Skip to main content Sair da pesquisa

Novo Regulamento RGPD

Novo Regulamento Geral sobre Proteção de Dados (RGPD)

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, que é o novo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE), estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE.

 

O que é? Para que serve?

Resumidamente, todas as alterações ao regulamento estão relacionadas com privacidade e transparência. Privacidade de quem navega online e a utilização por parte de empresas tecnológicas e outras empresas de dados pessoais nos seus modelos de negócio com mais transparência. Para aumentar a privacidade online e transparência na utilização de dados pessoais, no dia 25 de Maio, vão ser implementadas novas regras de protecção de dados – Regulamento Geral de Protecção de Dados (RGPD). A partir desta data é OBRIGATÓRIO cumprir o regulamento.

Segundo a UE, este regulamento “estabelece regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE”.

 

Quem está abrangido?

O Regulamento Geral de Protecção de Dados é aplicável a todas as empresas e organizações – públicas ou privadas, grandes ou pequenas – que efectuem tratamento de dados pessoais e que actuem dentro da União Europeia. Quer isso dizer que mesmo uma entidade constituída fora do espaço europeu, como o Facebook ou a Google, é afecta pelo RGPD se oferecer “bens/serviços (pagos ou gratuitos)” ou controlar o “comportamento de pessoas” na União Europeia.

No caso de se tratar de uma pequena ou média empresa (PME) cuja “parte principal do seu negócio” não seja o tratamento de dados pessoais e cujo negócio não crie “riscos para as pessoas”“então algumas obrigações do RGPD não se aplicam” – é o caso da obrigação a contratar uma pessoa que fique encarregue da protecção de dadosNesta página, a União Europeia é clara: “Do mesmo modo, as PME apenas terão de nomear um encarregado da protecção de dados se o tratamento for o seu principal negócio e constituir uma ameaça específica aos direitos e liberdades das pessoas (como o controlo de pessoas ou o tratamento de dados sensíveis ou registos criminais), sobretudo por ser efectuado em grande escala.”

 

Que informações as empresas têm que prestar?

As empresas e organizações que recolham e, por consequente, tratem dados pessoais ficam obrigadas a informar as pessoas do seguinte:

  • que a recolha de dados está a ser feita;
  • porque é que essa recolha é feita (isto é, qual a finalidade dos dados);
  • que informações nossas estão a ser recolhidas;
  • durante quanto tempo são conservados os dados;
  • quem mais, além da empresa que recolhe os dados, poderá aceder ou receber os dados;
  • se os dados serão transferidos a alguém ou alguma entidade fora da UE.

Estas informações podem ser providenciadas gratuitamente “por escrito ou oralmente” a pedido do utilizador, com “de forma concisa, transparente, inteligível e de fácil acesso” e “utilizando uma linguagem clara e simples”. Mais, as pessoas devem ser informadas sobre se existem “decisões automatizadas e a lógica envolvida, incluindo as suas consequências”, no tratamento da informação – isto é, se os seus dados são processados de forma automatizada para, por exemplo, envio de campanhas de marketing por e-mail.

 

Sanções aplicáveis (coimas)

O QUE ACONTECE A QUEM INFRINGIR AS REGRAS?

Caso o novo regulamento, imposto a 25 de Maio, não seja cumprido por uma determinada empresa ou organização, a UE criou um regime de sanções que inclui coimas que podem chegar até aos 20 milhões de euros ou 4% do volume de negócios anual.

Para mais detalhes sobre o RGPD, recomendamos que nos contacte.


 

WEBSITES

Que alterações são obrigatórias no seu website?

Todos os websites que recolham informações sobre os utilizadores ou visitantes, através de formulários, scripts ou outros meios, têm que actualizar a sua política de privacidade e termos de utilização. Todos os websites que recolham qualquer tipo de informação sobre os utilizadores ou visitantes, têm que informar quais dados podem ser recolhidos, para que finalidade, que entidades têm acesso aos mesmos.

Em particular, podem ser obrigatórias outras alterações em função da nova regulamentação. Recomendamos que nos contacte para proceder às alterações necessárias no seu website.

 

O Regulamento (RGPD)

Regulamento Geral de Proteção de Dados ( RGPD ) entra em vigor a 25 de Maio de 2018 e substitui a atual  lei de proteção de dados.
Aplica-se a todos as ferramentas digitais utilizadas pela empresa , incluindo website, sistemas ecommerce e outros sistemas online.

