A importância do regulamento geral de proteção de dados

Há novos desafios na proteção de dados com a entrada em vigor do novo regulamento geral. Saiba o que vai mudar e como vai funcionar.

Kacper Pempel / REUTERS

É em maio de 2018 que entre em vigor o novo regulamento geral da proteção de dados, que traz consigo vários desafios tanto aos cidadãos, como às empresas e outras organizações privadas e públicas. Saiba o que muda.

 

O porquê do Regulamento?

A proteção das pessoas singulares relativamente ao tratamento de Dados Pessoais é um direito fundamental. A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de Dados Pessoais exigindo um quadro de proteção sólido e mais coerente na União Europeia.

Surge assim a necessidade de um Regulamento que introduz alterações importantes sobre a proteção das pessoas singulares relativamente ao tratamento de Dados Pessoais impondo novas obrigações aos cidadãos, empresas e outras organizações privadas e públicas.

A quem se aplica?

O Novo Regulamento aplica-se ao tratamento de dados pessoais das pessoas singulares, independentemente da sua nacionalidade ou do seu local de residência, e por meios total ou parcialmente automatizados, e também por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados e efetuado no contexto das atividades de um estabelecimento (organização ou empresa) de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.

Assim qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento responsável pelo tratamento situado na União deverá ser feito em conformidade com o presente regulamento, independentemente de o tratamento em si ser realizado na União.

Quando entra em vigor?

O regulamento é aplicável a partir de 25 de maio de 2018, sendo que os Estados-Membros adotam e publicam, até 6 de maio de 2018, as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à DIRETIVA (UE) 2016/680 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho. Os Estados-Membros terão assim de aplicar as referidas disposições da diretiva a partir de 6 de maio de 2018.

Quais as sanções pelo não cumprimento do Regulamento?

Qualquer organização/empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação.

Essa organização/ empresa que viole as regras do regulamento está também sujeita a aplicação de coimas pela respetiva autoridade de controlo, que podem ir em determinadas situações até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Quais os aspetos mais relevantes?

• Harmonização Legislativa passando a existir um único documento legal sobre Proteção de Dados Pessoais em todos os vinte oito Estados Membros.
• Reconhecer aos cidadãos o “direito a ser esquecido” o “direito ao apagamento”, o “direito à portabilidade dos dados”, o “direito à limitação do tratamento”, o “direito de oposição”, o “direito de retificação”, o “direito de acesso” e o “direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis”.
• Obrigação de notificar violações de Dados Pessoais à autoridade de controlo, no caso português a Comissão Nacional de Proteção de Dados, e ao Titular dos Dados.
• Aplicação do Regulamento aos responsáveis pelo tratamento (entidades que controlam os dados) bem como aos subcontratantes (entidades que tratam os dados).
• Conceito do mecanismo de balcão único para organizações que tenham delegações em mais do que um país da União Europeia ou, caso operem apenas num Estado Membro, o processamento afeta substancialmente Titulares de Dados em pelo menos num outro Estado Membro.
• Regras de especial tutela quanto a menores.
• Ser necessário a realização de avaliações de impacto sobre a proteção de dados (DPIA).
• Criação da figura encarregado da proteção de dados (DPO).
• Introdução de novas premissas no tratamento dos dados como a proteção desde a conceção (privacy by design) e por defeito (privacy by default), a pseudonimização e a minimização dos Dados Pessoais.
• A proteção das pessoas singulares deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas.
• Garantir a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais.
• Elaboração de códigos de conduta.
• Direito de apresentar reclamação a uma autoridade de controlo.
• Supressão do mecanismo de autorização prévia (artigo 28º Lei n.º 67/98 de 26 de outubro) pela Comissão Nacional de Proteção de Dados (CNPD) passando esta entidade a ter um papel fiscalizador.
• Registar detalhadamente todas as atividades de tratamento dos Dados Pessoais.

O que devo fazer?

No dia 25 de maio de 2018 seremos confrontados com três tipos de Organizações. Organizações que não estarão em conformidade com o Regulamento, organizações em conformidade com o Regulamento e organizações que para além de estarem em conformidade irão conseguir demonstrá-lo através da apresentação de evidências e de práticas implementadas.

É fundamental que a metodologia usada pela organização coloque o seu enfoque e seja orientada para a implementação de práticas efetivas e que permita a análise e recolha de evidências. O Artigo 5º n.º 2 “O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.º 1 e tem de poder comprová-lo («responsabilidade»).” e o Artigo 24 n.º 1 “o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento.” apontam o caminho correto que deve ser seguida pelas organizações.

A metodologia da inCentea baseia-se no mapeamento dos artigos do REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses com a norma NP ISO/IEC 27001:2013 Norma Portuguesa de Segurança de Informação.

A ISO 27001 é a framework por excelência na proteção da informação e sendo os Dados Pessoais considerados informação crítica para o RGPD faz todo o sentido conjugar os 114 controlos da norma com os 99 artigos e as 173 considerações do regulamento.

A inCentea identifica 8 processos onde é necessário demostrar evidências de conformidade a fim de dar resposta ao Regulamento.

Recomendadas

Uma noite descansada

Por estarmos a dormir, esquecemos a importância que um colchão tem no nosso bem-estar. Conforto e adaptabilidade são as palavras-chave da Molaflex, que há mais de 68 anos produz colchões de qualidade e duradouros.

Ponha o negócio a andar… e transporte tudo o que precisa

A mobilidade está na ordem do dia e, no que respeita ao transporte de mercadorias, é fundamental ser assegurada. Com a Europcar encontrará sempre o veículo certo para as suas necessidades…

Mudam-se os tempos, mudam-se as competências

Se a expressão soft skills não lhe diz nada, continue a ler este artigo e descubra as razões pelas quais os recursos humanos são hoje uma realidade bem diferente daquilo que eram.
Comentários