Empresas

As organizações são o veiculo principal de aplicação deste regulamento. 

Como já referido o que está em causa, em termos simples, é garantir que as organizações recolhem, tratam e armazenam as informações e dados pessoais de forma extremamente cuidada, dando total confiança aos titulares dos dados.

A maioria das empresas recolhe dados pessoais no preciso momento em que interage com uma pessoa singular e, em alguns casos, pode até nem se aperceber que o fez. Por exemplo, a recolha de dados pessoais poderá ser algo tão simples como o uso de cookies de monitorização de sites que identifiquem um utilizador do seu site. Pode envolver algo tão detalhado como o registo de uma pessoa singular numa base de dados de gestão da relação com os clientes ("CRM"). Pode até, simplesmente, se tratar de recolher alguns dados relativos a um potencial cliente. Ainda assim está em causa o tratamento de um dado pessoal.

A crescente digitalização da nossa sociedade, visível no modo como nos relacionamos com as pessoas e com as empresas, necessita de "dura" regulamentação e é isso que o RGPD vêm acrescentar.

 As redes e os sistemas de informação, têm um papel cada vez mais vital na sociedade pois são o veículo através do qual a nossa sociedade funciona e se insere no Mundo Digital. Com a computação em nuvem a ser a escolha ideal para todos os setores e áreas, as empresas precisam ter certeza de que possuem a infraestrutura digital correta de modo a estar em conformidade com os padrões RGPD. 


O impacto dos problemas de Cibersegurança exige uma capacitação e mudança de atitude, de todos, em relação aos desafios colocados pelo digital. É imperativo que todas as empresas reavaliem as suas estratégias de armazenamento e compartilhamento de dados, de modo a estarem em total conformidade com o RGPD.


Mas quais vão ser as principais mudanças para as empresas?

A partir de 25 de maio de 2018, as empresas serão obrigadas a demonstrar que tomaram as medidas apropriadas para garantir a conformidade com o RGPD. Entre essas medidas destacam-se as algumas como:

  • Adoção de mecanismos de segurança dos dados pessoais.
  • Esclarecimento e formação aos funcionários acerca das normas do RGPD.
  • Avaliação da necessidade/obrigatoriedade de nomeação de um Data Protection Officer (DPO) ou Encarregado de Proteção de Dados, que deverá ser responsável por gerir o processo de conformidade dentro da empresa.
  • Avaliar a necessidade de elaboração de um Privacy Impact Assessement (PIA), ou seja, um documento que avalia o impacto no tratamento dos dados pessoais, e respetiva monitorização. Esse documento deverá conter uma avaliação de risco sobre a tecnologia e sobre os processos que suportam o tratamento de informação pessoal na organização, bem como a identificação das medidas a adotar para minimizar os possíveis riscos.
  • Mapear e categorizar dos dados pessoais recolhidos e tratados.
  • Criar automatismos que simplifiquem a conformidade com o Regulamento.
  • Comunicar às autoridades reguladoras e aos respetivos titulares dos dados a ocorrência de incidentes de violação de dados, no prazo de 72h, após ser conhecida uma falha de segurança.
  • Comunicar - Utilizando linguagem simples, é preciso dizer aos seus clientes porque precisa dos dados. Diga-lhes porque efetua o tratamento dos dados, durante quanto tempo serão conservados e quem os irá receber. O cliente deverá ser informado de todos os seus direitos.
  • Obter o consentimento claro dos seus clientes para o tratamento dos dados. O consentimento tem de ser confirmado por uma declaração ou outro ato positivo inequívoco. Não se pode presumir o consentimento nem usar opções pré-selecionadas em sites. Se recolhe dados de menores deve também verificar o limite de idade para, se for o caso, obter o consentimento dos pais.
  • Conceder o «direito ao esquecimento» ou seja, apagar os dados pessoais das pessoas que o solicitem.
  • Conceder o direito à portabilidade: os seus clientes podem solicitar que as suas informações sejam transmitidas para outra organização ou para um concorrente.
  • Conceder o direito de oposição: as pessoas envolvidas podem solicitar que as suas informações não sejam objeto de certos processamentos ou usos.
  • Conceder o direito de acesso: os seus clientes têm o direito de conhecer todos os dados obtidos e qual o seu tipo de utilização.
  • Conceder o direito de retificação: os seus clientes podem solicitar que as suas informações sejam atualizadas ou corrigidas.
  • Proteção especial de dados sensíveis - Salvaguardas extraordinárias para informações sobre saúde, raça, orientação sexual, religião e convicções políticas.
  • Notificação obrigatória de violação de dados - Os responsáveis pelo controlo de dados têm de notificar as autoridades de controlo locais - CNPD, em Portugal - até 72 horas após tomarem conhecimento do facto. Violações graves têm de ser notificadas às pessoas singulares.

