Seja para uma PME ou para uma grande empresa, o RGPD estabelece um conjunto de regras que devem ser respeitadas. Fique a par de alguns procedimentos. Show
Desde que o Regulamento Geral de Proteção de Dados (RGPD) passou a ser aplicável – a 25 de maio de 2018 -, qualquer empresa com sede da União Europeia (UE) ou fora dela que, no contexto das atividades que exerce (mesmo que de forma gratuita), trate de dados pessoais de cidadãos residentes no espaço europeu, ficou obrigada a prestar contas sobre todas as ações que envolvem esse tratamento e sobre as políticas de privacidade dadas às pessoas que os forneceram. Para tal, e tendo em vista a conformidade com a nova moldura legal, as empresas começaram a contactar os seus clientes no sentido de recolherem os consentimentos necessários para proceder ao tratamento desses dados, conforme as regras estabelecidas pelo novo Regulamento europeu. Mas que regras são essas? Dados pessoais: regras fundamentais a respeitarO tipo e a quantidade de dados pessoais que uma empresa pode tratar dependem do motivo pelo qual estão a efetuar o tratamento e da finalidade do mesmo. Assim sendo, a empresa deve respeitar várias regras fundamentais, nomeadamente: 1. Os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados. 2. Devem existir finalidades específicas para o tratamento dos dados e a empresa deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais. 3. Uma empresa não pode simplesmente recolher dados pessoais para fins indefinidos. 4. A empresa deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade. 5. A empresa deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique. 6. A empresa não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha. 7. A empresa deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos. 8. A empresa deve instalar garantias técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas. As regras são aplicáveis às PME?De acordo com o RGPD, a aplicação das regras relativas à proteção de dados depende, não só da dimensão da empresa/organização, mas também da natureza das suas atividades. Atividades que representem um elevado risco para os direitos e as liberdades das pessoas, quer sejam levadas a cabo por uma PME ou por uma grande empresa, exigem a aplicação de regras mais rigorosas. No entanto, algumas das obrigações do RGPD podem não ser aplicáveis a todas as PME. Por exemplo, as empresas com menos de 250 trabalhadores não têm de manter registos das suas atividades de tratamento, a menos que efetuem o tratamento de dados pessoais como uma atividade regular, representem uma ameaça aos direitos e às liberdades das pessoas ou digam respeito a dados sensíveis ou registos criminais. Do mesmo modo, as PME apenas terão de nomear um Encarregado da Proteção de Dados se o tratamento for o seu principal negócio e constituir uma ameaça específica aos direitos e liberdades das pessoas (como o controlo de pessoas ou o tratamento de dados sensíveis ou registos criminais), sobretudo por ser efetuado em grande escala. Quais as informações que têm de ser dadas aos titulares dos dados?No momento da recolha dos dados, os cidadãos titulares dos dados devem ser informados, pelo menos, do seguinte:
Minutas/ Exemplos de documentos1. Políticas de privacidadeUma Política de Privacidade é um documento que deve constar, por exemplo, no site de uma empresa. Tem por objetivo informar de forma transparente, leal e clara os utilizadores desse mesmo site sobre os dados que são recolhidos, para que são utilizados, com quem os dados serão partilhados (se aplicável) e como o utilizador pode impor os seus direitos. Exemplo:
2. ConsentimentoUm pedido de consentimento tem de ser apresentado de forma clara e concisa, utilizando uma linguagem fácil de compreender, e de uma forma que o distinga claramente de outras informações, como os Termos e Condições. O pedido tem de especificar qual a utilização que será dada aos dados pessoais e tem de incluir os contactos da empresa que efetua o tratamento dos dados. O consentimento tem de ser dado de livre vontade e tem de ser específico e informado. Exemplo:
O que é autorizar tratamento dos dados pessoais?Consentimento: conceito e validade
A LGPD conceitua o consentimento como uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (artigo 5º, inciso XII da lei).
Qual requisito cita autorização do tratamento de dados?O tratamento de dados pessoais somente poderá ser feito: - Com o fornecimento de consentimento do titular das informações pessoais. Ou seja, nos casos em que a pessoa física tiver conhecimento de como e por qual razão os seus dados serão utilizados, além de autorizar expressamente o tratamento.
Como fazer um tratamento de dados?Para realizar o tratamento de dados de acordo com a LGPD é preciso:. Analisar se o processo utilizado por sua empresa está seguindo as diretrizes estabelecidas pela Lei Geral de Proteção de Dados.. Avaliar todas as bases legais da LGDP e confirmar que estão sendo cumpridas.. O que é declaração de tratamento de dados?Este documento visa registrar a manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para finalidade determinada, em conformidade com a Lei nº 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD).
|