Se a sua empresa trabalha com dados pessoais de cidadãos da União Europeia, a partir de 25 de maio estará obrigado a cumprir com o novo Regulamento Geral de Proteção de Dados.
O que é o Regulamento Geral de Proteção de Dados?
O Regulamento Geral de Proteção de Dados (RGPD) é uma das maiores alterações de sempre relativamente à forma como deve ser realizado o tratamento de dados pessoais.
Este Regulamento aplica-se a empresas, mas também qualquer pessoa singular, organização, autoridade pública, agência ou outro organismo que proceda ao tratamento de dados de pessoais e que esteja e/ou faça negócios com a EU. Entra em vigor no dia 25 de Maio de 2018 na União Europeia (UE) e prevalece sobre quaisquer leis nacionais.
O Regulamento Geral de Proteção de Dados estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Este Regulamento tem por isso um impacto enorme em todos os departamentos de inúmeras empresas em todo o mundo e é muito provável que a maioria necessite de implementar práticas e salvaguardas suplementares, sendo altamente recomendável a realização de uma auditoria por especialistas devidamente qualificados.
O que são Dados Pessoais?
Informação relativa a uma pessoa singular identificada ou identificável (titular dos dados).
É considerada identificável uma pessoa singular que possa ser identificada direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
O que é um Tratamento de Dados?
Uma operação ou um conjunto de operações efetuadas sobre os dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados.
A recolha pode ser direta (por exemplo: telefone, email, site, videovigilância, por impresso) ou indireta (por exemplo: consulta de bases públicas, aquisição de bases de dados, etc.).
Um tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
-
- O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
- O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
- O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável do tratamento esteja sujeito.
Alguns Exemplos de Finalidades de Tratamentos de Dados Pessoais:
-
- Gestão da relação com clientes (Gestão da relação com clientes para efeitos da prestação de serviços);
- Gestão de Recursos Humanos/gestão da relação contratual;
- Marketing de Serviços/Produtos;
- Gestão de concursos e passatempos para os colaboradores;
- Medicina no Trabalho;
- Gestão Administrativa e Financeira;
- Proteção de pessoas e bens e segurança das instalações;
- Comunicação externa;
- Formação e realização de eventos;
- Ações para a comunidade e sustentabilidade;
- entre outros.
O que posso fazer para proteger os dados pessoais no meu dia a dia?
-
- Conhecer as Políticas, os Regulamentos, os Processos e os Procedimentos da minha Organização;
- Não revelar a presença de um cliente na minha empresa;
- Não partilhar informação de clientes em espaços públicos;
- Não consultar processos de clientes sem que seja estritamente necessário;
- Adotar uma política de “clean desk”, não deixando informação sensível na secretária no final de um dia de trabalho;
- Não deixar expostas ou visíveis listagens que contenham identificação de clientes (virar papéis ao contrário, bloquear ecrãs, etc.);
- Não deixar informação confidencial nas impressoras, faxes ou fotocopiadoras;
- Não partilhar passwords;
- Não fornecer informação de clientes ou de negócio a pessoas que não têm necessidade de aceder a essa informação, a menos que autorizado pela chefia;
- Não guardar informação sensível em dispositivos USB;
- Não aceder a pastas de trabalho em dispositivos pessoais;
- Bloquear o ecrã do computador sempre que se ausentar do posto de trabalho;
- Utilizar as pastas de rede partilhadas para guardar informação, em detrimento do disco do computador;
- Notificar todas as violações de dados pessoais de que tenha conhecimento (violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento).
E se não cumprirmos?
-
- Reforço do quadro sancionatório;
- Coimas até € 20.000.000 ou 4% do volume anual de negócios.