A pergunta que muitas empresas precisam responder até 25 de maio de 2018 é... estara a minha empresa pronta para o RGPD?

O que é Regulamento geral de Protecção de Dados (RGPD)?

Nota: Regulamento geral de Protecção de Dados (RGDP) ‘e a tradução Portuguesa da versão original:  General Data Protection Regulation (GDPR).

RGPD é uma regulamentação da UE sobre manipulação de dados pessoais. Este novo regulamento substituiu a Directiva 95/46 / CE e foi projetada para harmonizar as leis de privacidade de dados em toda a Europa. RGPD foi aprovada pelo Parlamento Europeu em 14 de Abril de 2016. A data da sua aplicação é 25 de maio de 2018. RGPD é um regulamento que irá substituir a Directiva 95/46 / CE na UE para privacidade de dados. RGPD é uma regulamentação mais ampla da directiva anterior. Mesmo os principais princípios de privacidade de dados estão incluídos neste novo regulamento, na RGPD muitas mudanças e políticas foram adicionados para melhorar a protecção de dados pessoais.

Em resumo, o RGPD foi criado para reconciliar as leis da privacidade de dados entre os países da UE, mas, ao mesmo tempo, proporcionar mais proteção e direitos aos cidadãos da UE. RGPD aplica-se a cidadãos, clientes, mas também nas empresas aos seus funcionários.

O RGPD aplica-se a empresas com base na UE e empresas que recolham dados dos cidadãos da UE, independentemente da sua presença física em qualquer estado membro. Como podera a UE impor sancoes a empresas fora da EU e fazer cumprir o RGPD e exigir que compram as regras de protecção de dados para lidar com dados pessoais dos cidadãos da UE, é algo que ainda não é muito claro. 

Nota: RGPD é um regulamento e não uma directiva. Regulamento é obrigatório e uma regulamentação / legislação automática em todos os países da UE, uma directiva está definido para implementar ou adaptar-se a legislação dos Estados-Membros. As diretivas, normalmente, deixam os Estados-Membros com uma certa dose de flexibilidade quanto às regras exactas para serem adotados.

Que tipo de dados são protegidos?

Para responder à pergunta, esta a sua empresa pronta para RGPD, você precisa entender o regulamento RGPD e os dados que devem ser protegidos e tratados.

Todos os dados pessoais de qualquer cidadão da UE. Dados pessoais incluem; nomes, endereços, números de telefone, números de conta, e neste novo regulamento, e-mail e endereços IP. Este tipo de dados é normalmente chamado de informações de identificação pessoal (PII na sigla inglesa), principalmente nos Estados Unidos. Neste regulamento a União Europeia apenas usou o termo “dados pessoais” para PII. Que é uma aplicação mais ampla de dados pessoais. UE e os EUA têm muitas diferenças para as suas leis de privacidade. UE a privacidade é aplicado como um direito fundamental, e nos Estados Unidos essas leis podem um equilíbrio entre privacidade e transações comerciais eficientes. Por exemplo, no EUA cookies IDs e endereços de IP não são  considerados como dados pessoais em alguns casos.

A abordagem da UE define PII para abranger todas as informações de identificação do cidadão, uma definição que pode ser bastante ampla e vaga. Esta divergência é tão básica que ameaça a estabilidade de mecanismos políticos existentes para permitir fluxos de dados internacionais.

Pode-se ler aqui uma decisão dum tribunal da Califórnia sobre este assunto.

Conciliar informações pessoais nos Estados Unidos e na União Europeia

Mesmo para páginas padrão de formulários da Internet, as regras foram alteradas. E agora algumas informações precisam de ser adicionadas a esses formulários para consentir a recolha de dados pessoais.

Um exemplo é que quando as empresas informam que eles podem partilhar os seus dados com os seus parceiros. Nas novas regras as empresas são obrigadas a identificar pelo nome que parceiros são e também o direito de cancelar esse consentimento.

O consentimento deve ser claro e distinto de outras matérias e fornecido de forma inteligível e de fácil acesso, usando uma linguagem clara e simples. Deve ser tão fácil de retirar seu consentimento, como atribuir o mesmo.

O que as empresas precisam para implementar o RGPD?

Preparação para o RGPD é complexa e requer especialistas internos ou externos para preparar a empresa e os seus processos. Para cumprir os regulamentos do RGPD as empresas terão sem duvida um impacto financeiro sobre os seus orçamentos. Uma vez que existem muitas mudanças. A maneira de trabalhar, os processos etc. As empresas precisam de diversas adaptações e mudanças para implementar e lidar com dados pessoais e estar em conformidade com o regulamento.

Algumas dessas mudanças e processos estão ao nível da organização (como o RPD ou notificações no caso de violação de dados), outras alterações devem ser feitas a nível técnico e como a empresa trata os dados (como o direito a ser esquecido, privacidade desde a concepção, a portabilidade de dados, etc.).

