O Regulamento Geral da Proteção de Dados entra em vigor a 25 de maio de 2018 e abrange todas as empresas e organizações.
Chama-se Regulamento Geral de Proteção de Dados (RGPD) e, a partir de 25 de maio de 2018, poderá resultar em multas pesadas para as entidades que não cumpram a nova legislação: coimas até 20 milhões de euros ou 4% do volume de negócios anual da companhia. Ao longo das próximas linhas, tentaremos desmistificar o que muda realmente, bem como dar algumas orientações sobre o que as empresas devem fazer para cumprir a lei.
Atualmente, o que as empresas têm de fazer em matéria de dados é pedir um parecer à Comissão Nacional de Proteção de Dados (CNPD), que autoriza ou não a recolha, tratamento e armazenamento desses mesmos dados — e só em ocasiões específicas. O ónus vai passar para as empresas. Vamos passar a ter um modelo de auto-regulação. Por outras palavras, recai sob as organizações a responsabilidade de interpretar e cumprir o novo regulamento. Mais: terão de conseguir provar que o cumprem, que estão em compliance. E que gerem a questão internamente, de forma contínua.
Até aqui as empresas não estavam preocupadas com isto e agora têm de se preocupar. Têm de nomear uma pessoa ou um grupo de pessoas para tratar do assunto.
O que significa auto-regulação?
Significa olhar para os tratamentos de dados. Perceber como é que a privacidade das pessoas é afetada. Há ainda uma nova função que é a do Encarregado de Proteção de Dados, ou DPO, que algumas empresas vão ser obrigadas a nomear. Será o responsável máximo por garantir que a empresa cumpre o RGPD.
Muitas empresas ainda não começaram a olhar para as novas regras e só um terço das empresas portuguesas estará “mais ou menos ciente” das novidades que aí vêm.
O primeiro passo é realizar um diagnóstico. Saber que dados estão na posse da empresa, que podem ser tão diversos como os endereços de e-mail inscritos numa newsletter como os dados pessoais dos trabalhadores que a empresa transmite ao fisco e à Segurança Social — mais os dados dos clientes, dos visitantes do website e por aí em diante. O que muda? Em suma, é preciso minimizar o risco para o titular dos dados, que tem de dar autorização expressa para a organização os poder tratar e guardar. O titular dos dados também tem de saber o fim que será dado a esses dados e a empresa só os poderá usar nesse sentido. Tem de ser tão fácil aceitar como revogar a permissão.