A nova política de privacidade europeia, que entrou em vigor no dia 25 de maio, tem um impacto significativo nas empresas, sejam elas públicas ou privadas. Conheça a checklist de requisitos GDPR, o novo Regulamento Geral de Proteção de Dados.

Desde o dia dia 25 de maio, todas as organizações empresarias, sejam elas públicas ou privadas, que lidam com dados de cidadãos da União Europeia devem de cumprir novos requisitos legais, estabelecidos novo Regulamento Geral de Proteção de Dados (RGPD) ou “General Data Protection Regulation” (GDPR).

Este regulamento foi promulgado em abril de 2016 pelo Parlamento Europeu, dando às organizações um período de dois anos para estarem em compliance com as exigências determinadas na nova legislação. Conheça a checklist de requisitos GDPR, que vai operar uma mudança significativa não só no funcionamento, mas também no mindset corporativo.

Recorde-se que o novo regulamento assenta num direito fundamental – consagrado na Carta dos Direitos Fundamentais da União Europeia: a proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais.

De entre um conjunto considerável de medidas organizacionaistécnicas e de processamento de dados, constantes na checklist de requisitos GDPR, destacamos as seguintes:

1. MEDIDAS DE GESTÃO E ORGANIZACIONAIS

De forma a assegurar a não violação das novas normas e de demonstrar que a proteção de dados é um assunto de vital importância para a sua empresa, um dos muitos desafios será, com toda a certeza, sensibilizar os colaboradores para as novas questões de privacidade e tratamento de dados. O que se procura será fundar uma nova mentalidade corporativa para esta nova era da regulamentação da privacidade.

O GDPR exige que as organizações empresariais passem a ter como uma das suas principais preocupações a gestão, manipulação e processamento dos dados pessoais com os quais lidam. Assim sendo, as empresas terão, por exemplo, de rever:

Regulamento interno: O qual deve refletir todas as ações da empresa para estar em conformidade com a nova legislação. Deve incluir uma lista de todos os colaboradores que lidam com dados pessoais e respetiva discriminação de responsabilidades.

Os termos e condições das plataformas online: Os termos e condições das plataformas online têm de deixar de ser extensos e confusos para passarem a ser transparentes, objetivos e claros – questão à qual é dada muito ênfase no GDPR.

A recolha de dados: Os dados pessoais a recolher dos clientes deverão estar espelhados no regulamento interno, bem como a justificação de os ter recolhido e como os trata.

A necessidade de nomear um DPO (Data protection Officer): Isto no caso das empresas que têm mais de 250 colaboradores. Quer seja um funcionário ou  um consultor externo, o DPO ficará responsável pela conformidade em matéria de proteção de dados.


2. MEDIDAS TÉCNICAS

A este respeito, além da necessidade de desenvolver tecnologia que contemple a proteção de dados, é ainda de referir a necessidade de:

Recolher provas válidas de consentimentos: a este respeito é importante que o utilizador possa gerir os seus consentimentos ou mesmo apagar a sua conta, na sua área de cliente, a qualquer momento. As empresas não poderão mais utilizar letras miúdas, deixar campos de marcação pré-selecionados nem omitir o texto legal. O consentimento do utilizador tem de ser inequívoco.

Gestão de cookies: Tratadas como um simples alerta de aceitação ou não aceitação da política de cookies para continuar a navegar na plataforma online, as cookies terão agora de ser sucintamente explicadas ao utilizador. Além disso, o  acesso à página não pode ser recusada ao utilizado, mesmo que este recuse todas as cookies.

Encriptação: A checklist de requisitos GDPR especifica a encriptação como uma abordagem que pode ajudar a garantir o cumprimento de algumas exigências. Tal como se lê no regulamento:

Artigo 32 – Segurança do processamento

“Tendo em conta o estado da tecnologia, os custos de execução e a natureza, âmbito, contexto e finalidades do tratamento, bem como o risco de variação da probabilidade e da gravidade dos direitos e liberdades das pessoas controller and the processador s implementar medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, inter alia, se for caso disso: a) a pseudonimização e a encriptação de dados pessoais. […]”

Artigo 34 – Comunicação de uma violação de dados pessoais à pessoa em causa

“A comunicação à pessoa em causa referida no n.º 1 não será exigida se estiver preenchida uma das seguintes condições: (a) O controlador Implementou medidas de protecção técnica e organizacional adequadas e essas medidas foram aplicadas aos dados pessoais afectados pela violação de dados pessoais, que tornam os dados pessoais ininteligíveis para qualquer pessoa que não esteja autorizada a acessá-la, como encriptação. […]”.


3. PROCESSAMENTO DE DADOS

Documentar dados pessoais: a este propósito o GDPR é claro – deve documentar e justificar todos os dados pessoais que possui, de onde vieram e com quem partilha. Além disso, as empresas devem examinar como processam dados pessoais e identificar a base legal na qual executa e documenta esses processos.

in “www.e-konomista.pt”