RGPD – Regulamento Geral sobre a Proteção de Dados

Hoje vamos falar sobre o RGPD, regulamento geral da proteção de dados que, a nível internacional, é conhecido como GDPR General Data Protection Regulation.

O rgpd de entra em vigor em 25 de maio de 2018 para todos os países da comunidade Europeia.

O que é RGPD?

RGPD é um conjunto de regras que todos os países da comunidade europeia têm de implementar, ou seja é a razão de existir é dar controlar os cidadãos europeus sobre como é que os seus dados pessoais que os fornecem empresas estão a ser tratados.

O RGPD de foi aprovado há já alguns anos e foi entrou em vigor em 25 de maio de 2018.

As empresas e entidades que não aplicarem o RGPD podem sofrer coimas bastante custosos nos casos menos graves a coima poderá ir até 10 milhões de euros ou 2 por cento volume de negócio anual de uma empresa. Mas nos casos mais graves pode ir até 20 milhões de euros, ou 4 por cento do volume de negócio anual.

O RGPD é portanto algo que todas as empresas têm de repensar analisar e fazer uma inventariação de toda a informação que estão a tratar ao nível de dados pessoais.

Quem é que tem de aplicar então o RGPD?

Será que uma empresa com três colaboradores, que têm os sites venda online, que tem um software de faturação que armazena dados pessoais dos seus clientes não têm de aplicar o RGPD?

Sim, todas as empresas ou entidades que armazenem dados pessoais de cidadãos europeus têm de aplicar o RGPD. Por exemplo uma empresa que está sediada fiscalmente nos estados unidos da américa, ou seja fora da comunidade europeia, mas que está a operar dados pessoais dos cidadãos europeus, é obrigado a cumprir o RGPD, independentemente de onde fisicamente estes dados estão a ser armazenados. Mesmo que estejam armazenados na cloud.

Isto é mesmo que uma empresa portuguesa, que tenha as suas bases de dados alojados num data center nos estados unidos da américa ou no outro país fora da comunidade do país tem de cumprir obrigatoriamente o RGPD de desde que armazene tratam de informação de cidadãos europeus. 

No RGPD há 2 conceitos que as empresas têm de conhecer, o conceito do Controlador e o conceito do Processador de dados.

O controller e o Processor

Numa grande parte das empresas e, olhando para as empresas que tenham software de faturação, que fazem processamentos de vencimentos, que tem um software de CRM ou trata e formular de em também em papel. Porque o RGPD não é só para os dados informáticos, mas sim para todos e quaisquer das pessoais e empresa sendo informaticamente ou em papel.

O controlador é entidade que armazena os dados, protege os dados e faz backup dos dados e pode tomar decisões sobre essa informação. Pode ser uma empresa subcontratada, se por exemplo uma empresa tem os dados alojados em um data center, nesse caso o data center tem que garantir à empresa que os dados pessoais estão seguros.

O processador é entidade analisa trata e faz backup dos dados, ou seja uma empresa que tenha os próprios servidores e trata internamente os dados pessoais dos seus clientes é simultaneamente o controlador e processador da Informação relevante para o RGPD pois é própria empresa que trata os dados, os analisa e usa os dados para ir de encontro às necessidades da empresa.

Por exemplo a elaboração de campanhas, e aqui é a grande pergunta o que são dados pessoais?

O que são dados pessoais?

O artigo 4 do RGPD define que dados pessoais é qualquer informação que possa levar à identificação de uma pessoa, de forma direta ou indiretamente por exemplo:

A fotografia do cidadão permite identificá lo mesmo que a fotografia não esteja escrito o nome da pessoa e nesse caso a fotografia é um dado pessoal pois permite a identificação da pessoa, outro exemplo é a fotografia da casa de um cidadão, pois pode levar à identificação do mesmo. 

Mas o RGPD ao nível do artigo 4 e artigo 9, categoriza os dados pessoais como dados pessoais genéricos e dados pessoais sensíveis. Aqui chamamos a atenção que já existem empresas que  já estão habituados a cumprir regras muito rígidas sobre a proteção dos dados dos cidadãos, independentemente de já estar ou não implementado o RGPD.

É o caso das empresas na área da saúde onde há efetivamente dados muito sensíveis e sigilosos onde é necessário garantir que não são perdidos ou dissipados por outras entidades.

Os dados pessoais genéricos são por exemplo:

Nome 

Telefone

Email

Os cookies recolhidos por sites de internet 

Um post uma rede social no fórum ou 

Uma fotografia

Os dados pessoais sensíveis são por exemplo:

As tendências religiosas

Políticas 

Sexuais 

Raciais 

Opiniões

Filosóficas 

Dados de saúde, genética

Criminais, etc

Isto porque razão do RGPD é proteger o indivíduo, em termos práticos o RGPD vai obrigar as empresas ou entidades a cumprir determinados tópicos e, os principais tópicos são:

O consentimento

O direito de consulta

O direito ao esquecimento

O direito à portabilidade dos dados 

O direito de oposição 

O controle de acesso

E o registo tratamento de dados

O consentimento é ordem ou a autorização que o cidadão dá uma empresa ou entidade  para armazenar ou tratar os dados.

O direito à consulta permita ao cidadão exigir uma empresa ou entidade em qualquer momento que a empresa lhe mostre quais são os dados que tem armazenado sobre esse cidadão, dando lhe uma cópia dessa informação.

 O direito ao esquecimento leva a uma situação muito comum nos dias de hoje e que são os emails que recebemos, muitas vezes com publicidade, produtos ou empresas em que nós nunca fornecemos diretamente os nossos dados, email ou telefone e por este motivo qualquer cidadão pode exigir o direito ao esquecimento.

E o direito ao esquecimento não é só o direito não voltar a ser contactado mas também o direito é que uma empresa apague todos os dados pessoais do cidadão. 

O direito à portabilidade o dados é o direito que se não tem de qualquer momento e exigir a uma empresa ou entidade uma cópia de toda a informação que têm relacionada com ele.

O direito à oposição, é o direito que permite ao cidadão a qualquer momento dizer uma empresa ou entidade que não quer que tratam mais dos seus dados.

O controle de acesso obriga as empresas ou entidades que tratam dados pessoais garantam a segurança dos dados, ou seja todo cidadão tem de ter garantias e saber quem é que vai aceder e tratar os seus dados.

O controle de acesso leva nos a um outro tópico que é o registro de tratamento dos dados, ou seja as entidades que tratam os dados pessoais do cidadão tem que ter registos de todo o histórico de atividade com o contato e registo de quem tenha acesso aos dados pessoais de um cidadão.

Tal como referido anteriormente o consentimento é ordem ou autorização que o cidadão dá uma empresa ou entidade para armazenar os seus dados, ou seja sem consentimento a empresa e ou entidade não podem fazer nada com os dados do cidadão.

Pois o  consentimento é uma manifestação de vontade livre específico informada explícita pela qual o titular dos dados aceita mediante uma declaração que os seus dados pessoais sejam objeto tratamento e o consentimento não pode ser verbal por exemplo quando escrevemos ao site de uma empresa e preenchemos um formulário de contato é porque queremos ser contactados por essa empresa.

E para dar respostas tópicos RGPD, o site tem de ter disponível é sua política de privacidade e apresentar ao cidadão que se está a registar no site, algo onde este dá autorização à empresa para tratar seus dados, voltará a contratá-lo, enviar-lhe campanhas, emails, etc.

E tem que ser o cidadão ativar a autorização do tratamento dos dados, ou seja a autorização não pode estar pré definida no site, outro exemplo uma empresa que vê vários currículos e que na primeira entrevista, apresenta um pequeno formulário para o candidato preencher com os seus dados como o nome, a morada, data nascimento, etc

Nesse formulário quem presenteou papel a empresa tendo colocar um espaço onde o candidato lê e assine que vai dar o consentimento que a  empresa possa tratar dessa informação.

E atenção, o silêncio, as opções pré validadas, ou a omissão não deverão constituir um consentimento.

Concluindo não é o cidadão que tem de  provar que deu o consentimento para tratamento dos dados, mas é a empresa ou entidade que tem de provar que o cidadão deu o consentimento para o tratamento dos dados.

É sempre quem tem os dados e trata os dados quem tem de provar que foi dado consentimento para os tratar, apresentamos aqui um exemplo de autorização para tratamento de dados pessoais de uma empresa que tem

formulário de candidatura para recrutamento.

