Conforme já havíamos alertado em artigo anterior, com a entrada em vigor do Novo Regulamento Geral de Proteção de Dados (RGPD) a partir de 25 de maio de 2018 o panorama dos dados pessoais e a forma como os mesmos devem ser encarados vai sofrer amplas alterações, sendo muito importante que as empresas que tratam dados pessoais estejam preparadas, já que a gestão dos dados pessoais passa a ser um “corporate risk” que não pode ser ignorado.
Um pouco por toda a União Europeia temos assistido a manifestações das respetivas autoridades nacionais na matéria de proteção de dados a pronunciar-se sobre o RGPD. A Comissão Nacional de Proteção de Dados (CNPD) não fugiu à regra, tendo publicado 10 medidas que consideram essenciais para a aplicação do RGPD e que nós também entendemos serem importantes, a saber, sumariamente:
1.Reformular impressos, políticas de privacidade e todos os textos que prestem informação aos titulares dos dados, ao mesmo tempo que verifica se está efetivamente a fornecer, em todas as situações, a informação exigida por lei;
2.Rever os procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, atendendo a novas exigências específicas do regulamento neste domínio quanto à tramitação dos pedidos, em especial aos prazos máximos de resposta;
3.Verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares, quando este serve de base legal para o tratamento de dados pessoais;
4.Analisar o leque de dados sensíveis tratados;
5.Documentar de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD;
6.Rever os contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais para verificar se contêm todos os elementos exigidos pelo regulamento;
7.Designar internamente ou recorrer a terceiros para designar um Encarregado de Proteção de Dados;
8.Garantir um elevado nível de segurança do tratamento e medidas técnicas e organizativas (nomeadamente através da aplicação da norma ISO 27001);
9.Privacy Impact assessment – deve ser feita uma avaliação do tipo de dados que se vá realizar no futuro, tendo em vista analisar os potenciais riscos que possam existir para os titulares dos dados;
10.Definir planos de emergência para eventuais data breaches – notificação (deve ser efetuada em 72 horas, salvo justificação para um período maior) e documentação.
Sem prejuízo de não ser extenso como documentação publicada por outras entidades como a publicada pelo Information Comissioner’s Office no Reino Unido ou pela Agencia Española de Protección de Datos, a CNPD conseguiu resumidamente abordar quase todos os pontos necessários para que uma empresa se prepare atempadamente para as exigências do RGPD.
De salientar que, ao contrário do que ocorre na presente data, as empresas que tratem dados pessoais passam a ter onerosas obrigações de accountability visto que têm de estar sempre preparadas para a qualquer momento demonstrar que estão compliant com o RGPD e que conseguem assegurar aos titulares dos dados o efetivo exercício dos direitos que estão previstos no RGPD (por exemplo: direito ao esquecimento; portabilidade de dados – ambos referidos em artigo anterior).
Se há uns meses era importante que as empresas se começassem a preparar para as novas regras de privacidade de dados, hoje, a pouco mais de um ano da aplicação do RGPD, a preparação e adoção das regras previstas no RGPD mostra-se fundamental e urgente para evitar custos em cima da hora e eventuais incumprimentos, que, relembramos, podem resultar na aplicação de coimas que podem ir até € 20.000.000,00 (vinte milhões de euros) ou 4% do lucro anual, já para não referir eventuais responsabilizações para a gerência e órgãos de administração das empresas que omitam a aplicação do RGPD.
João Peixe