O RGPD é o Regulamento Geral sobre a Proteção de Dados. Porque é que é importante? Quais são os requisitos para estar em conformidade e as funções envolvidas?
O RGPD, que significa Regulamento Geral sobre a Proteção de Dados, é uma das leis de privacidade e proteção de dados mais rigorosas do mundo, mas poucas organizações cumprem integralmente os seus estatutos.
O RGPD rege geralmente os países da União Europeia (UE) e do Espaço Económico Europeu, mas o seu enquadramento foi adotado em muitas leis importantes sobre privacidade de dados em todo o mundo.
As entidades não conformes podem receber coimas até 20 milhões de euros ou sanções de 2 a 4 por cento do volume de negócios global anual (consoante o que for maior). A partir de 2018, o Gabinete do Comissário da Informação (ICO) aplica as normas do RGPD.
Este artigo descreve as normas estabelecidas pelo RGPD e fornece uma lista de verificação para ajudar as organizações a manterem-se em conformidade.
Conteúdos do Artigo
O que é o Regulamento Geral sobre a Proteção de Dados (RGPD)?
O RGPD é um produto da ousada reforma da proteção de dados da União Europeia (UE). As rigorosas normas de privacidade entraram em vigor a 25 de maio de 2018 para proteger os direitos das pessoas. Este quadro de cibersegurança visa proteger os dados pessoais de todas as pessoas na União Europeia.
O RGPD atualiza a Convenção Europeia dos Direitos do Homem de 1950 para a tornar relevante para a era digital. O artigo 8.º da convenção estabelece que todas as pessoas têm o direito de respeitar a sua vida familiar privada. Na era analógica, as fronteiras entre a vida pública e a vida privada eram bem definidas e facilmente identificáveis. Atualmente, são ambíguas e pouco nítidas. Sem uma norma clara e aplicada como o RGPD, os utilizadores nunca poderão ter a certeza de que os seus dados privados e, consequentemente, a sua vida privada, são respeitados.
O que se entende por “dados pessoais” ao abrigo do RGPD da UE?
Nos termos do artigo 4.º do RGPD, os dados pessoais são definidos como qualquer informação relativa a uma pessoa singular identificada ou identificável. Por outras palavras, os dados pessoais são quaisquer dados relacionados com a identidade de uma pessoa viva.
Os dados pessoais não são apenas imagens, vídeos, áudio, números e palavras. Incluem não só associações directas, como informações financeiras e endereços, mas também ligações indiretas, como avaliações dos padrões de comportamento de uma pessoa.
As informações inexatas sobre as pessoas em causa continuam a ser consideradas dados pessoais porque estão associadas a uma identidade. Se, no entanto, a informação estiver associada a uma entidade fictícia, não é considerada um dado pessoal. Por exemplo, se se referir a uma pessoa fictícia que reside num local fictício, não são considerados dados pessoais.
Os dados pessoais dividem-se em duas categorias: os que controlam os dados e os que tratam os dados (responsáveis pelo tratamento vs. subcontratantes).
A quem se aplica o RGPD?
O RGPD afecta qualquer organização que ofereça bens e serviços a pessoas na UE. Isto inclui entidades que não estão na UE. Se gere um negócio em linha, nunca sabe ao certo se as pessoas com quem efectua transacções estão localizadas na UE. Por este motivo, todas as actividades em linha devem estar em conformidade com o RGPD como medida de proteção.
-Responsáveis pelo tratamento
O RGPD define um responsável pelo tratamento como qualquer indivíduo, autoridade pública, agência ou outro organismo que determina a finalidade e o tratamento dos dados pessoais. Os responsáveis pelo tratamento decidem como os dados pessoais são processados.
Por exemplo, uma escola de música utiliza um ecrã digital para alertar os pais na sala de espera quando cada professor está pronto. O ecrã mostra o nome de cada criança e o número da sala da sua aula de música.
A escola de música é classificada como “responsável pelo tratamento” de dados pessoais porque decide como o sistema de notificação deve processar todos os dados.
– Processadores de dados
O GDPR define qualquer indivíduo, autoridade pública, agência ou outro organismo que processe dados pessoais em nome de um controlador de dados. Uma vez que os responsáveis pelo tratamento de dados executam as regras de tratamento de dados definidas pelo responsável pelo tratamento de dados, não tomam decisões sobre a forma como os dados pessoais são tratados.
Por exemplo, uma empresa de software contrata um profissional de marketing para uma futura campanha de correio eletrónico. O profissional de marketing recebe os nomes e endereços de correio eletrónico de todos os contactos, para que cada um possa receber uma mensagem de correio eletrónico personalizada (uma mensagem de correio eletrónico não solicitada que é enviada a um destinatário sem aviso prévio).
A empresa de software é classificada como responsável pelo tratamento de dados porque determina a forma como os dados devem ser tratados. O comerciante é classificado como “subcontratante” porque executa as instruções de tratamento de dados da empresa de software.
Uma vez que tratam dados pessoais, mesmo que os processos sigam as instruções do proprietário, devem estar sempre em conformidade com o RGPD.
Para estar em conformidade, tem de garantir que:
1. Conheça todos os dados recolhidos pela sua empresa;
2. Criar um registo RGPD para mapear os processos da sua empresa/organização
3. Avaliar os requisitos de recolha de dados
4. Comunicar imediatamente as violações de dados
5. Ser transparente quanto ao motivo da recolha de dados
6. Verificar a idade de todos os utilizadores que autorizam atividades de tratamento de dados
7. Incluir o consentimento duplo explícito para todas as novas subscrições de listas de correio eletrónico
8. Manter a sua política de privacidade atualizada
9. Avaliar regularmente todos os riscos de terceiros
A Amen.pt tem uma solução RGPD automatizada e segura com a qual ajuda empresas e pequenos negócios a manterem-se em conformidade com o RGPD e outros regulamentos de proteção de dados online. Trata-se de uma solução fornecida pela iubenda, a melhor atualmente no mercado, escolhida por mais de 90 000 clientes em mais de 100 países.
Trata-se de uma ferramenta rápida e fácil que ajuda os sítios Web a manter a conformidade com o RGPD, identificando e corrigindo vulnerabilidades de segurança específicas que afetam o regulamento.
Utilizando o nosso scanner, as empresas e organizações podem começar a avaliar a sua conformidade com o RGPD e a corrigi-lo, oferecendo um serviço online em conformidade.
Além disso, as nossas soluções de conformidade online da iubenda permitem-lhe acompanhar a conformidade de terceiros em relação a regulamentos populares. Isto identifica quaisquer lacunas de conformidade que exponham terceiros a um risco acrescido de sanções regulamentares e violações de dados.