RGPD: 10 Medidas Fundamentais para Evitar Multas. Conheça as regras a implementar na sua empresa!

Transcrição

1 RGPD: 10 Medidas Fundamentais para Evitar Multas Conheça as regras a implementar na sua empresa!

2 ÍNDICE Principais regras introduzidas pelo RGPD 6 10 Medidas a adotar para evitar multas 10 RGPD: 10 Medidas Fundamentais para Evitar Multas 2 3

3 O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor a 25 de maio de 2018, conforme normativa da União Europeia (UE). A nova lei veio substituir o anterior diploma, que se encontrava em vigor desde Com o advento dos meios digitais e a sua crescente popularização nos países europeus, tornaram-se claros os limites da anterior legislação, que tinha já mais de 20 anos. A internet veio alterar, em todos os campos, a forma como as trocas de informação se processam. É neste contexto que surge o RGPD. A nova lei destina-se essencialmente a regular o modo como as instituições recolhem, armazenam e utilizam os dados pessoais que lhes são confiados. À luz da atual legislação, por dados pessoais entende-se todas as informações que identificam um cidadão ou que permitem que o mesmo seja identificado. Com o recente regulamento, o direito à proteção dos dados por parte dos cidadãos sai reforçado. Quais as entidades abrangidas pela nova lei? O RGPD aplica-se aos 28 estados-membros da União Europeia e também a qualquer outro país que comercialize bens ou serviços dentro do espaço comunitário. Qualquer empresa, independentemente do seu ramo de atividade, encontra-se obrigada a adotar os procedimentos necessários para cumprir o RGPD. O regulamento é uma lei da UE e não uma simples diretiva, pelo que tem carácter jurídico e, consequentemente, vinculativo para todos os estados-membros. RGPD: 10 Medidas Fundamentais para Evitar Multas 4 Quais as multas previstas no regulamento? Consideradas especialmente rigorosas por vários especialistas, as novas normas de proteção de dados preveem multas pesadas para as empresas que não cumpram a legislação. O setor público encontra-se isento destas penalizações, pelo menos, até 3 anos após a entrada em vigor da nova lei. As coimas podem chegar a 4% da faturação anual da empresa no ano anterior à infração ou a 20 milhões de euros e estão divididas nas categorias grave e muito grave. O Governo português complementou os pontos gerais do regulamento europeu, fixando valores mínimos nas multas a aplicar. Contraordenação grave Pessoas individuais: Desde 500 euros PME: Desde euros Grandes empresas: Desde euros Contraordenação muito grave Pessoas individuais: Desde euros PME: Desde euros Grandes empresas: Desde euros Até 20 milhões de euros ou 4% do volume de negócios global 5

4 Principais regras introduzidas pelo RGPD O novo regulamento contempla um total de 99 regras. Por isso, são muitas as alterações a implementar. Na lista que se segue, compilamos algumas das mais prementes. Maior informação ao consumidor O RGPD alarga a responsabilidade das empresas no tratamento dos dados que lhes são confiados. Desta forma, o volume de informação que deve ser prestado ao consumidor no momento da recolha também aumenta. Com o novo regulamento, passa a ser obrigatório referir o enquadramento legal em vigor, o prazo de conservação da informação, as opções de transferência de dados e a possibilidade de apresentação de queixas. Estes esclarecimentos devem ser prestados de forma clara e inequívoca. Regulação de todo o processo de tratamento de dados As empresas estão obrigadas a assegurar mecanismos de proteção de dados. Assim, têm de utilizar, por defeito, o conceito de privacidade e as aplicações informáticas devem estar adap- RGPD: 10 Medidas Fundamentais para Evitar Multas 6 7

5 tadas a este modelo. Aconselha-se que o acesso e o tratamento das informações sejam minimizados e que as mesmas estejam protegidas através de recursos como a encriptação. Novos direitos de portabilidade, transferência e eliminação de dados Os titulares passam a poder pedir às empresas que lhes enviem os seus dados, num formato que permita transmiti-los a outras entidades. Isto aplica-se em contextos de mudança de prestador de serviços (energia e telecomunicações, por exemplo). Além disso, cada cidadão passa a ter a prerrogativa de solicitar às empresas que eliminem de forma definitiva os seus dados medida denominada de direito ao esquecimento. Obrigatoriedade de consentimento para obtenção de dados Todas as bases de dados têm de ser compostas por informação devidamente autorizada pelos respetivos titulares. É imprescindível o cumprimento desta obrigação e a verificação das listas atuais. As provas de autorização dos titulares devem ser guardadas pelas entidades. Novas categorias de dados sensíveis Os dados considerados sensíveis requerem um tratamento próprio. Este novo regulamento alargou o âmbito desta classificação. Os dados biométricos, por exemplo, estão agora incluídos nesta categoria. Registo do tratamento de dados Desde 25 de maio de 2018, é obrigatório o registo de todo o tratamento que as empresas fazem das informações que lhes são confiadas. Assim, todas as ações têm de ser registadas pela empresa e o funcionário responsável pela intervenção em causa deve estar devidamente identificado. Alterações na subcontratação A nova legislação determina que as empresas subcontratadas em tarefas que incluam tratamento de dados pessoais partilham responsabilidades com os subcontratantes. A lei obriga a que um grande número de informações passe a fazer parte dos contratos de subcontratação. A empresa que contrata os serviços é responsável por confirmar se os requisitos necessários estão a ser assegurados. Obrigatoriedade de comunicar violações A lei de proteção de dados passa a determinar como obrigatória a comunicação de violações relativas aos dados armazenados, no caso de existirem eventuais riscos para os titulares. O prazo para esta comunicação é de 72 horas após ter ocorrido a quebra de confidencialidade. RGPD: 10 Medidas Fundamentais para Evitar Multas 8 9

6 10 Medidas a adotar para evitar multas 1. Garantir que todos os colaboradores estão devidamente informados É essencial que toda a estrutura da sua empresa esteja inteirada sobre o que é e o que implica o RGPD. Deve ter em mente que os dados pessoais dos clientes estão, na generalidade dos casos, acessíveis a todos os funcionários da instituição. Desta forma, dependendo do seu ramo de negócio, é possível que sejam vários os colaboradores a lidar com informações privadas. Por isso, ações de formação sobre o tema são aconselháveis. uma estratégia de ação É importante delinear um plano de ação. Após ter-se informado que devem ser trabalhados (bases de dados, política de cookies, pedidos de autorização ). Se não costuma ocupar-se diretamente destes setores na sua empresa, reúna-se com os responsáveis. A mais sensíveis e passíveis de resultarem numa coima elevada e começar a trabalhar neles de imediato. RGPD: 10 Medidas Fundamentais para Evitar Multas

7 3. Rever a política interna de proteção de dados Esta medida é a base de todas as que fazem parte da lista. Alterar a política interna de armazenamento é essencial para cumprir a nova lei. Por isso, elimine práticas antigas e adote o princípio da transparência. É possível que, com esta alteração, as suas bases de dados diminuam e as subscrições sejam mais lentas. Contudo, conseguirá contactos mais qualificados. Lembre-se de que a sua empresa deve estar pronta para adaptar os conceitos de privacy by design e privacy by default. 4. Nomear um encarregado de proteção de dados O encarregado de proteção de dados Data Protection Officer (DPO) é a pessoa responsável por fazer o controlo frequente e rigoroso dos dados armazenados pela sua empresa. Esta figura é especialmente relevante em entidades que lidam com informação sensível e biométrica, tais como instituições de saúde. Embora a presença do DPO seja essencial na fase de transição para o novo regime, a sua continuidade é muito importante para assegurar o cumprimento constante dos novos requisitos. 5. Analisar as bases de dados É fundamental que reveja as suas bases de dados e elimine informações relativas a pessoas que não consentiram expressamente a sua continuidade nas mesmas. Com as alterações impostas pelo RGPD, apenas titulares que deram autorização podem estar sujeitos a ações de marketing, mesmo que sejam clientes da empresa. No RGPD: 10 Medidas Fundamentais para Evitar Multas 12 mesmo sentido, é importante recordar que não pode utilizar bases de dados compradas uma prática muito comum até esta altura, uma vez que terá de solicitar nova autorização aos seus contactos. Só se esta for dada de forma expressa é que os poderá manter na base de dados. 6. Utilizar um software apropriado É importante que o software que utiliza esteja adaptado às imposições da nova lei. O RGPD determina que deve ser cumprida a Diretiva de Segurança das Redes e da Informação (SRI), que prevê um nível de segurança básico para as tecnologias digitais onde estão armazenados os dados dos titulares. Desta feita, o software que utiliza deve ser apto a cumprir o regulamento (permitindo a encriptação de dados, por exemplo). Um bom sistema digital poderá também ser um auxiliar precioso, ao automatizar muitos dos processos necessários para o cumprimento do RGPD. 7. Alterar o conteúdo dos sites e outros meios de comunicação Os meios de comunicação utilizados pela sua instituição (sites, s, blogs, redes sociais ) devem estar adaptados ao novo regulamento. O conteúdo informativo sobre a recolha e armazenamento de dados tem de estar sempre visível e de explicar como podem ser alteradas as preferências do utilizador. A linguagem deve ser clara e simples e referir quais as informações pedidas e para que fim. 13