No formulário deverá constar o candidato autoriza que os seus dados pessoais sejam objeto do processamento e armazenamento informático ou não informático antes, durante ou após a análise da candidatura para estudo de oferta e análise de contratações.

A empresa deverá também esclarecer o candidato que este tem o direito de acordo com o RGPD  reconhecer os dados que sejam registrados sobre se computados por si retificar e eliminar livremente sem restrições à informação a seu respeito.

É este sentimento que o candidato irá assinar, pois a empresa já está a dar conhecimento do que os seus dados pessoais vão ser tratados.

Quais são então os direitos dos cidadãos com os seus dados?

Um dos principais direitos do cidadão, depois de ter dado efetivamente o consentimento é o direito de ser esquecido, apagado, ou seja tem o direito que todos os seus dados pessoais que tentam estavam disponíveis na empresa sejam apagados.

Aqui  é que é importante saber que a informação sobrepõe a obrigatoriedade do RGPD dependendo de cada estado membro e que a dados que não podem ser apagadas pois tratam-se dados fiscais, ou seja empresa pode apagar os dados pessoais de um cliente como nome ou morada ou não podem eliminar ou alterar as faturas deste cliente. Pois são dados fiscais e uma vez que há leis fiscais a nível da autoridade tributária e certificação do software que obrigam que essa informação seja mantida no software.

Outro direito dos cidadãos é o direito à portabilidade dos dados e neste caso o software têm de estar preparados para isto.

Ou seja, o cidadão tem o direito de em qualquer momento obter um ficheiro com todos os dados que estão armazenados da empresa sobre ele.

E atenção que a portabilidade dos dados só diz respeito a dados informáticos, ou seja neste caso é excluído o papel, por isso o próprio sistema informático tem de ser capaz de exportar essa informação no formato legível e tratável, pode ser por exemplo ficheiro excel ou csv.

Um outro direito que os cidadãos têm sobre os seus dados é de saber como é que as empresas guardam os seus dados ou seja, é como quando vamos ao banco e pedimos para nos guardarem uma quantia no cofre, temos que ter garantias que o banco tem um cofre com segurança e que tem vários meios que protegem esse cofre.

Só assim é que tínhamos confiança que nós montante está seguro a mesma coisa se passa com os dados pessoais dos cidadãos.

Por este motivo as empresas têm do usuário pelos dados dos cidadãos e caso tenham um problema de roubo ou ataque informática por exemplo, tem 72 horas incluídos feriados e fins de semana para informar à entidade nacional que houve um problema.

Em Portugal a entidade é comissão nacional de proteção de dados, a empresa tem também e 72 horas para informar o cidadão que houve um problema de segurança, para que o cidadão fique consciente de que os seus dados podem ser dissipadas pela internet.

Para zelar por segurança dos dados, as empresas terão de ter controle de acesso aos dados pessoais dos cidadãos e implementar políticas de segurança para prevenir os problemas de segurança.

Outro dos direitos é transparência ou seja, é o cidadão dizer que vai fornecer os dados da empresa, mas também de fornecer os dados têm de saber o que é que a empresa pretende fazer com eles, por outro lado empresa tem de dizer exatamente o que vai fazer com os dados e fazer exatamente o que disse que ia fazer, é que está a transferência.

E para haver transparência, as empresas têm de ter uma política de privacidade e essa política de privacidade, as empresas devem publicar na sua página de internet tiverem, onde devem escrever em linguagem simples e legível por qualquer pessoa, quais são os procedimentos que usam dentro da empresa para tratar dados pessoais e de que forma é que os cidadãos podem exigir por exemplo, a portabilidade dos dados convido-vos a consultar a política de privacidade da Besrc que está disponível no nosso site.

Depois há que minimizar os riscos e por isso, outro direito dos cidadãos é a proteção de dados, data protection e aqui há um aspecto muito importante é que o RGPD diz que as empresas com mais de 250 funcionários devem gerar 1 DPO, um data protection officer.

Essa entidade pode ser alguém eleito internamente dentro da empresa, uma empresa subcontratada, ou alguém em part-time por exemplo. 

As empresas devem garantir que existem políticas de backup, firewall, password para controlar o acesso à informação e garantir a segurança dos dados.