Os principais desafios

O RGPD regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/CE. O RGPD atualmente em vigor e de direta aplicação a partir de 25 de maio de 2018, introduz não só novas regras, como também elevadas coimas em caso de incumprimento, o que exige uma atenção cuidada das Organizações que lidam com dados pessoais.

A destacar que a responsabilidade da Organização perante o regulamento é da responsabilidade última da sua Administração, e é esta e os seus membros os interlocutores máximos perante a autoridade.

Consentimento

Qualquer tratamento de dados pessoais, mesmo que recolhidos antes do regulamento, terá de cumprir com o regulamento. Um dos alicerces é a necessidade de consentimento do titular de dados, para uma finalidade claramente definida. O consentimento tem que ser livre, específico, informado, explícito e por ato inequívoco. Retirar consentimento deverá ser tão simples quanto conceder.
É natural que muitos consentimentos já existentes não cumpram com todos os requisitos do RGPD, o que obriga obter novo consentimento.

Novos Direitos

O RGPD enumera um conjunto de direitos dos titulares de dados, alguns dos quais requerem alterações significativas da forma como se tem operado, a salientar:
• Direito de ser esquecido: o titular de dados tem direito a solicitar que os dados sejam apagados
• Direito de portabilidade: o titular de dados pode solicitar que os dados que disponibilizou a um prestador de serviços sejam transferidos para outro prestador, desde que tecnicamente possível
• Direito de não sujeição a nenhuma decisão tomada apenas com base no tratamento automatizado.

Prova e Evidência de Cumprimento

As organizações têm de conseguir provar que cumprem com o regulamento, nomeadamente, que os dados pessoais que possuem são legítimos e estão limitados ao que é necessário, que os dados estão atualizados, seguros e confidenciais, que têm políticas, procedimentos, códigos de conduta e instruções internas, formalizadas e capazes de serem disponibilizadas às entidades de supervisão, que possuem sistemas para monitorizar se as políticas e procedimentos estão a ser seguidas. É assim necessário ter regras e acautelar as evidências e registos probatórios do cumprimento do RGPD.

Notificação da Violação de Dados

A CNPD terá de ser notificada (em 72 horas) de todas as violações de dados com risco para o titular.
Para tal, as Organizações têm de ser capazes detetar qualquer violação de dados, logo que ocorra.

Encarregado Proteção de Dados

Autoridade ou organismos públicos, entidades que controlem regularmente dados pessoais em grande escala e/ou que tratem dados sensíveis em grande escala devem nomear um DPO, um Encarregado da Proteção de Dados.
Mesmo nas entidade em que não seja mandatório o DPO, a entidade deverá designar um responsável pelo tratamento e proteção dos dados pessoais.

Subcontratação Regulada

É muito comum que os dados pessoais sejam, total ou parcialmente, tratados por terceiros subcontratados. Os subcontratados passam a ter responsabilidades, o que implica, entre outros, que hajam contratos que definam regras entre as partes. Os contratos existentes têm de ser revistos.
Ao subcontratado cabe provar que cumpre com todas as regras do contrato e do próprio RGPD, nomeadamente em matérias de confidencialidade e segurança.

Preparamos a sua empresa para a conformidade com o novo RGPD

Contacte-nos para mais informações.