os procedimentos administrativos e a documentação, é outra das prioridades. Neste capitulo o novo regulamento impõe a criação de um registo de atividades de tratamento, caso a empresa tenha mais de 250 trabalhadores, se o tratamento de dados implicar um risco para os direitos do titular, se não for ocasional ou se incluírem dados sensíveis ou relativos a condenações penais e infrações.
     
  3. Direitos dos Titulares
    Dentro deste novo regulamento acrescem dois direitos fundamentais, o direito de portabilidade e o direito a ser esquecido.
     
  4. Conhecimento da Lei
    O conhecimento da lei por parte dos vários departamentos das empresas em especial aqueles que trabalham com dados sejam estes de empregados ou clientes é outro dos pontos frisados, mais uma vez a figura do DPO surge como peça central.
     
  5. Requisitos de Proteção
    Conceção e proteção por defeito. A conceção requer que o responsável pelo tratamento de dados aplique, quer no momento de definição dos meios de tratamento quer no momento do próprio tratamento, medidas técnicas e organizativas adequadas. A proteção por defeito requer que o responsável pelo tratamento implemente medidas técnicas e organizativas adequadas destinadas a assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica de tratamento.
     
  6. Medidas de Segurança
    O novo regulamento prevê a pseudonimização e cifragem dos dados pessoais e a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento.
     
  7.  Transferências Transfronteiriças
    Há um reforço do novo regulamento nesta questão, as já existentes clausulas contratuais-tipo deixam de requerer a autorização prévia da CNPD. As regras vinculativas aplicáveis às empresas são outra das soluções ao abrigo da qual as entidades de um grupo empresarial se obrigam a realizar entre si transferências de dados.