Regulamento Geral da Proteção de Dados em vigor: o que mudou?
Desde dia 25 de Maio de 2018 que entrou em vigor o novo Regulamento Geral da Proteção de Dados (RGPD). Este regulamento comporta alguns desafios de adaptação para as empresas, em particular aquelas que têm de lidar diariamente com o tratamento de dados pessoais.
O que muda para as empresas?
As mudanças afetam todos os processos internos que impliquem lidar com dados pessoais. As empresas devem ter presente que a proteção de dados deve ser uma parte chave em todos os processos e políticas dentro da empresa, e que devem recolher dados estritamente necessários, avaliando a necessidade caso a caso.
Recolha de consentimento.
As empresas devem conseguir demonstrar que recolheram consentimento de forma positiva. Ou seja, que o consentimento foi dado de forma livre, informada e explícita. Este consentimento deve ser possível de ser editado, ou revogado em qualquer altura pelo cidadão. Em candidaturas a empregos, os dados a recolhidos devem ser os estritamente necessários e deve ser fornecida a identificação do empregador, assim como do Responsável pelo tratamento de dados no seio da empresa.
Responsável pela proteção de dados.
As empresas devem nomear um responsável pela proteção de dados, que deve analisar de forma transversal todos os departamentos da empresa. Esta figura deve conhecer a origem dos dados pessoais em posse da empresa, e quem tem acesso internamente.
Fugas de dados pessoais.
Passa a ser implementado com o Regulamento Geral de Proteção de Dados a obrigatoriedade de notificar publicamente qualquer quebra de confidencialidade no período de 72h. As penalizações em caso de incumprimento são bastante elevadas, podendo chegar aos 20 milhões ou 4% das operações do grupo, se esse valor for superior.
Existem diferenças nas obrigações entre pequenas e grandes empresas?
Embora não existam diferenças relacionadas com a escala da empresa, as empresas que lidam com poucos dados pessoais, terão menos processos a adaptar. Um pequeno negócio como uma loja trata menos dados pessoais que um banco com milhares de clientes, e como tal os desafios para implementar corretamente RGPD são menores. O primeiro passo que as empresas devem tomar, passa por um inventário exaustivo sobre todos os dados pessoais que a empresa tem em seu poder. Avaliando se realmente necessita de manter todos aqueles dados em seu poder e se estão seguros.