• 266 739 520
  • geral@acde.pt

Novas Obrigações das Empresas | Proteção de Dados

Novas Obrigações das Empresas | Proteção de Dados

A 25 de maio de 2018 vai entrar em vigor o novo regulamento geral de proteção de dados (RGPD) pessoais.

Recorde-se que o novo regulamento coloca o ónus de responsabilidade do tratamento e da conformidade dos dados pessoas nas organizações, públicas e privadas – até agora da competência da Comissão Nacional de Proteção de Dados (CNPD).

1 – Criar um sistema de registo de dados

O objetivo é identificar os dados que são recolhidos, de onde vêm, como, porquê e com quem são partilhados.

É preciso ter em conta as categorias de dados, a finalidade de tratamento, o prazo de conservação e o âmbito geográfico do tratamento.

2 – Rever a política de privacidade, procedimentos e documentação e demonstrar que está a cumprir o RGPD

Em causa está a necessidade de verificar se o consentimento dos titulares dos dados se manterá válido e se se poderá recorrer a outros fundamentos. O consentimento deve ser livre, específico, informado e corresponder a uma clara ação afirmativa do titular dos dados (oral ou escrita).

3 – Ter em conta os novos direitos dos titulares dos dados

As organizações vão ter de assegurar que conseguem cumprir com dois direitos fundamentais: “o direito de portabilidade” e o “direito a ser esquecido”. O “direito de portabilidade” dos dados reforça o já existente direito de acesso dos titulares aos seus dados pessoais através de um pedido de acesso. Este novo direito permite ao titular dos dados pedir e receber os seus dados pessoais, que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso correntes e de leitura automática. O titular dos dados terá ainda o direito de transmitir esses dados, de forma gratuita, a outro responsável pelo tratamento e sem que o primeiro responsável a quem foram fornecidos o possa impedir. 

“Direito a ser esquecido” ou “direito ao apagamento” significa que os titulares dos dados têm direito a obter do responsável pelo tratamento o apagamento dos seus dados pessoais e a abstenção de qualquer disseminação futura desses dados, incluindo dados disponíveis ou processados em formato eletrónico, com algumas exeções, como por exemplo para o cumprimento de uma obrigação legal ou execução de uma tarefa determinada pelo interesse público, por motivos de saúde pública, para fins de arquivo de interesse público, para fins estatísticos e para fins de investigação científica ou histórica.

4 – Assegurar que os recursos humanos estão conscientes das implicações do RGPD e têm formação sobre as novas regras

Deverá verificar se cumpre os requisitos para ser obrigatório designar um Encarregado de Proteção de Dados (EPD) e de que forma esta função se enquadrará no seio da organização. Para isso poderá ser necessário criar uma função específica para desempenhar a função de EPD, designar um único EPD ou um EPD por cada empresa ou jurisdição do grupo.

5 – Adotar medidas e políticas internas que cumpram os requisitos de proteção “desde a conceção” e proteção “por defeito”

A “proteção desde a conceção” requer que o responsável pelo tratamento de dados aplique, quer no momento de definição dos meios de tratamento quer no momento do próprio tratamento, medidas técnicas e organizativas adequadas.

Estas medidas podem incluir:

  • A minimização do tratamento de dados; pseudonimização de dados pessoais o mais cedo possível; adoção de medida de transparência relativas às funções e ao tratamento de dados pessoais; possibilidade de o titular dos dados controlar o tratamento de dados; possibilidade de o responsável pelo tratamento criar e melhorar medidas de segurança;

A “proteção por defeito” requer que o responsável pelo tratamento implemente medidas técnicas e organizativas adequadas destinadas a assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento.

6 – Rever e atualizar as medidas de segurança do tratamento

O novo regulamento prevê a aplicação das seguintes medidas técnicas e organizativas: A começar pela pseudonimização e cifragem dos dados pessoais e pela capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento. A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada em caso de incidente físico ou técnico e ter um processo para testar, apreciar e avaliar regularmente a eficácia das medidas adotadas para garantir a segurança do tratamento são outras das medidas previstas.

7 – Rever o impacto sobre as transferências transfronteiriças de dados

O novo regulamento reforça as atuais regras sobre transferências internacionais de dados, que são permitidas desde que apresentem garantias adequadas. Além das soluções existentes, como as “cláusulas contratuais-tipo” e o consentimento do titular, o RGPD prevê novas soluções. As “cláusulas contratuais-tipo” deixam de requerer a autorização prévia da CNPD, ainda que a transferência envolva dados sensíveis. Não é de excluir, porém, que a CNPD possa vir a exigir uma notificação prévia para essas operações de tratamento. As regras vinculativas aplicáveis às empresas são outra das soluções ao abrigo da qual as entidades de um grupo empresarial se obrigam a realizar entre si transferências de dados.

Fonte: http://acasca.blogs.sapo.pt/novas-obrigacao-das-empresas-protecao-79988

Acde
acde

Contacte-nos