8 8. Denunciar irregularidades à Comissão Nacional de Proteção de Dados A sua empresa deve notificar a CNPD de todas as violações de privacidade. Um dos princípios-base do RGPD é devolver a confiança dos titulares nas comunicações que recebem e no suporte digital. Por isso, consultar a informação da CNPD e estar disposto a divulgar quebras de sigilo é fundamental. Situações graves devem também ser comunicadas às pessoas afetadas. 9. Ter em conta as transferências internacionais de dados Muitas empresas têm os seus servidores localizados noutros países, o que origina um volume elevado de transferências de dados. Contudo, o RGPD aplica-se a qualquer país onde a informação esteja armazenada, mesmo que este não faça parte da UE. As transferências de dados devem ser enquadradas dentro das regras estabelecidas. Caso sejam feitas para territórios que não sejam considerados adequados, devem dar as garantias legais necessárias aos titulares. Adiar ou ignorar a implementação do Regulamento Geral de Proteção de Dados não é a solução, dado que basta uma denúncia para desencadear uma inspeção. Procure uma empresa com créditos firmados no mercado e implemente já as diretivas necessárias para evitar constrangimentos. Na NEWGEST, prestamos todo o apoio de que necessita para assegurar a proteção de dados na sua empresa. Solicite uma sessão de aconselhamento gratuita e garanta o sucesso do seu negócio. O RGPD já entrou em vigor mas ainda vai a tempo de adotar as medidas obrigatórias e garantir que atua em conformidade. Não perca mais tempo. Obtenha aconselhamento profissional e personalizado. Fale com os nossos especialistas e esclareça gratuitamente todas as dúvidas. 10. Contratar um especialista para garantir uma implementação bem-sucedida A implementação das novas regras do RGPD exige um conhecimento profundo. Não é fácil filtrar toda a informação existente e garantir que nada falha. Como tal, é aconselhável confiar numa entidade externa, composta por profissionais especializados. Ainda que, no momento, possa parecer-lhe um custo acrescido, a poupança futura será muito significativa. RGPD: 10 Medidas Fundamentais para Evitar Multas

9 A NEWGEST é especializada no apoio à gestão de empresas e conta com 25 anos de experiência no mercado. Enquanto parceiro inestimável de várias entidades, presta serviços nas áreas de: Contabilidade e Reporte; Fiscalidade, Gestão administrativa de recursos humanos, Consultoria estratégica e de gestão. A NEWGEST possui uma carteira de clientes nas mais diversas áreas de atividade empresariais e económicas, em mercados nacionais e internacionais e encara a qualidade, inovação e personalização como parte do seu ADN. Devido ao know-how acumulado ao longo dos últimos anos, a NEWGEST é líder de satisfação e assume-se como um parceiro privilegiado para assegurar o sucesso do seu negócio. O propósito da NEWGEST é que os seus clientes tenham zero preocupações e que se dediquem ao seu negócio. Quando clientes NEWGEST demonstram que estão muito satisfeitos com a capacidade de resposta em tempo útil da NEWGEST, que tem uma ótima relação preço qualidade e uma real perceção das suas necessidades, podemos dizer orgulhosamente que a NEWGEST está a viver o seu propósito. RGPD: 10 Medidas Fundamentais para Evitar Multas 16