Share the post "Checklist de requisitos do RGPD: principais desafios para as empresas"
Desde o dia 25 de maio de 2018, todas as organizações empresarias, sejam elas públicas ou privadas, que lidam com dados de cidadãos da União Europeia têm de cumprir os requisitos legais estabelecidos no novo Regulamento Geral de Proteção de Dados (RGPD) ou “General Data Protection Regulation” (GDPR).
Este regulamento foi promulgado em abril de 2016 pelo Parlamento Europeu, dando às organizações um período de dois anos para estarem em compliance com as exigências determinadas na nova legislação.
Conheça a checklist de requisitos do RGPD, que está a operar uma mudança significativa não só no funcionamento, mas também no mindset corporativo.
Recorde-se que o novo regulamento assenta num direito fundamental – consagrado na Carta dos Direitos Fundamentais da União Europeia: a proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais.
Checklist de requisitos do RGPD
De entre um conjunto considerável de medidas organizacionais, técnicas e de processamento de dados, constantes na checklist de requisitos do RGPD, destacamos as seguintes.
1. Medidas de gestão e organizacionais
De forma a assegurar a não violação das novas normas e de demonstrar que a proteção de dados é um assunto de vital importância para a sua empresa, um dos muitos desafios será, com toda a certeza, sensibilizar os colaboradores para as novas questões de privacidade e tratamento de dados. O que se procura será fundar uma nova mentalidade corporativa para esta nova era da regulamentação da privacidade.
O RGPD exige que as organizações empresariais passem a ter como uma das suas principais preocupações o processamento dos dados pessoais com os quais lidam. Assim sendo, as empresas terão, por exemplo, de rever:
a) Regulamento interno: o qual deve refletir todas as ações da empresa para estar em conformidade com a nova legislação. Deve incluir uma lista de todos os colaboradores que lidam com dados pessoais e respetiva discriminação de responsabilidades.
b) Os termos e condições das plataformas online: os termos e condições das plataformas online têm de deixar de ser extensos e confusos para passarem a ser transparentes, objetivos e claros – questão à qual é dada muito ênfase no RGPD.
c) A recolha de dados: os dados pessoais a recolher dos clientes deverão estar espelhados no regulamento interno, bem como a justificação de os ter recolhido e como os trata.
d) A necessidade de nomear um Encarregado de Proteção de Dados (EPD), nos casos em que: o tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; as atividades principais consistam em operações de tratamento que exijam um controlo regular e sistemático dos titulares dos dados em grande escala ou; as atividades principais consistam em operações de tratamento em grande escala de categorias especiais de dados. Quer seja um funcionário ou um consultor externo, o Encarregado de Proteção de Dados (ou Data Protection Officer – DPO) ficará responsável pela conformidade em matéria de proteção de dados.
2. Medidas técnicas
A este respeito, além da necessidade de desenvolver tecnologia que contemple a proteção de dados, é ainda de referir a necessidade de:
Recolher provas válidas de consentimentos: a este respeito é importante que o utilizador possa gerir os seus consentimentos ou mesmo apagar a sua conta, na sua área de cliente, a qualquer momento. As empresas não poderão mais utilizar letras miúdas, deixar campos de marcação pré-selecionados nem omitir o texto legal. O consentimento do utilizador tem de ser inequívoco.
Gestão de cookies: tratadas como um simples alerta de aceitação ou não aceitação da política de cookies para continuar a navegar na plataforma online, as cookies terão agora de ser sucintamente explicadas ao utilizador. Além disso, o acesso à página não pode ser recusada ao utilizado, mesmo que este recuse todas as cookies.
Encriptação: a checklist de requisitos GDPR especifica a encriptação como uma abordagem que pode ajudar a garantir o cumprimento de algumas exigências. Tal como se lê no regulamento:
“Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco […]”
3. Processamento de dados
Documentar dados pessoais: a este propósito o RGPD é claro – deve documentar e justificar todos os dados pessoais que possui, de onde vieram e com quem partilha. Além disso, as empresas devem examinar como processam dados pessoais e identificar a base legal na qual executa e documenta esses processos.