O Regulamento Geral de Proteção de Dados (RGPD) é uma das maiores alterações de sempre relativamente à forma como deve ser realizado o tratamento de dados pessoais.

Este Regulamento aplica-se a empresas, mas também qualquer pessoa singular, organização, autoridade pública, agência ou outro organismo que proceda ao tratamento de dados de pessoais e que esteja e/ou faça negócios com a EU. Entra em vigor no dia 25 de Maio de 2018 na União Europeia (UE) e prevalece sobre quaisquer leis nacionais.

O Regulamento Geral de Proteção de Dados estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Este Regulamento tem por isso um impacto enorme em todos os departamentos de inúmeras empresas em todo o mundo e é muito provável que a maioria necessite de implementar práticas e salvaguardas suplementares, sendo altamente recomendável a realização de uma auditoria por especialistas devidamente qualificados.

O que são Dados Pessoais?

Informação relativa a uma pessoa singular identificada ou identificável (titular dos dados).

É considerada identificável uma pessoa singular que possa ser identificada direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

O que é um Tratamento de Dados?

Uma operação ou um conjunto de operações efetuadas sobre os dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados.

A recolha pode ser direta (por exemplo: telefone, email, site, videovigilância, por impresso) ou indireta (por exemplo: consulta de bases públicas, aquisição de bases de dados, etc.).

Um tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

• • O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
  • O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
  • O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável do tratamento esteja sujeito.

Alguns Exemplos de Finalidades de Tratamentos de Dados Pessoais:

• • Gestão da relação com clientes (Gestão da relação com clientes para efeitos da prestação de serviços);
  • Gestão de Recursos Humanos/gestão da relação contratual;
  • Marketing de Serviços/Produtos;
  • Gestão de concursos e passatempos para os colaboradores;
  • Medicina no Trabalho;
  • Gestão Administrativa e Financeira;
  • Proteção de pessoas e bens e segurança das instalações;
  • Comunicação externa;
  • Formação e realização de eventos;
  • Ações para a comunidade e sustentabilidade;
  • entre outros.

O que posso fazer para proteger os dados pessoais no meu dia a dia?

• • Conhecer as Políticas, os Regulamentos, os Processos e os Procedimentos da minha Organização;
  • Não revelar a presença de um cliente na minha empresa;
  • Não partilhar informação de clientes em espaços públicos;
  • Não consultar processos de clientes sem que seja estritamente necessário;
  • Adotar uma política de “clean desk”, não deixando informação sensível na secretária no final de um dia de trabalho;
  • Não deixar expostas ou visíveis listagens que contenham identificação de clientes (virar papéis ao contrário, bloquear ecrãs, etc.);
  • Não deixar informação confidencial nas impressoras, faxes ou fotocopiadoras;
  • Não partilhar passwords;
  • Não fornecer informação de clientes ou de negócio a pessoas que não têm necessidade de aceder a essa informação, a menos que autorizado pela chefia;
  • Não guardar informação sensível em dispositivos USB;
  • Não aceder a pastas de trabalho em dispositivos pessoais;
  • Bloquear o ecrã do computador sempre que se ausentar do posto de trabalho;
  • Utilizar as pastas de rede partilhadas para guardar informação, em detrimento do disco do computador;
  • Notificar todas as violações de dados pessoais de que tenha conhecimento (violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento).

E se não cumprirmos?

• • Reforço do quadro sancionatório;
  • Coimas até € 20.000.000 ou 4% do volume anual de negócios.