Dez tópicos para se iniciar ao GDPR

Dez tópicos para se iniciar ao GDPR

Prepare-se agora para a introdução do Regulamento Geral de Proteção de Dados da UE (GDPR). Estão aqui dez tópicos que irão ajudá-lo a começar.

O Regulamento Geral de Proteção de Dados da UE afectará muitas empresas na Europa. Está preparado para as mudanças?

Em Maio de 2016, a UE publicou o Regulamento Geral de Protecção de Dados. O que já sabemos é que quando o novo regulamento entrar em vigor a 25 de Maio de 2018, após um período de transição de dois anos, o regulamento obrigará a novos requisitos operacionais para as empresas que tratam dados pessoais.

Uma vez que a definição de "dados pessoais" é tão ampla, quase todas as empresas irão estar sob a sua jurisdição. Como há apenas um pouco mais de 300 dias úteis antes da aplicação dos regulamentos de protecção de dados, reunimos dez pontos que o ajudarão já hoje a começar.

1. Demonstre que cumpre com os regulamentos

A nova regulamentação exige que o detentor do dos dados considerados pessoais possa demonstrar que os trata de acordo com o regulamento.
Na prática, isso significa que deve manter o registo das operações de processamento de dados que estão sob sua responsabilidade para provar que estão de acordo com os regulamentos.

2. Certifique-se que tem o consentimento

Se o tratamento de dados pessoais basear-se no consentimento de uma pessoa, deve ser capaz de demonstrar que esse consentimento foi dado.

Além disso, os requisitos de consentimento tornar-se-ão mais rigorosos no futuro:

O consentimento deve ser indicado claramente numa declaração escrita, eletrónica ou falada. O consentimento deve mostrar de maneira explicita que a pessoa expressou o desejo de aceitar o uso dos seus dados pessoais de forma voluntária, individual, consciente. Normalmente, isso seria fazendo clique numa caixa de selecção para dar o consentimento.

3. Aplique o direito de ser esquecido

Um novo tópico que será introduzido com o regulamento é o direito da pessoa ser esquecida. Na prática, isso significa o direito de ter os dados pessoais removidos da sua base de dados.

Esse tipo de situação pode ocorrer quando a pessoa retira o consentimento que já deu para você usar seus dados pessoais. No entanto, se o uso de dados pessoais estiver em outra base legal, não há obrigação de remover os dados.

Se tiver uma obrigação de remover dados, deverá informar todas as entidades que receberam ou publicaram os dados. Isso é para garantir que todos os links, duplicados e cópias relacionadas ao material também sejam removidos.

4. Aplique o direito de transferir dados

Actualmente, qualquer pessoa tem o direito de receber os seus próprios dados em formato legível e transferi-los para outro detentor de registo.

Este direito também aplica-se aos dados pessoais que uma pessoa forneceu através do consentimento ou de um acordo. Esta obrigação, no entanto, não obriga-o a aprovar ou manter sistemas de processamento de dados tecnicamente compatíveis.

5. Proibição da criação de perfis que podem afectar

Qualquer pessoa tem o direito de não se tornar um objecto de decisão com base em processamento automático de dados que teria um efeito judicial ou de outra forma significativa sobre eles. Por outras palavras, isso significa que não pode tomar decisões importantes que afectam uma pessoa com base em um processo de dados automático.

Uma excepção a essa "proibição de criação de perfil" seria quando a decisão for necessária para concluir um contrato entre uma pessoa e sua empresa. Precisa de garantir que os seus modelos de criação de perfil e de tomada de decisão estão em conformidade com a lei e que quaisquer alterações necessárias serão feitas.

Um exemplo comum de excepção à proibição de criação de perfil é quando se tomam decisões de crédito. Essas decisões são muitas vezes baseadas em sistemas de classificação automatizada e recomendações de decisão.

6. Informar as violações da sua segurança de dados

No futuro, será obrigado a informar as autoridades e pessoas visadas de qualquer violação de segurança de dados. Isso inclui situações em que os direitos e liberdades de qualquer pessoa são violados. Caso estas situações ocorram, há algumas acções que deve fazer:

Deve notificar as autoridades dentro de 72 horas após a violação. Deve informar todas as pessoas afectadas da violação dos dados assim que a segurança for susceptível de colocar os seus direitos e liberdades em significativo risco.

Para cumprir com estas obrigações, é importante que elabore instruções e procedimentos internos para garantir um processo eficiente e correcto.

7. Informar sobre o processamento dos dados

Empresas do mundo inteiro estão a recolher mais dados pessoais do que nunca. Para cumprir o regulamento da UE no futuro, deve fornecer mais informações sobre o processamento de dados do que era exigido anteriormente.

O que significa que deve indicar o tempo de armazenamento de dados pessoais. Ou, se isso não for possível, deve informar sobre os critérios usados para determinar o tempo de armazenamento.

8. O papel do novo responsável de protecção de dados

Com o foco crescente na protecção de dados, pode ter que nomear um responsável de protecção de dados para lidar com dados pessoais. Por exemplo, as organizações que exigem um responsável pela protecção de dados são empresas onde há monitorização abrangente, regular e sistemática de pessoas ou as suas actividades principais são constituídas por essa monitorização. Com isto em mente, recomendamos que avalie se o requisito para um responsável de protecção de dados se aplica à sua realidade ou não.

9. A externalização do tratamento de dados pessoais exigirá medidas de protecção

Se externalizou qualquer parte do processo de dados para outra entidade e irão lidar com dados pessoais em seu nome, há algumas coisas que irá precisar fazer:

Deve garantir medidas adequadas de protecção técnica e organizacional que atendam aos requisitos dos regulamentos. Deve garantir que os direitos das pessoas registadas estão protegidos

Na prática, isso significa que deve identificar as situações em que a terceirização é apropriada e garantir que todos os contratos sejam elaborados correctamente. Por exemplo, o armazenamento de dados em serviços na nuvem é considerado como terceirização, mesmo que o provedor de serviços não processe os dados ativamente.

10. As violações podem incorrer numa multa pesada

Também é importante saber que, pode incorrer numa multa pesada por violar o regulamento de protecção de dados. A multa pode ser no máximo de 20 milhões de euros ou 4 por cento do volume total de negócios da sua empresa.