Como vemos, a aplicação do RGPD na esfera empresarial torna-se num desafio considerável, especialmente considerando a multiplicidade de transações de dados e informações que ocorrem nas empresas e organizações. É essencial que as empresas procurem identificar detalhadamente as suas obrigações perante o Regulamento e de seguida tomar as medidas necessárias de forma a estar "compliant" com o RGPD. 

Em caso de incumprimento, as empresas estão sujeitas a medidas correctivas, entre as quais elevadas coimas e possibilidade de serem obrigadas a indemnizar os titulares dos dados pelos danos sofridos, tal como são sujeitas a danos colaterais reputacionais que puderam por em causa a marca.


Danos Económicos? Danos Reputacionais?

Estão em causa para a empresa danos que podem ser tanto económicos, como reputacionais

Veja-se o mediatismo do actual caso do gigante Facebook e da Oracle, a propósito do escândalo da Cambridge Analytica. No espaço de apenas dois dias, as duas empresas perderam 7,7 mil milhões de dólares, provocando graves danos financeiros e um colossal problema de reputação que fez afundar a bolsa para estes dois grandes milionários do sector tecnológico, Larry Ellison e Mark Zuckerberg. O fundador da Oracle perdeu cinco mil milhões de dólares, enquanto o criador do Facebook viu a sua fortuna decair 2,7 mil milhões. O caso já teve sérias consequências, com a rede social mais famosa do mundo a perder mais de 64 mil milhões de dólares em bolsa no espaço de pouco mais de 48 horas.

Estes factos só vêm comprovar que o (des)respeito pela privacidade pode causar danos que podem ser absolutamente irreversíveis. As empresas devem dar aos titulares dos dados pessoais a maior confiança possível relativamente á sua informação pessoal.

O RGPD tem impacto para as empresas até mesmo na notificação de uma eventual violação de dados! A partir do momento que os cidadãos da União Europeia são afectados por uma violação, existe uma obrigação de notificação das autoridades europeias para que estas possam avaliar e verificar o impacto sobre as pessoas cujos dados foram expostos. Qualquer entidade, ao violar a sua obrigação de comunicação, dá azo a uma crise de reputação da sua marca.


Sanções (Penais, Administrativas e Pecuniárias) 

A imposição de sanções é uma das marcas mais fortes deixadas pelo RGPD. 

De facto, o regulamento prevê no seu artigo nº 83 aplicação de coimas, por parte da autoridade de controlo, para as violações do regulamento, consoante as circunstâncias de cada caso. Em causa está um quadro sancionatório que pode chegar a 4% do volume de negócios global. 

No entanto, não é apenas sanções monetárias que o RGPD impõe ás empresas. Estão em causa 3 tipos de sanções:

  • Sanções Penais: são definidas pelos Estados-membros tendo em conta as normas nacionais e propõem, a título de exemplo, a privação dos lucros auferidos em virtude dessa violação.
  • Sanções Administrativas: advêm dos poderes de correção das autoridades de controlo, no caso Português da CNPD (Comissão Nacional Proteção Dados) aplicando na sua ação o poder de advertir, repreender, ordenar ou impor determinada actuação.
  • Sanções Pecuniárias (coimas): imposição de coimas que podem, no seu mais elevado patamar, atingir valores de 20 000 000€ ou 4% do volume de negócio anual ao nível mundial.

