Com a proliferação das novas tecnologias, os dados pessoais subiram à categoria de bens mais preciosos do século XXI. Daí a necessidade de uma gestão eficaz e transparente por parte das empresas, através do cumprimento do RGPD, o Regulamento Geral de Proteção de Dados que inclui um conjunto de normas de salvaguarda da privacidade.
Porém, na tentativa de reforçar os direitos fundamentais das pessoas na era digital, o RGPD acabou por ter um grande impacto nas empresas que se viram obrigadas a reestruturar diversos processos internos para se adequar à nova legislação. Se a sua empresa ficou para trás ou se desconfia que não está a cumprir com as principais obrigações do RGPD, este artigo vem mesmo a calhar!
O que é o RGPD?
RGPD ou Regulamento Geral de Proteção de Dados, é um regulamento focado na proteção, recolha e gestão de dados pessoais, que entrou em vigor em 2018 para substituir a antiga diretiva e lei de proteção de dados.
Este regulamento surgiu com o objetivo de reforçar a proteção de dados, prevista no art.º 8º da Carta dos Direitos Fundamentais da União Europeia, e harmonizar a legislação dos Estados-Membros, criando as bases para o mercado único digital.
Para que serve o RGPD?
Serve para estabelecer as regras relativas ao tratamento (por uma pessoa, uma empresa ou uma organização) de dados pessoais de pessoas da União Europeia.
Qual o objetivo do RGDP?
Garantir aos cidadãos europeus um enquadramento legal que os proteja contra o uso abusivo de dados pessoais.
A quem se aplica o RGPD?
Aplica-se a todas as empresas e organizações da União Europeia que processem dados pessoais, incluindo as organizações fora da UE que tratam dados de titulares residentes na Europa, desde que comercializem os seus produtos/serviços ou monitorizem comportamentos que ocorram dentro da UE.
Estão excluídas desta obrigatoriedade, as forças de segurança pública, uma vez que estão sujeitas a uma legislação específica.
O que são dados pessoais?
Basicamente, dados pessoais são informações relativas a uma pessoa, que a identificam, como nome, número do cartão de cidadão, número de contribuinte, morada, localização, informações de saúde, informações de rendimento, etc.
Quais são as (novas) principais obrigações das empresas?
Desde 2018 que as empresas são obrigadas a demonstrar a sua conformidade com o RGPD, e para o fazerem têm de cumprir com algumas obrigações, nomeadamente:
∙ Designar um Encarregado de Proteção de Dados (EPD), um colaborador (ou um grupo de colaboradores) que fique responsável pelo tratamento de dados pessoais na empresa.
∙ Adotar Políticas de Privacidade e de Segurança da Informação, para tornar o processo de recolha e tratamento de dados pessoais, absolutamente transparente, e para aumentar a credibilidade da marca junto dos consumidores.
∙ Realizar a Avaliação de Impacto sobre Proteção de Dados (AIPD), se o tratamento de dados pessoais assim o exigir, ou seja, se tratar dados pessoais em larga escala ou usar sistemas de controlo (como videovigilância) em zonas públicas de grande acesso.
∙ Prestar informações aos titulares dos dados e obter o consentimento para tratamento de dados para finalidades específicas, através de uma manifestação de vontade livre, informada e inequívoca.
∙ Tratar os dados recolhidos de acordo com as finalidades determinadas, explícitas, legítimas e transparentes.
∙ Garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos.
∙ Efetuar o registo das atividades de tratamento de dados, responsabilidade do EPD e/ou de uma empresa subcontratante.
∙ Garantir os direitos de acesso, retificação, apagamento e oposição dos titulares.
∙ Assegurar os direitos de limitação do tratamento e portabilidade dos dados
∙ Notificar violações de dados e incidentes de segurança que representem um risco para os direitos e liberdades dos titulares da informação.
∙ Realizar auditorias RGPD com regularidade, para assegurar a conformidade de implementação do regulamento, controlar, avaliar e reajustar os processos e procedimentos em vigor, e até para implementar novas medidas que se entendam necessárias para continuar a assegurar a segurança de informação na empresa.
O que acontece em caso de incumprimento?
Nos casos mais graves de incumprimento, as coimas podem ir até 20 milhões de euros ou 4% do volume de negócios anual.
Em casos de incumprimento menos graves, as coimas podem ter um valor até 10 milhões de euros ou 2% do volume de negócios anual (vigora o valor que for mais elevado).
Mas além das multas avultadas, as empresas que entrarem em incumprimento sofrem outro tipo de sanção igualmente severa: veem a sua reputação abalada e em consequência, a confiança dos consumidores quebrada!
Como é que uma empresa pode assegurar o cumprimento do RGPD?
Implementando a ISO 27001 (Sistema de Gestão de Segurança da Informação)
O próprio Regulamento Geral de Proteção de Dados aconselha a implementação de medidas técnicas e organizativas adequadas para garantir a segurança da informação e até incentiva a certificação ISO 27001, para que as empresas se nivelem com as melhores práticas internacionais.
Porque é que a ISO 27001 ajuda a cumprir o Regulamento Geral de Proteção de Dados?
Porque a norma e o RGPD têm requisitos em comum, como a classificação de dados, registo de atividades, gestão de ativos de informação, consentimento do cliente e proteção de dados.
Além dos requisitos em comum, a certificação ISO 27001 inclui três aspetos essenciais da segurança da informação: pessoas, processos e tecnologia. Ou seja, enquanto o RGPD apenas se defende dos riscos das novas tecnologias, a ISO 27001 também se defende de outras ameaças mais comuns, como funcionários mal-informados ou procedimentos ineficazes.
Em suma, ao implementar um Sistema de Gestão de Segurança da Informação, garante:
- Adoção de medidas para garantir a confidencialidade, integridade e disponibilidade dos dados.
- Avaliação completa dos riscos e identificação de ameaças e vulnerabilidades que possam afetar os ativos de informação da empresa.
- Auditoria independente por um organismo de certificação, para assegurar que o sistema de gestão cumpre com os requisitos da norma ISO 27001.
Como certificar na ISO 27001?
Interessado na certificação ISO 27001? A Templum é o melhor parceiro para a sua empresa na implementação e manutenção da norma ISO 27001 e do RGPD. Consulte-nos!
