Data da Notícia: 
21/03/2017 - 16:00

 

O Regulamento Geral de Proteção de Dados (RGPD) passará a ser aplicado diretamente a partir de Maio de 2018, e vem substituir a atual diretiva e lei de proteção de dados pessoais. O novo quadro legal, idêntico para os 28 estados membros da União Europeia, traz algumas mudanças significativas que terão diferente impacto na vida das organizações, consoante a sua natureza, área de atividade, dimensão e tipo de tratamentos de dados pessoais que realizem.

Assim, empresas e entidades públicas devem começar desde já a preparar internamente a sua organização para a aplicação do RGPD. É essencial conhecer as novas regras, analisar as novas obrigações, verificar o nível atual de cumprimento e adotar as medidas necessárias durante este período de transição para assegurar que tudo está pronto em maio de 2018.

Se por um lado o RGPD aplica-se, diretamente ou indiretamente, a todas as organizações, por outro lado há organizações que terão de garantir conformidade com o RGPD em duas perspetivas: a interna e a externa. Quer isto dizer que, caso a organização preste serviços ou produtos ao Mercado, esses serviços e produtos também terão que ser conformes com o RGPD (caso lidem com dados privados), e não apenas os seus processo internos. Talvez o exemplo mais direto será o das empresa produtoras de software, esta terão garantidamente que garantir a conformidade dos seus processo internos mas também garantir que o software que desenvolvem também é conforme, naturalmente caso lide com dados privados.

A Comissão Nacional de Proteção de Dados fez um excelente trabalho ao identificar os principais pontos a ter em conta para a conformidade com o RGPD. Segue-se um resumo desse levantamento.

a. Informação aos titulares dos dados

Dentro das exigências de maior transparência do RGPD, deve ter em atenção que as informações devem ser prestadas aos cidadãos de forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. Reveja a informação que fornece aos titulares dos dados, por escrito ou por telefone. Deve ser tido particular cuidado quando as informações são dirigidas a crianças.

b. Exercício dos direitos dos titulares dos dados

Os direitos dos titulares foram alargados em relação à atual lei, passando a existir o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação, apagamento ou limitação de tratamento solicitados pelos titulares.

Deve rever os procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, em especial aos prazos máximos de resposta. Não se esqueça, que todo o procedimento deve ser devidamente documentado.

c. Consentimento dos titulares dos dados

Deve verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares, quando este serve de base legal para o tratamento de dados pessoais. O regulamento alarga o conceito de consentimento e introduz novas condições para a sua obtenção, pelo que é necessário apurar se o consentimento obtido pelo responsável pelo tratamento respeita todas as novas exigências.

d. Dados sensíveis

Deve avaliar a natureza dos tratamentos de dados efetuados, a fim de apurar quais os que se podem enquadrar no conceito de dados sensíveis, e consequentemente se aplicarem condições específicas para o seu tratamento, relativas à licitude do tratamento, aos direitos ou às decisões automatizadas.

O regulamento veio estender o leque das categorias especiais de dados, integrando por exemplo os dados biométricos, que passaram a fazer parte do elenco de dados sensíveis.

Deve analisar também o contexto e a escala destes tratamentos de dados para verificar se daí decorrem obrigações particulares, tais como a designação de um encarregado de proteção de dados (DPO).

e. Documentação e registo de atividades de tratamento

Deve documentar de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo como as relativasa outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD.

f. Medidas técnicas e organizativas e segurança do tratamento

Dever rever as políticas e práticas da organização à luz das novas obrigações do regulamento, e adotar as medidas técnicas e organizativas adequadas e necessárias para assegurar e poder comprovar que todos os tratamentos de dados efetuados estão em conformidade com o RGPD a partir do momento da sua aplicação.

Nessa avaliação, deve ter em conta a natureza, âmbito, contexto e finalidades dos tratamentos de dados, bem como os riscos que deles podem decorrer para os direitos e liberdades dos cidadãos.

Estes são apenas alguns dos pontos a ter em consideração na abordagem ao RGPD. Essa abordagem deve ser contínua e holística, de modo a assegurar que a organização esteja em conformidade com o Regulamento tendo em conta todos os requisitos legais e relatórios, processuais e técnicos. A Dognaedis possui uma equipa experiente e altamente qualificada nesta área de modo a ajudar com este processo.

 

Miguel Brown trabalha em informática desde 1987 e em segurança desde 1999 em empresas como a McAfee e a Dognaedis.

A Dognædis é uma empresa portuguesa focada em cibersegurança e segurança de informação e atualmente desenvolve atividade em 14 países. Com o lema, transformar a cibersegurança dos nossos clientes num valor acrescentado, apresenta-se como prestadora de serviços especializados na área de segurança de informação e áreas subjacentes.