Quando uma empresa lida com dados pessoais estas são as principais perguntas para as regras de privacidade e do RGPD:

  • Quais são os dados e que tipo de dados nós temos?
  • Para onde os dados vao?
  • Como os dados são protegidos?
  • Quem é responsável pelos dados?

Depois das perguntas acima forem respondidas, então as empresas precisam para lidar com esses mesmos dados, e precisam de efectuar as mudanças apropriadas na organização para cumprir integralmente as regras do RGPD.

Principais alterações

  • Responsável pela protecção de dados (RPD)
    A empresa deve designar alguém para assumir a responsabilidade de fiscalizar o cumprimento do regulamento RGPD e outras leis de protecção de dados aplicável e ser o ponto de contato entre empresas e a UE para RGPD.
    Um RPD deve ter habilidades de gestão, mas também devera ter experiência em leis de protecção de dados (RGPD) e devera trabalhar com a equipe interna a todos os níveis. É tarefa RPD assegurar que os dados da empresa esteja em conformidade com as regras do RGPD.

RPD deve: ser nomeado com base em qualidades profissionais e, em particular, conhecimento, especialista em direito e em práticas de protecção de dados.
Poderá ser um funcionário da empresa interno ou um prestador de serviços externo.
Os detalhes de contacto devem ser fornecidos as autoridades de proteção de dados (APD) local. Data Protection Authorities (DPA)
Ser dotados de recursos adequados para levar a cabo as suas tarefas e manter o seu conhecimento especializado.
Reportar diretamente ao mais alto nível da gestão.
Não realizar quaisquer outras tarefas que possam resultar num conflito de interesses.

Nota: Tenha em atenção que: “Para a APD, empresas que processam grandes quantidades dados pessoais, a nomeação de um responsável pela protecção de dados (RPD) é obrigatório.”
Responsável pela protecção de dados (RPD) ‘e referido no regulamento por: Data Protection Officer (DPO)

  • Direito de acesso
    O direito de acesso dá um cidadão o direito de aceder aos seus dados pessoais e como esses dados são manipulados ou processados pelo controlador dos dados e com que finalidade. O Controlador de Dados esta obrigado a fornecer gratuitamente uma cópia dos dados pessoais mediante o pedido e em formato electrónico.
    Ou seja, qualquer cidadão terá sempre o direito de aceder às suas informações pessoais nas empresas que lidam com suas informações pessoais e têm o direito de saber como esses dados são manipulados e que para fins.
  • Direito a ser esquecido
    Esta é uma das regras mais famosas por causa de muitos pedidos de pessoas que tiveram este tipo de reivindicações, principalmente para o Google ou Facebook.
    Este direito foi alterado para um direito mais limitado em comparação com a adoptada pelo Parlamento Europeu em Março de 2014. Significa que um indivíduo tem o direito de pedir para apagar seus dados pessoais, independentemente dos interesses da empresa. Mas, ao mesmo tempo, ele afirma: “É também de salientar que este direito requer controladores para comparar os direitos dos cidadãos ao ‘interesse público’ na disponibilidade de considerar tais pedidos.”
  • Notificações de violações de dados
    Quando uma empresa sofre uma violação de dados, a empresa deve informar num espaço de 72 horas as autoridades de proteção de dados (APD) (deve ser feito pelo RPD e no caso de Portugal devera o CNPD). Os clientes também igualmente ser notificados dentro de 72 horas se os dados do cliente estiverem em risco.
  • Privacy by Design (privacidade desde a concepção)
    Privacidade por design é um conceito que é bem conhecido na área de TI e de negócios. Principalmente é um processo ou mecanismo, que certificar-se de que os dados pessoais só é acedido ou processado quando é necessário.
    Um exemplo no domínio público é dados pessoais em matéria de impostos dos cidadãos e dados pessoais. Esta informação não deve ser acedida por qualquer pessoa a menos que haja uma razão para fazê-lo. Ninguém deve aceder a esses dados para ter acesso a esse tipo de dados apenas por curiosidade ou outras intenções não-legais.
    Nota: Já tivemos alguns casos bem famosos em Portugal sobre estes acessos não autorizados de impostos de cidadãos por parte de funcionários do fisco.
  • A portabilidade de dados
    O direito de mover dados de um controlador de dados para outro, sem a recusa do tratamento dos dados. As empresas devem fornecer ao cidadao em formato digital os seus dados pessoais.
    Resumindo, qualquer indivíduo tem o direito de mover seus dados pessoais, duma empresa para outra empresa sem a empresa de origem têm o direito de recusar esse pedido.
  • Pseudonimização (em inglês Pseudonymisation).
    Esta palavra estranha é referente a chaves de criptografia e criptografia. A maioria das empresas encripta o os seus dados e não é possível descodificar os mesmos dados fora de seus sistemas. Ao fazer isso é tecnicamente impossível a um indivíduo o direito de aceder aos seus dados sem a chave de encriptação. Para evitar isso, o RGPD exige que estas informações adicionais (como a chave de descodificação) devem ser mantidas separadamente dos dados.

Controlador de Dados - Individual ou identidade de quem controla e é responsável pela manutenção dos dados pessoais. Podem ser pessoas ou “pessoas colectivas”, tais como empresas ou departamentos governamentais.

Processador de Dados  - A pessoa singular ou colectiva, autoridade pública, serviço ou qualquer outro organismo que trata pessoais de dados em nome do controlador . O conceito de um “ processador ” não muda sob a RGPD . Qualquer entidade que é um processador ao abrigo da Directiva provável continua a ser um processador sob a RGPD.

Estas são as principais mudanças que a sua empresa precisa para cumprir e terá de lidar no futuro, depois do regulamento estiver oficialmente o RGPD em vigor.

O não cumprimento de qualquer uma destas regras (estas são apenas as regras principais, o RGPD completo tem 99 artigos, as empresas tem de cumprir com todos) ira acarretar enormes sanções por parte da UE.

As sanções

Sob o RGPD organizações que não cumpram o RGPD podem ser multadas até 4% do volume de negócios anual global ou € 20 milhões (o que for maior). Esta é a multa máxima que pode ser imposta por infracções muito graves e/ou por não ter o consentimento do cliente para processar dados pessoais, ou violar o conceito de Privacy by Design.
Existem diferentes abordagens para as multas, por exemplo, uma empresa pode ser multada em 2% por não ter seus registos em ordem (artigo 28), não notificar as autoridades de proteção de dados sobre uma violação de dados ou não realizar análises de impacto. É importante notar que estas regras se aplicam a ambos os controladores e processadores – significa que “Cloud Providers” não estao isentos da aplicação do regulamento RGPD.

Podemos ler mais sobre o RGPD aqui: Para o regulamento completo visitar a pagina oficial da EU official GDPR. Mas também podemos encontrar leituras úteis nas seguintes páginas: Informações GDPR (listado por artigo) e também no portal da RGPD Portal GDPR.

Nota: As paginas oficiais do GDPR estão todas em Inglês.

Depois que demos uma olhada na maior parte das mudanças e regras do RGPD, a maioria delas obrigatória, a pergunta mantem-se : "estarão as empresas Portuguesas preparadas para o RGPD?"

Se nos concentrarmos nas empresas de TI (as grandes ou as PME) estão mais conscientes deste processo. Empresas como Google , Microsoft , Facebook , Amazon , VMware , etc., já começaram um processo interno para estarem em conformidade com o regulamento RGPD.

Cloud Providers, podemos dizer que são apenas “processadores de dados”, mas também precisam de estar em conformidade com RGPD. AWS ou Azure são “Controladores de dados” , mas também “processadores de dados”, mas pequenos Cloud Providers são mais “processadores de dados”. Como por exemplo Cloud Providers de backup ( Veeam , Vembu seus clientes e parceiros Cloud Providers), todos eles estão preparando os seus negócios para a data limite do RGPD. Mas alguns deles já falharam alguns testes iniciais quanto ao cumprimento RGPD. Assim, sendo, mesmo as grandes empresas ainda têm muito trabalho para fazer para cumprir as regras do RGPD.

Nas grandes empresas nacionais pouca informação existe (pelo menos não consegui encontrar) sobre o que tem sido feito. Esperemos que o trabalho interno esteja a ser feito e que nos dia 25 de Maio todas as empresas estejam em conformidade com o regulamento RGPD.

Nota Final

A três meses da data limite e ainda lemos que muitas empresas não estão ainda preparadas para a aplicação do RGPD, ou algumas delas nem sabem se precisam de cumprir. Ou pior, algumas delas acham não são obrigados a cumprir com RGPD. Ainda mais, a maioria das organizações não compreendem totalmente as consequências de não cumprir com RGPD. De acordo com uma pesquisa da SAS (há 6 meses atrás), 45% das organizações já iniciaram o processo para cumprir com o RGPD, mas 58% das organizações estão não inteiramente cientes das consequências do não cumprimento.

Há também um outro estudo com cerca de um ano da Veritas sobre RGPD que mostra estatísticas semelhantes sobre as empresas em toda a Europa, os EUA e Ásia-Pacífico.

Surpreendentemente (ou não para quem sabe como funciona as organizações governamentais) organizações governamentais têm o menor percentagem em relação aos que já cumprem o RGPD cerca de 26%. Com estas estatísticas, percebemos que ainda existe uma grande falha entre o que precisa ser feito e o que tem sido feito pelas empresas.

Mais uma vez encontrei pouca informação, ou estudos e estatisticas sobre a percentagem de empresas em Portugal.

Espero que este artigo ajude a compreender o novo regulamento RGPD. Aconselhamos também a leitura do artigo da KPMG em https://assets.kpmg.com/content/dam/kpmg/pt/pdf/pt-2017-rgpd.pdf .

Classifique este item
(0 votos)
Ler 6070 vezes Modificado em Fev. 14, 2018
Top