Informação aos titulares dos dados

O RGPD obriga a informar acerca da base legal para o tratamento de dados, prazo de conservação dos mesmos e transferência dos mesmos. Todas as políticas de privacidade e textos que prestem informação aos titulares de dados têm de ser re-editados.

Exercício dos direitos dos titulares dos dados

Tal como já explicado acima, o regulamento obriga a garantir o exercício dos direitos dos titulares dos dados. Desta forma, os pedidos de exercício desse direito passam a ser monitorizados e documentados com prazos máximos de resposta, direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre a retificação ou apagamento ou limitação de tratamento solicitados pelos titulares. O website tem que garantir uma forma de facultar os dados ao utilizador.

Consentimento dos titulares dos dados

O RGPD obriga a controlar as circunstâncias em que foram obtidos os dados e o consentimento dos titulares quando isso for base legal do tratamento dos dados pessoais. Existem um conjunto de exigências para obtenção desse consentimento e o seu não cumprimento obriga à obtenção de um novo consentimento.

Natureza dos dados

O regulamento define o conceito de dados sensíveis que estão sujeitos a condições específicas para o seu tratamento, nomeadamente direitos e decisões automatizadas. Um exemplo de dados sensíveis serão os dados biométricos. Dependendo da dimensão e contexto destes tratamentos de dados específicos, poderá ser obrigatória a nomeação de um Encarregado de Proteção de Dados, que, caso não seja do interesse da empresa contratar ou nomear esse novo elemento, a nossa equipa de Proteção de Dados também disponibiliza esse serviço como parte da nossa solução.

Documentação e registo

O regulamento obriga a manter um registo documentado de todas as atividades de tratamento de dados pessoais. As organizações são obrigadas a demonstrar o cumprimento de todos os requisitos decorrentes da aplicação do regulamento.

Subcontratação (não obrigatório para PME’s até 250 colaboradores)

O regulamento obriga a que o subcontratante garanta que detém todas as autorizações dos responsáveis pelo tratamento de dados. Os contratos de subcontratação terão de ser revistos para incluir um conjunto vasto de informações com o objetivo de proteger a informação dos titulares de dados que é frequentemente tratada por várias entidades sem os respetivos titulares terem conhecimento.

Encarregado de Proteção de Dados (DPO – Data Protection Officer)

O regulamento introduz a figura do Encarregado de Proteção de Dados que terá um papel de controlador dos processos de segurança para garantir a proteção de dados no dia-a-dia da empresa. Embora não seja obrigatório para todas as empresas, a existência do mesmo ou de um serviço externo que garanta essa função pode acrescentar muito valor aos processos de cumprimento das obrigações.

Processos de Segurança e Tratamento de Dados

O regulamento obriga a um grande controlo do risco associado ao possível roubo de informação. Este controlo de risco deverá passar a ser garantido por medidas de segurança efetivas que garantam a confidencialidade, a integridade dos dados e que previnam a destruição , perda e alterações acidentais ou ilícitas, ou a divulgação/acesso não autorizado de dados.

O uso de certificado de segurança SSL HTTPS:// é recomendado por nós e faz parte do pacote de actualização que disponibilizamos dentro das obrigatoriedades RGPD.

Proteção de dados desde a conceção

O regulamento salienta a necessidade de passar a avaliar projetos futuros de tratamento de dados com a devida antecedência e rigor de forma a poder avaliar o seu impacto na proteção de dados e adotar as medidas adequadas para mitigar esses riscos.

Notificação  de violações de segurança

O regulamento obriga a que todas as violações de segurança que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados.

Sanções (coimas)

O regulamento estabelece um quadro de aplicação uniforme assente em dois escalões (em função da gravidade) :

  • Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
  • Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

 

NOTAS FINAIS AOS NOSSOS CLIENTES

 

RESUMO DAS ALTERAÇÕES A EFETUAR 

  1. Recolha de particularidades (preparação) (¹);
  2. Avaliação das obrigatoriedades (¹);
  3. Actualização/implementação de política de privacidade e termos de utilização;
  4. Implementação de operações para gestão de pedidos e eliminação;
  5. Implementação de processos para tratamento e segurança de dados;

ALTERAÇÕES AO PACOTE CONTRATADO / ANUIDADE

  • Por favor contacte o seu gestor de conta / website

 

Links de contexto: