RGPD para principiantes
O RGPD é a mais extensa regulamentação empresarial a sair da UE em muitos anos.
As empresas devem aprender a lidar com o RGPD de forma eficiente e competente para garantir o cumprimento sem comprometer as atividades empresariais do dia-a-dia.
Os dados pessoais são qualquer dado que possa identificar uma pessoa.
Exemplos:
- Um e-mail pode ser usado para identificar uma pessoa.
- Um número de telefone pode ser usado para identificar uma pessoa.
- Um endereço pode ser usado para identificar uma pessoa.
- Um endereço IP pode ser usado para identificar uma pessoa.
- O número nacional de identificação pode ser usado para identificar uma pessoa.
- O número do passaporte pode ser usado para identificar uma pessoa.
- Um número de cartão de crédito pode ser usado para identificar uma pessoa.
Os dados que adicionam ao que sabemos sobre uma pessoa são dados pessoais.
- Passatempos
- Interesses
- Consumo
- Padrões comportamentais
- Sotaque
- Características físicas
A maioria dos dados tratados pelas empresas poderia ser considerados dados pessoais.
O RGPD aplica-se a todas as empresas, organizações e instituições da UE.
O RGPD aplica-se igualmente a qualquer empresa, organização ou instituição que ofereça bens ou serviços a qualquer pessoa na UE. Isto aplica-se quer o pagamento esteja ou não envolvido.
Exemplo
Qualquer webshop ou serviço que venda para o mercado da UE, quer esta empresa esteja sediada nos EUA ou na Austrália terá de cumprir com o RGPD.
O RGPD aplica-se ao tratamento de dados pessoais por responsáveis pelo tratemento não estabelecidos na UE se tratarem dados pessoais de pessoas com sede na UE.
O RGPD exige que todos os responsáveis pelo tratamento de dados sigam os princípios indicados no artigo 5º do RGPD.
licitude, lealdade e transparência
Deve tratar os dados pessoais de forma legal, justa e de forma a que o tratamento seja transparente para o titular dos dados.
limitação das finalidades
Só irá recolher dados pessoais para finalidades especificadas, explícitas e legítimas. Não poderá processar estes dados pessoais de forma incompatível com as finalidades.
Minimização de dados
Só deve tratar dados pessoais adequados, relevantes e limitados ao necessário para as finalidades originais do tratamento.
exatidão
O tratamento de dados pessoais deve ser exato e atualizado. Enestará um esforço para garantir que os dados imprecisos sejam apagados ou retificados.
Limitação da conservação
O tratamento de dados pessoais limitar-se-á ao período para o qual é necessário para as finalidades em que os dados pessoais foram tratados. Por isso, os dados pessoais devem ser eliminados ou anonimizados quando já não forem necessários para a finalidade original.
integridade e confidencialidade
Os dados pessoais serão tratados de forma segura para proteger os dados pessoais contra o tratamento não autorizado ou ilícito. Deve igualmente ser protegida contra perdas acidentais, destruição ou danos através de medidas técnicas ou organizativas adequadas.
responsabilidade
Como responsável pelo tratamento de dados, será responsável pelo cumprimento destes princípios e poderá documentar esta conformidade.
Um controlador de dados é uma empresa que determina as finalidades e meios de tratamento de dados pessoais.
Este é um conceito essencial para entender, uma vez que determina as suas obrigações em relação ao RGPD.
Um subcontratante é uma empresa que processa dados pessoais em nome do controlador de dados.
Este é um conceito essencial para entender, uma vez que determina as suas obrigações em relação ao RGPD.
Um subcontratante precisa sempre de celebrar um acordo de processamento de dados com o controlador, de acordo com o artigo 28.º do RGPD.
Quando recolhe dados pessoais do titular dos dados(pessoa), deve fornecer à pessoa informações sobre o porquê e como irá processar estes dados. Estes requisitos estão escritos nos artigos 13-14 do RGPD.
Na prática, pode fornecer estas informações numa política de privacidade que deve ser acessível à pessoa ao recolher dados pessoais.
Uau, não é? Esta é uma grande questão que não é respondida rapidamente.
Um requisito primordial no RGPD é manter um registo de atividades de processamento sob a sua responsabilidade (artigo 30.º).
Também terá de fornecer estas informações aos seus dados numa política de privacidade (artigo 13+14).
Será necessário processar os dados de acordo com os princípios deste regulamento (artigo 5.º).
Terá de celebrar acordos de processamento de dados com todos os processadores de dados que contratou para processar dados em seu nome (artigo 28.º).
Terá de fazer avaliações de risco das suas atividades de processamento e, com base nelas, implementar medidas organizativas e técnicas adequadas para garantir que os dados pessoais são tratados de forma segura.
Estes requisitos são apenas alguns dos muitos requisitos do RGPD.