Marketing Promocional Ao abrigo do novo acordo ortográfico.

Transcrição

1

2 O QUE É O RGPD? RGPD significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) que, em termos genéricos, fortalece a proteção de dados pessoais e será aplicável a partir de 25 de maio de QUAIS OS OBJETIVOS DO RGPD? O RGPD tem como objetivo principal reforçar os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais, estabelecendo um leque mais alargado de direitos para os indivíduos e mais obrigações para as organizações e o de adaptar a protecção dos dados pessoais à nova era digital, de modo a incentivar a criação de oportunidades de negócio no contexto do mercado digital a nível europeu. A QUEM SE APLICA O RGPD? Aplica-se a qualquer entidade que efetue operações de tratamento de dados pessoais, independentemente da sua localização, desde que, trate/processe informação de cidadãos Europeus. A PARTIR DE QUANDO SE APLICARÁ O RGPD? O RGPD será aplicável a partir de 25 de maio de POR QUE MOTIVO EXISTE O RGPD? O RGPD existe com o intuito reforçar a proteção dos dados pessoais dos indivíduos, garantindo aos titulares dos dados a sua segurança jurídica e transparência face à circulação e tratamento dos seus dados pessoais. O QUE SÃO DADOS PESSOAIS E QUAIS OS DADOS PESSOAIS QUE O RGPD PROTEGE? O conceito de dados pessoais é muito amplo e inclui toda a informação relativa a uma pessoa singular identificada ou identificável ( titular dos dados ); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, a fotografia, o , o nº telefone, a morada, endereço IP, Ids dispositivos móveis, geolocalização, dados biométricos, identidade psicológica e genética, situação económica e identidade sociocultural, assim como o número de conta bancária dessa pessoa singular.

3 EM QUE CONSISTE O TRATAMENTO DE DADOS? O tratamento de dados consiste numa operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a consulta, a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição. QUAIS AS PRINCIPAIS ALTERAÇÕES INTRODUZIDAS PELO RGPD? QUAIS SÃO OS REQUISITOS IMPOSTOS PELO RGPD? Os princípios e requisitos do regulamento, podem ser classificados em 13 componentes: redefinição de âmbito territorial, fundamentos para licitude no tratamento de dados, alteração da forma de obtenção de consentimentos, notificações aos titulares dos dados e autoridades de controlo, direitos de acesso, retificação, portabilidade, oposição, apagamento/esquecimento e limitação ao tratamento, obrigações relativas à governação de dados, requisitos relativos a decisões individuais automatizadas e definição de perfis, comunicação de violação de dados, transferências de dados, aplicabilidade da regulação e poderes e enquadramento das autoridades de controlo. COMO É QUE O RGPD VAI AFETAR A FORMA DE RECOLHA DE DADOS DE CLIENTES? Os responsáveis pelo tratamento de dados devem recolher os dados pessoais dos seus clientes dentro do disposto nos seguintes princípios: 1. Os dados devem ser objeto de um tratamento lícito, leal e transparente em relação ao seu titular. 2. Os dados devem ser recolhidos no âmbito de determinadas finalidades para o seu tratamento, explícitas e legítimas. 3. Universo de dados recolhidos deve ser adequado, pertinente e limitado aos dados estritamente necessários para as finalidades para os quais são tratados. 4. Os dados devem ser exatos e atualizados sempre que necessário. 5. Os dados devem ser conservados somente durante o período necessário para as finalidades que deram origem à sua recolha. 6. A recolha de dados pessoais deve ser efetuada junto de um conjunto de medidas técnicas e organizativas que garantam a segurança e integridade dos mesmos.

4 COMO SE PROCESSA O TRATAMENTO DE DADOS PESSOAIS DE MENORES? As crianças merecem proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais. O consentimento para o tratamento de dados de crianças, quando necessário, deverá ser autorizado ou dado pelo titular das responsabilidades parentais da criança, caso a mesma tenha menos de 16 anos. Essa proteção específica deverá aplicar-se, nomeadamente, à utilização de dados pessoais de crianças para efeitos de comercialização ou de criação de perfis de personalidade ou de utilizador, bem como à recolha de dados pessoais em relação às crianças aquando da utilização de serviços disponibilizados diretamente às crianças. QUAIS AS IMPLICAÇÕES DA IMPLEMENTAÇÃO DO RGPD PARA O NEGÓCIO? O RGPD vai impactar, estruturalmente, os processos, a tecnologia e modelos de negócio das organizações. QUAIS OS IMPACTOS SE NÃO FOREM CUMPRIDAS AS EXIGÊNCIAS DO RGPD? O não cumprimento das exigências do RGPD pode significar coimas até EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado. O RGPD TEM EFEITOS RETROATIVOS? Não. O Regulamento Geral de Proteção de Dados (GDPR General Data Protection Regulation) vem substituir o atual quadro legislativo existente, a diretiva 95/46/EC, e será aplicável a partir de 25 de maio de QUAL A FUNÇÃO DO ENCARREGADO DE PROTEÇÃO DE DADOS? O encarregado da proteção de dados tem, pelo menos, as seguintes funções: a. Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros. b. Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes.

5 c. Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização. d. Coopera com a autoridade de controlo. e. Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia. No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento. A QUE TIPO DE TRATAMENTO DE DADOS PESSOAIS SE APLICA A OBTENÇÃO DE CONSENTIMENTO? (EX: ENVIO DE S, ENVIO DE NEWSLETTERS, PROGRAMAS DE FIDELIZAÇÃO, ÁREA DE CLIENTES ) Existem tratamentos que não necessitam de consentimento como fundamento de licitude como, por exemplo, os casos em que o tratamento decorra necessariamente da execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados, para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular e ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. DE QUE MODO A VICTORIA ARMAZENARÁ OS CONSENTIMENTOS OBTIDOS? O regime de obtenção dos consentimentos sofreu alterações significativas com o RGPD. Como requisito de licitude, os consentimentos devem ser ativos, não dependendo de omissão, silêncio ou inatividade por parte dos titulares dos dados (opt-in), devem ser claros, não coexistindo em conjunto com outros acordos, condições ou declarações por parte dos clientes, devem ser independentes do fornecimento de bens e serviços ou do tratamento da informação e possibilitando aos clientes o cancelamento do consentimento em qualquer momento e, pelo menos, através dos mesmos canais em que o mesmo foi prestado. Adicionalmente, destacamos que os consentimentos deverão ser prestados de forma autónoma para cada tipo de processamento ou âmbito de licitude (princípio da transparência), devendo a VICTORIA armazenar os consentimentos obtidos de forma centralizada e segura como prova de cumprimento do RGPD. QUE DIREITOS TÊM OS TITULARES DOS DADOS? O RGPD atribui e/ou reforça os seguintes direitos aos titulares dos dados: direito de acesso e retificação, direito à portabilidade dos dados, direito à oposição, direito ao apagamento e limitação do tratamento. O QUE SÃO INCIDENTES DE VIOLAÇÃO DE DADOS PESSOAIS? Os incidentes de violação de dados pessoais consistem na violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

6 EM QUE CONSISTE A AVALIAÇÃO DE IMPACTO DE PRIVACIDADE? Com a entrada em vigor do RGPD e, em particular, das suas disposições relativas a data protection by design/by default e a introdução do conceito de data protection impact assessment ( DPIA ), que consiste em desenhar e implementar procedimentos para avaliar, de forma preferencialmente preventiva, o impacto das suas atividades na proteção de dados pessoais, nomeadamente quando o seu tratamento tenha por base novas tecnologias ou processos e sejam particularmente suscetíveis de implicar um elevado risco para os direitos e liberdades dos titulares dos dados. O QUE É QUE O RGPD DETERMINA PARA AS FALHAS DE SEGURANÇA E QUAIS OS PROCEDIMENTOS A TOMAR CASO TAL SE VERIFIQUE? No âmbito do RGPD, os responsáveis pelo tratamento de dados passam a ter um novo regime de comunicações relativas à violação de dados pessoais. Os responsáveis pelo tratamento de dados devem comunicar aos órgãos de supervisão todas as violações registadas ao nível do processamento de dados pessoais. Adicionalmente, todas as ocorrências de violação de dados pessoais devem ser registadas pelos responsáveis pelo tratamento/processamento de dados, quer seja por falhas de segurança ou por outros motivos. O não cumprimento destas notificações pode implicar multas administrativas do maior valor entre ou de 2% da faturação anual do ano anterior por parte da entidade responsável.