A Comissão Europeia concedeu dois anos entre a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) e a sua aplicação plena, a 25 de maio, para as empresas se adaptarem às novas regras. Faltam pouco menos de dois meses e ainda há muitas entidades sem saber por onde começar. Aqui estão, segundo Jane Kirkby, os passos essenciais para alcançar este objetivo.
No dia 25 de maio de 2016 entrou em vigor o Regulamento (UE 2016/679) do Parlamento Europeu e do Conselho, de 27 de abril, relativo à proteção de pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, que revoga a Diretiva 95/46/CE, de 24 de outubro de 1995, Regulamento Geral de Proteção de Dados (RGPD). Estas novas regras vieram colocar inúmeros desafios a todas as entidades e agentes cujas atividades envolvam o tratamento de dados pessoais.
Considerando que a aplicação plena do Regulamento foi fixada para 25 de maio de 2018, as entidades tiveram dois anos para proceder à identificação das alterações necessárias para efeitos de conformidade com o novo regime de proteção de dados e à sua implementação, incluindo a adoção e a aplicação de novas medidas de segurança.
Ainda vamos a tempo
Acontece que já estamos em contagem decrescente até 25 de maio e a verdade é que a maioria das empresas em Portugal ainda não fez o trabalho de casa e uma grande parte ainda não sabe o que precisa fazer. Ainda assim, acreditamos que, “arregaçando as mangas”, ainda é possível às organizações se posicionarem até essa data em situação de cumprimento na íntegra do RGPD.
A primeira ideia a ter em mente é a de que o RGPD não é um “bicho papão”, mas antes um desafio para as entidades e agentes, uma oportunidade para avaliar a forma como as atividades que envolvem o tratamento de dados pessoais são executadas dentro das empresas e definir e implementar políticas de compliance com as novas regras.
Por onde começar então?
1.º Levantamento das bases de dados
A primeira tarefa é fazer um levantamento de todas as atividades que envolvem o tratamento de dados pessoais e catalogar as bases de dados, por exemplo, de trabalhadores; de dados de destinatários de newsletters; de clientes; de fornecedores.
2.º Verificação do cumprimento dos princípios relativos ao tratamento de dados pessoais
Para cada base de dados deve verificar-se se estão a ser cumpridos os princípios relativos ao tratamento de dados pessoais:
Licitude, lealdade e transparência;
Limitação das finalidades;
Minimização dos dados;
Exatidão;
Limitação da conservação;
Integridade de confidencialidade.
3.º Identificação do fundamento para o tratamento
O tratamento de cada base de dados deve ser juridicamente fundamentado.
O fundamento para o tratamento de cada base de dados pode ter fontes distintas, como o consentimento do titular dos dados, a execução de um contrato ou de diligências pré-contratuais, obrigações jurídicas, defesa de interesses vitais, funções de interesse público e exercício de autoridade pública ou interesses legítimos.
4.º Revisão dos formulários de obtenção de consentimento e contratos
Consoante o fundamento jurídico para o tratamento de dados, seja o consentimento ou a execução de um contrato, devem ser revistos todos os formulários de consentimento e clausulados contratuais, por forma a ajustá-los às novas exigências do RGPD, em particular no que se refere à informação que deve ser disponibilizada aos titulares dos dados e forma de comunicação da mesma, em particular quando se tratem de menores.
Deverá ser solicitado novo consentimento para o tratamento de dados, se a forma pela qual o consentimento foi dado não cumprir as condições previstas no RGPD.
5.º Revisão de subcontratos
Deve ser feito um levantamento de todos os subcontratos (escritos ou não) celebrados pela empresa com qualquer pessoa singular ou coletiva, autoridade pública, agência ou outro organismo para o tratamento de dados pessoais por sua conta.
Todas as relações contratuais identificadas devem ser reduzidas a escrito, com o conteúdo mínimo exigido pelo RGPD.
6.º Mecanismos de garantia do exercício dos direitos dos titulares dos dados
As empresas devem implementar ou assegurar que os seus subcontratados têm implementados mecanismos que garantam, atempadamente, o exercício dos direitos dos titulares dos dados:
Direito de acesso;
Direito à retificação ou apagamento;
Direito à limitação do tratamento;
Direito a opor-se ao tratamento;
Direito à portabilidade;
Direito a retirar o consentimento.
7.º Implementação de medidas técnicas e organizativas de segurança, by design e by default
Devem ser implementadas, quer no momento da definição dos meios de tratamento, quer no momento do próprio tratamento, medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco e tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis.
O RGPD dá algumas pistas sobre quais as medidas a implementar pelas empresas de acordo com o que for adequado ao contexto para cumprir com esta obrigação:
Pseudonimização e cifragem dos dados pessoais;
Mecanismos que assegurem a confidencialidade, integralidade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento (que podem ir desde segurança física até encriptação através de passsword);
Instrumentos que permitam o restabelecimento da disponibilidade e acesso aos dados pessoais de forma atempada no caso de um acidente físico ou técnico;
Processos para testar, apreciar e avaliar regularmente a eficácia das medidas implementadas;
Cumprimento de um Código de Conduta, quando aplicável;
Procedimento de certificação, quando criado pela autoridade de controlo;
Adoção de instrumentos de compliance, nomeadamente, regulamentos, normas e procedimentos específicos de determinadas áreas, departamentos ou unidades, destinados a auxiliar e definir os processos internos em matéria de proteção de dados, de modo a contribuir para a promoção da aplicação do RGPD.
8.º Criação de registo das atividades de tratamento
As empresas com mais de 250 trabalhadores que efetuem tratamento de dados suscetível de implicar um risco para os direitos e liberdades dos titulares dos dados, regular ou que abranja categorias de dados sensíveis, devem conservar um registo escrito, incluindo em formato eletrónico, de todas as atividades de tratamento sob a sua responsabilidade.
9.º Definição de procedimentos internos de notificação de violações de dados pessoais
As empresas devem assegurar antecipadamente que dispõem de procedimentos internos que lhes permitam cumprir a obrigação de notificação de uma violação de dados pessoais, que seja suscetível de resultar num risco para os direitos e liberdades das pessoais singulares à autoridade de controlo, sem demora injustificada e até 72 horas após ter tido conhecimento da mesma, ou, quando aplicável, ao titular dos dados.
Devem igualmente criar um registo para documentar quaisquer violações de dados, sujeitas a notificação ou não.
10.º Designação de encarregado de proteção de dados
Quando as empresas se enquadrem numa das situações abaixo devem obrigatoriamente designar um encarregado de proteção de dados:
a) Entidades públicas (com exceção de tribunais no exercício da função jurisdicional);
b) Operações de tratamento de dados em grande escala;
c) Operações de tratamento em grande escala de categorias especiais de dados.
Fora destas situações, a designação de um encarregado de proteção de dados não é obrigatória, mas é aconselhável.
