O que é o Regulamento Geral sobre a Proteção de Dados (RGPD)? A quem se aplica? O que são dados Pessoais?

Transcrição

1 RGDP SH Compliance Síntese A aplicação do Regulamento Geral de Proteção de Dados traz maiores exigências na gestão de dados pessoais e coimas pesadas para quem não cumprir com o regulamento. Este documento apresenta uma reflexão sobre este tema, implicações na sua realidade organizacional e nível de compliance com o RGDP. rgdp@shortcut.pt

2 O que é o Regulamento Geral sobre a Proteção de Dados (RGPD)? O RGPD é o REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) com o objetivo de defender os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais. A quem se aplica? O RPGD aplica-se a todos os estados-membros da União Europeia (EU), ou seja, todos os estabelecimentos e responsáveis que tratem dados pessoais, no contexto de atividades ou oferta de produtos e serviços. Isto inclui empresas que lidem com cidadãos residentes na UE, mesmo que não sejam empresas europeias. O RGPD tem aplicação direta a partir de 25 de maio de O que são dados Pessoais? Consideram-se dados pessoais qualquer Informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. O que se entende por tratamento de dados pessoais? O tratamento abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados. Inclui a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais. O Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros.

3 Princípios básicos do RGPD Para entender o RGPD é necessário conhecer os princípios básicos sobre os quais está construído: Legalidade, justiça e transparência: os dados devem ser processados de forma legal, justa e transparente, em relação à pessoa em causa Limitação de propósito: os dados pessoais devem ser recolhidos para fins específicos, explícitos e legítimos e não devem ser processados de forma incompatível com esses fins. Minimização de dados: os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação aos fins para os quais são processados Precisão: os dados devem ser precisos e, sempre que possível, mantidos atualizados; Limitação de armazenamento: os dados pessoais devem ser mantidos num formato que permita a identificação de dados por não mais do que o necessário para as finalidades para as quais os dados pessoais são processados Integridade e confidencialidade: os dados pessoais devem ser processados de uma maneira que garanta a segurança apropriada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou organizacionais apropriadas Imputabilidade: o controlador deve ser responsável e demonstrar a conformidade com o RGPD. Resumidamente, pode dizer-se que estes princípios visam genericamente a proteção de dados e o seu tratamento lícito. Para que se considere que o tratamento de dados pessoais é lícito é necessário que se verifique uma das seguintes situações: A pessoa singular tiver dado consentimento para uma ou mais finalidades específicas; Seja necessário para um contrato do qual a pessoa singular seja ou vá fazer parte; Seja necessário para o cumprimento de uma obrigação legal (por exemplo, entrega das declarações de impostos por uma organização); Exista uma missão de interesse público ou levada a cabo no interesse de uma autoridade pública; Seja necessário para prosseguir interesses legítimos da empresa (ou de um terceiro), salvo quando prevaleçam os interesses, direitos fundamentais e liberdades da pessoa singular. Ao nível do consentimento na relação laboral, o empregador não pode, na maioria dos casos, basear-se no consentimento obtido para utilização dos dados pessoais. Poderão, no entanto, existir situações em que o tratamento dos dados pessoais de um trabalhador com base no respetivo consentimento seja lícito, sobretudo se tal for do interesse do próprio trabalhador. Por exemplo, se uma empresa conceder benefícios ao trabalhador ou aos familiares deste (por exemplo, descontos nos serviços da empresa) o tratamento dos dados do trabalhador é permitido e lícito, se tiver sido dado consentimento prévio informado.

4 Pedido de Consentimento Um pedido de consentimento tem de ser apresentado de forma clara e concisa, utilizando uma linguagem fácil de compreender, e de uma forma que o distinga claramente de outras informações, como os termos e condições. O pedido tem de especificar qual a utilização que será dada aos dados pessoais e tem de incluir os contactos da empresa que efetua o tratamento dos dados. O consentimento tem de ser dado de livre vontade e tem de ser específico e informado e de refletir os desejos de forma inequívoca. Consentimento informado significa que o titular dos dados tem de receber, pelo menos, as seguintes informações sobre o tratamento: a identidade da organização que efetua o tratamento dos dados, os fins para os quais os dados estão a ser tratados e o tipo de dados que serão tratados; a possibilidade de retirar o consentimento dado (por exemplo, enviando uma mensagem de correio eletrónico para retirar o consentimento); se aplicável, o facto de os dados irem ser utilizados para decisões exclusivamente automatizadas, incluindo a definição de perfis; informações destinadas a apurar se o consentimento está relacionado com uma transferência internacional dos dados, os possíveis riscos de transferências de dados para fora da UE se tais países não estiverem sujeitos a uma decisão de adequação da Comissão e não existirem garantias adequadas. Direitos dos cidadãos Nos termos do RGPD, a partir do momento em que são recolhidos e tratados dados pessoais, existe um conjunto de direitos que, a qualquer momento, a pessoa singular poderá exercer junto da entidade que detém esses dados: Direito de acesso: direito que lhe permite obter informação relativamente ao tratamento dos seus dados e respetivas características (nomeadamente o tipo de dados, a finalidade do tratamento, a quem podem ser comunicados os seus dados, prazos de conservação e quais os dados que tem de fornecer obrigatória ou facultativamente). Direito de retificação: direito que lhe permite solicitar a retificação dos seus dados, exigindo que estes sejam exatos e atuais, como por exemplo, quando considere que os mesmos estão incompletos ou desatualizados. Direito à eliminação dos dados ou Direito a ser esquecido : direito que lhe permite solicitar a eliminação dos seus dados, quando considere que não existem fundamentos válidos para a conservação dos dados e desde que não exista outro fundamento válido que legitime tal tratamento (como a execução de um contrato ou o cumprimento de uma obrigação legal ou regulamentar). Direito à Limitação: direito que lhe permite a suspensão do tratamento ou a limitação do tratamento a certas categorias de dados ou finalidades.

5 Direito à Portabilidade: direito através do qual poderá solicitar o envio dos seus dados, em formato digital e de uso corrente, que permita a reutilização de tais dados. Em alternativa, poderá solicitar a transmissão dos seus dados para outra entidade que passe a ser responsável pelo tratamento dos seus dados. Direito de Oposição: direito que lhe permite opor-se a determinadas finalidades e desde que não se verifiquem interesses legítimos que prevaleçam sobre os seus interesses. Um dos exemplos deste direito respeita à oposição a finalidades de comercialização direta (marketing). Direito de Retirar o Consentimento: direito que lhe permite retirar o seu consentimento, mas que apenas pode ser exercido quando o seu consentimento seja a única condição de legitimidade. Direito de informação: direito de ser informado, no limite máximo de 72 horas, caso tenha existido uma fuga de informação que comprometa os seus dados pessoais. Para exercer os seus direitos, pode contactar a empresa ou organização que efetua o tratamento dos seus dados pessoais, ou seja, o responsável pelo tratamento. Se a empresa/organização tiver um encarregado da proteção de dados, (EPD), poderá endereçar-lhe o seu pedido.

6 De que forma a Shortcut garante o cumprimento com o RGPD? O Regulamento Geral de Proteção de Dados (GDPR) inicia uma nova era de regulamentação de privacidade das pessoas singulares e embora o foco do regulamento sejam os processos e as pessoas, a Shortcut entende que o software aplicacional tem um papel importante no reforço do cumprimento das regras de proteção de dados pessoais estabelecidas em cada um dos nossos clientes. A Shortcut, Lda (doravante Shortcut), no contexto das suas relações comerciais, procede ao tratamento de dados pessoais, pretendendo assegurar com rigor, eficácia e segurança a proteção de todos os dados que recolhe e trata. Responsável pelo tratamento de dados e o encarregado de proteção de dados No âmbito das suas atividades e relações, a Shortcut é a entidade responsável pela recolha e tratamento de dados pessoais, os quais são processados e armazenados de forma automatizada e não automatizada. A Shortcut não necessita de dispor de um Encarregado de Proteção de dados (ou Data Protection Officer - DPO). Porém, definiu um Responsável pela Proteção de dados, o qual poderá ser contactado através do rgdp@shortcut.pt. Ao Responsável de Proteção de dados incumbe, em especial, monitorizar a conformidade das atividades que envolvam o tratamento dos seus dados com as normas legais e regulamentares aplicáveis, sendo ainda o ponto de contacto entre a Shortcut e a Autoridade Nacional de Controlo, bem como entre a Shortcut e os seus clientes e utilizadores em questões relativas ao tratamento de dados pessoais. A Shortcut possui também uma Comissão de Ética que poderá ser contactada através do comissão.etica@shortcut.pt. À Comissão de Ética incumbe, em especial, acompanhar o cumprimento do conjunto de valores éticos fundamentais que marcam a identidade da Shortcut, que a distinguem no universo empresarial onde atua e a guiam na prossecução da sua atividade, presentes no Código de Conduta. De quem recolhemos dados pessoais? Visto o negócio da Shortcut ser essencialmente B2B são tratados principalmente dados de pessoas coletivas (que se encontram fora do âmbito do RGPD). Não obstante, para execução da sua atividade, podem ser recolhidos e tratados dados dos seguintes tipos de pessoas singulares (elenco não exaustivo): Clientes, fornecedores e respetivos colaboradores; Prestadores de serviço e respetivos colaboradores; Colaboradores da Shortcut; Candidatos a emprego e estagiários; Visitantes das instalações da Shortcut.

7 Que dados pessoais tratamos e como os recolhemos? A Shortcut apenas recolhe dados que se mostrem adequados, pertinentes e limitados ao que é necessário, relativamente às finalidades para os quais são tratados. A recolha de dados pode ser feita oralmente, por escrito (nomeadamente através de formulários e contratos), bem como através do website Shortcut, na sua ferramenta de R&S. Para execução das diferentes finalidades, poderemos recolher os seguintes tipos de dados pessoais: dados de identificação (como o nome, naturalidade, cartão do cidadão ou data de nascimento); dados relativos ao agregado familiar (como a situação civil, nº de filhos); dados de contacto (como o telemóvel, morada ou ); dados de saúde (como grau de dependência); dados de habilitação e situação profissional (como nível de escolaridade e CV); dados bancários, financeiros e transações (como IBAN ou número de identificação fiscal); dados de localização (como endereço de IP); Outros dados que se mostrem necessários face às diferentes finalidades. A Shortcut, nas ruas relações comerciais, não recolhe, nem trata dados pessoais relativos a crianças. Poderão ser recolhidos dados de filhos de colaboradores, mediante consentimento parental, para fins específicos, como atribuição de medidas sociais existentes na organização. Os dados pessoais dos colaboradores e estagiários da Shortcut, são recolhidos, tratados e geridos numa plataforma web pplportal que é compliance RGPD. Fundamentos e Finalidades do Tratamento de Dados Pessoais Todos os dados recolhidos e tratados pela Shortcut têm por fundamento os princípios básicos do RGPD atrás identificados. Os dados pessoais recolhidos pela Shortcut apenas são processados para fins específicos, explícitos e legítimos. Sempre que sejam recolhidos dados pessoais, os mesmos destinam-se exclusivamente às finalidades expressamente identificadas aquando da recolha. Elencamos aqui as principais finalidades que justificam a recolha de dados pessoais pela Shortcut Contratualização de contratos de trabalho e de estágios Contratualização de contratos de fornecimento e de prestação de serviços; Gestão de eventos promovidos pela Shortcut; Divulgação de newsletters / publicações; Segurança Física das Instalações e Pessoas.

8 Período de conservação de dados pessoais A Shortcut trata e conserva os seus dados apenas durante o período que se mostre necessário à prossecução ou conclusão das finalidades do tratamento a que se destinam, em respeito pelos prazos máximos necessários para cumprir com obrigações contratuais, legais ou regulamentares. Regra geral, e quando exista um contrato que legitime o tratamento dos seus dados, a Shortcut irá manter tais dados enquanto se mantiver tal relação contratual. Outras circunstâncias existem, como o cumprimento de obrigações legais ou regulamentares (por exemplo, para efeitos de cumprimento de obrigações fiscais, os dados pessoais relativos a faturação, devem ser conservados pelo prazo máximo de dez anos a contar da prática do ato), bem como a pendência de um processo judicial, que podem legitimar que os seus dados sejam conservados por período de tempo superior. Findo o período de conservação, a Shortcut procederá à eliminação dos referidos dados. Direitos dos titulares dos dados Nos termos do RGPD, a partir do momento em que recolhemos e tratamos dados pessoais, existe um conjunto de direitos que precisamos de garantir. Esses direitos estão supra descritos. Como pode exercer os seus direitos? Todos os direitos, supra descritos poderão ser exercidos, com as limitações previstas na legislação aplicável, mediante pedido por escrito, a ser remetido através do rgdp@shortcut.pt De igual forma poderá remeter questões relacionadas com o tratamento dos seus dados, diretamente junto do Responsável de Proteção de Dados. Poderá ainda apresentar qualquer reclamação junto da Autoridade Nacional de Controlo. Transmissão de dados Regra geral, a Shortcut não partilha nem divulga dados pessoais recolhidos, para fins comerciais, vendas ou de marketing. Podem, porém, dependendo da respetiva finalidade, ser partilhados junto de entidades terceiras, como organismos públicos nacionais e internacionais e entidades privadas para efeitos de cumprimento de obrigações legais ou regulamentares, contratuais ou funções de interesse público. São exemplo a partilha para processamento salarial e seguros, entidades externas para o efeito de processamento de referências para pagamentos (Multibanco, Paypal). Poderão ainda os seus dados ser acedidos por prestadores de serviços da Shortcut, tidos como necessários para a execução das finalidades supra descritas, nomeadamente no que respeita a serviços de segurança de informação e de arquivo. A Shortcut garante que recorre apenas a prestadores de serviços que apresentem as garantias de execução de medidas técnicas e organizativas necessárias e adequadas a proteger os seus dados pessoais.

9 Transferências de dados pessoais para fora do EEE A Shortcut não transfere dados pessoais para países terceiros (fora da EEE Espaço Económico Europeu). Porém, caso excecionalmente isso se venha a verificar, a Shortcut assegurará que as transferências de dados se realizam no estrito cumprimento das normas legais aplicáveis. De que modo a Shortcut protege os seus dados pessoais? A Shortuct tem implementadas as medidas lógicas, físicas, organizativas e de segurança adequadas, necessárias e suficientes para proteger os seus dados pessoais contra a destruição, a perda, a alteração, a difusão, o acesso não autorizado ou qualquer outra forma de tratamento acidental ou ilícito. Temos implementado: Requisitos e medidas de segurança lógicos, como a utilização de firewalls e sistemas de deteção de intrusão nos seus sistemas, a utilização de backups, a existência de uma política rigorosa sobre os acessos a sistemas e à informação e o registo das ações efetuadas pelos colaboradores da Shortcut sobre dados pessoais dos clientes ou utilizadores; Protocolo SSL / HTTPS: A partir do momento que o utilizador acede a um site com o protocolo HTTPS, todas as comunicações entre o utilizador e o site-loja online são encriptadas. O protocolo HTTPS é utilizado para proteger transações e transmissão de dados confidenciais como acontece nos sistemas de e-commerce e e-banking; Mecanismos de escrutínio, auditoria e controlo para garantir o cumprimento das políticas de segurança e privacidade; Um programa de informação/formação aos colaboradores, parceiros e clientes. Política de cookies Os cookies são pequenos ficheiros de texto que são guardados no computador do utilizador e permitem identificá-lo à medida que vai navegando nos websites. A Shortcut não utiliza cookies no seu website. Documentação & Sistemas A Shortcut dispõe de procedimentos, códigos de conduta e instruções internas capazes de serem disponibilizadas às entidades de supervisão. A Shortcut dispõe de sistemas para monitorizar se as políticas, os valores e procedimentos estão a ser seguidos.