O Regulamento Geral de Proteção de Dados (RGPD) passou a ser aplicado diretamente a partir de 25 de maio de 2018, e substituiu a antiga diretiva e lei de proteção de dados pessoais. O novo quadro legal trouxe algumas mudanças significativas que tiveram diferente impacto na vida das organizações, consoante a sua natureza, área de atividade, dimensão e tipo de tratamentos de dados pessoais que realizem.
As empresas e entidades públicas começaram logo a preparar internamente a sua organização para a aplicação do RGPD. É essencial conhecer as regras, analisar as obrigações, verificar o nível de cumprimento e adotar as medidas necessárias para assegurar que tudo está pronto.
O QUE É O RGPD?
O Regulamento Geral da Proteção de Dados é o Regulamento da UE 2016/679 do Parlamento.
Europeu e do Conselho de 27/04/2016, relativo à proteção de dados pessoais e à livre circulação desses dados. Vem revogar a diretiva 95/46/CE.
QUANDO ENTROU EM VIGOR?
Após 4 anos de discussão, o RGPD foi publicado a 27 de abril de 2016 e entrou em vigor em maio de 2016. O diploma previu um período de transição de 2 anos até à implementação total, com aplicação a partir de 25 de Maio de 2018.
A QUEM SE APLICA?
Com a finalidade de contribuir para um mercado único europeu de dados e harmonizar a legislação de todos os Estados Membros da UE, o RGPD aplica-se a todas as pessoas singulares e coletivas que efetuem tratamento de dados pessoais a residentes da UE.
QUAL O IMPACTO?
Impõe-se a necessidade imediata, a todas as entidades abrangidas, de implementação de um conjunto de políticas e medidas que garantam a conformidade com o RGPD, sob pena de lhes serem aplicadas multas até 20.000.000€ ou 4% da faturação global da empresa (a que for maior).
Quais as medidas que deverá adotar para garantir o cumprimento com o RGPD?
- Estabelecer políticas e procedimentos que permitam reagir a qualquer falha de segurança e notificar as autoridades competentes nos prazos estabelecidos.
- Rever impressos, formulários, politicas de privacidade. Verificar se a linguagem utilizada é clara, acessível e se são fornecidos aos titulares dos dados, toda a informação a que o RGPD obriga.
- Preparar e estabelecer mecanismo de resposta ao exercício dos novos direitos pelos titulares dos dados: Direito ao Esquecimento; Direito à Portabilidade de Dados.
- Analisar com que fundamento legal está a processar dados. Caso seja com base no consentimento, terá de rever o consentimento dado, para apurar se respeita todas as novas exigências, ou se será necessário obter novo consentimento.
- Rever os contratos de subcontratação de serviços realizados no âmbito de tratamento de dados pessoais, para verificar se cumprem com os requisitos exigidos pelo RGPD.
- Garantir que tem regras especificas para provar que todos os requisitos legais são cumpridos. Realizar uma auditoria/Assessment para verificar o que tem de fazer para cumprir com o RGPD (Accountability).