A importância do regulamento geral de proteção de dados

e

Há novos desafios na proteção de dados com a entrada em vigor do novo regulamento geral. Saiba o que vai mudar e como vai funcionar.

Kacper Pempel / REUTERS
Ler mais

É em maio de 2018 que entre em vigor o novo regulamento geral da proteção de dados, que traz consigo vários desafios tanto aos cidadãos, como às empresas e outras organizações privadas e públicas. Saiba o que muda.

 

O porquê do Regulamento?

A proteção das pessoas singulares relativamente ao tratamento de Dados Pessoais é um direito fundamental. A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de Dados Pessoais exigindo um quadro de proteção sólido e mais coerente na União Europeia.

Surge assim a necessidade de um Regulamento que introduz alterações importantes sobre a proteção das pessoas singulares relativamente ao tratamento de Dados Pessoais impondo novas obrigações aos cidadãos, empresas e outras organizações privadas e públicas.

A quem se aplica?

O Novo Regulamento aplica-se ao tratamento de dados pessoais das pessoas singulares, independentemente da sua nacionalidade ou do seu local de residência, e por meios total ou parcialmente automatizados, e também por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados e efetuado no contexto das atividades de um estabelecimento (organização ou empresa) de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.

Assim qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento responsável pelo tratamento situado na União deverá ser feito em conformidade com o presente regulamento, independentemente de o tratamento em si ser realizado na União.

Quando entra em vigor?

O regulamento é aplicável a partir de 25 de maio de 2018, sendo que os Estados-Membros adotam e publicam, até 6 de maio de 2018, as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à DIRETIVA (UE) 2016/680 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho. Os Estados-Membros terão assim de aplicar as referidas disposições da diretiva a partir de 6 de maio de 2018.

Quais as sanções pelo não cumprimento do Regulamento?

Qualquer organização/empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação.

Essa organização/ empresa que viole as regras do regulamento está também sujeita a aplicação de coimas pela respetiva autoridade de controlo, que podem ir em determinadas situações até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Quais os aspetos mais relevantes?

• Harmonização Legislativa passando a existir um único documento legal sobre Proteção de Dados Pessoais em todos os vinte oito Estados Membros.
• Reconhecer aos cidadãos o “direito a ser esquecido” o “direito ao apagamento”, o “direito à portabilidade dos dados”, o “direito à limitação do tratamento”, o “direito de oposição”, o “direito de retificação”, o “direito de acesso” e o “direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis”.
• Obrigação de notificar violações de Dados Pessoais à autoridade de controlo, no caso português a Comissão Nacional de Proteção de Dados, e ao Titular dos Dados.
• Aplicação do Regulamento aos responsáveis pelo tratamento (entidades que controlam os dados) bem como aos subcontratantes (entidades que tratam os dados).
• Conceito do mecanismo de balcão único para organizações que tenham delegações em mais do que um país da União Europeia ou, caso operem apenas num Estado Membro, o processamento afeta substancialmente Titulares de Dados em pelo menos num outro Estado Membro.
• Regras de especial tutela quanto a menores.
• Ser necessário a realização de avaliações de impacto sobre a proteção de dados (DPIA).
• Criação da figura encarregado da proteção de dados (DPO).
• Introdução de novas premissas no tratamento dos dados como a proteção desde a conceção (privacy by design) e por defeito (privacy by default), a pseudonimização e a minimização dos Dados Pessoais.
• A proteção das pessoas singulares deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas.
• Garantir a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais.
• Elaboração de códigos de conduta.
• Direito de apresentar reclamação a uma autoridade de controlo.
• Supressão do mecanismo de autorização prévia (artigo 28º Lei n.º 67/98 de 26 de outubro) pela Comissão Nacional de Proteção de Dados (CNPD) passando esta entidade a ter um papel fiscalizador.
• Registar detalhadamente todas as atividades de tratamento dos Dados Pessoais.

O que devo fazer?

No dia 25 de maio de 2018 seremos confrontados com três tipos de Organizações. Organizações que não estarão em conformidade com o Regulamento, organizações em conformidade com o Regulamento e organizações que para além de estarem em conformidade irão conseguir demonstrá-lo através da apresentação de evidências e de práticas implementadas.

É fundamental que a metodologia usada pela organização coloque o seu enfoque e seja orientada para a implementação de práticas efetivas e que permita a análise e recolha de evidências. O Artigo 5º n.º 2 “O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.º 1 e tem de poder comprová-lo («responsabilidade»).” e o Artigo 24 n.º 1 “o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento.” apontam o caminho correto que deve ser seguida pelas organizações.

A metodologia da inCentea baseia-se no mapeamento dos artigos do REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses com a norma NP ISO/IEC 27001:2013 Norma Portuguesa de Segurança de Informação.

A ISO 27001 é a framework por excelência na proteção da informação e sendo os Dados Pessoais considerados informação crítica para o RGPD faz todo o sentido conjugar os 114 controlos da norma com os 99 artigos e as 173 considerações do regulamento.

A inCentea identifica 8 processos onde é necessário demostrar evidências de conformidade a fim de dar resposta ao Regulamento.

Recomendadas
JE editors Sunset Talks de regresso para ouvir a história de uma marca planetária
A unidade de “content” do Jornal Económico, volta a promover encontros informais ao final do dia. Um conteúdo diferente com o objetivo de conhecer melhor parceiros e leitores. Aproveitamos a hora mágica para nos divertirmos e aprender com histórias inspiradoras. A próxima fala de música e de um festival conhecido mundialmente.
Oradores nacionais e internacionais partilham histórias (de futuro) em Lisboa
O TEDxCatólicaLisbonSBE tem lugar no próximo dia 21 de Setembro. Com base no tema “TECHUMANITY – The Science of Thinking and the Art of Living”, o evento pretende disseminar ideias para um mundo melhor. Entre os oradores convidados, está o mediático empresário Tim Vieira.
Aniversário Newrent: 18 anos plenos de vida
Na passagem ao segundo milénio o mundo girava entre o temor de um bug informático e o entusiasmo de uma nova era. Foi o ano em que nasceu um negócio pioneiro em Portugal: O renting de equipamentos. Os riscos eram inerentes a qualquer negócio, mas o administrador e gestor Vasco Seco Rodrigues decidiu materializar uma ideia digna do novo milénio e assim nasceu a Newrent.
Comentários