O Governo português decidiu, dentro das suas competências delegadas, definir valores mínimos das coimas na proposta de lei aprovada em Conselho de Ministros, com valores específicos para pequenas e médias empresas (PME). No caso de uma contra-ordenação grave, as coimas mínimas previstas são 1000€ para PME e 2500€ para grandes empresas. No caso de uma contra-ordenação muito grave, as coimas mínimas previstas são 2000€ para PME e 5000€ para grandes empresas. O valor da coima será estipulado pela CNPD.


O que fazer? Como preparar para o RGPD?

O RGPD é sem dúvida um grande desafio para as empresas. A nova regulamentação define um conjunto de regras de tratamento e armazenamento de dados pessoais e irá trazer certamente vários custos para as empresas.

A par de todas as alterações que estão a acontecer, há também quem se esteja a aproveitar apresentando "soluções caríssimas", que obrigam muita das vezes a contratos extensos... por isso convêm estar atento e ter o acompanhamento de um profissional especializado que ajude em todo o processo.

É aqui que nasce a figura do DPO, figura criada e regulada pelo RGPD e que é, sem dúvida, a maior novidade do Regulamento e uma das mais importantes inovações. (que mais detalhadamente falamos neste artigo)

DPO/Encarregado da Proteção dos Dados, é um especialista para a proteção dos dados pessoais, capacitado para junto das empresas, informar e aconselhar acerca das novas obrigações e a intermediar com as várias entidades de modo a garantir a conformidade dos processos e políticas relativas ao novo regulamento.

Ele é a pessoa designada pela organização para resolver todas as questões relacionadas com a Proteção de Dados e segurança da Informação.

O DPO desempenha um papel fulcral na medida em que garante que a organização cumpre com as suas obrigações legais, sendo o ponto de contacto entre a empresa e a autoridade, neste caso a CNPD.

Pode ainda, ser nomeado um único DPO para um mesmo grupo empresarial desde que esteja facilmente acessível a partir de cada estabelecimento, ou seja, se for possível realizar as suas funções e obrigações para com as demais entidades e com a própria empresa. Tem de assegurar, com ajuda se uma equipa se necessário, a eficiente capacidade de cumprir a sua função.



Todas as organizações devem obrigatoriamente nomear um DPO?

A nomeação de um DPO é obrigatória em:

  • Organizações Públicas;
  • Entidades que controlem regularmente dados pessoais em "grande escala";
  • Entidades que controlem regularmente dados pessoais sensíveis (o que são?- ver artigo) em "grande escala" ou dados pessoais relativos a condenações penais e infrações.

Apesar de nem todas as empresas serem obrigadas a ter um DPO, não invalida a obrigatoriedade de todas elas terem de cumprir com o novo regulamento. Todas as empresas têm de cumprir o regulamento.

DPO interno? DPO externo?

O DPO pode exercer as suas funções com base num contrato de prestação de serviços celebrado entre este e a própria organização, ou pode ser nomeado dentro da empresa. As vantagens de um DPO externo encontram-se nos custos associados ás empresas que seriam efectivamente menores do que uma nomeação de um DPO interno na empresa e simultaneamente nas competências e conhecimentos individuais especializados na área jurídica da Proteção dos Dados.

Mesmo que, após uma reflexão, a empresa entenda que não necessita de designar um DPO, ou que não é necessária até ao dia 25 Maio 2018 (dia em que entra em vigor o regulamento) é aconselhável que designe uma pessoa que seja responsável por tomar as devidas precauções, implementando na empresa procedimentos e soluções "compliant" com o RGPD.

O RGPD não foi feito para dificultar a vidas às empresas mas sim proteger os dados pessoais dos cidadãos. 

A segurança dos dados deverá ser a partir de agora uma prioridade, e embora pese nas empresas, recomendo que cada empresa pondere designar um DPO para auxiliar na implementação do novo quadro legal e de forma a estar legalmente integrada com as novas realidades do mundo que já é digital.


Precisa de apoio para a sua empresa?

CLIQUE AQUI!
© 2018 Luís Ferreira. Todos os direitos reservados.
Desenvolvido por Webnode Cookies
Crie o seu site grátis! Este site foi criado com a Webnode. Crie o seu gratuitamente agora! Comece agora