No passado dia 7 de março, o grupo Seines realizou em Espanha uma sessão de esclarecimento relativamente às novidades e desenvolvimentos legislativos sobre a proteção de dados (RGPD).
Maite Torres, a Diretora Geral do grupo Seines em Madrid revelou que a sessão foi um sucesso, em função da grande participação e interesse demonstrados pelas empresas e profissionais do setor de Recursos Humanos.
Atenção:
Próximo dia 11 de abril,
Formação RGPD na região de Lisboa
Consulte + informações aqui
Recordemos alguns dos pontos mais relevantes sobre RGPD:
O RGPD (Regulamento Geral da Proteção de Dados) que revoga a Diretiva 95/46/CE é um documento com 99 artigos e 173 considerandos prévios que regula a proteção das pessoas singulares no que diz respeito ao tratamento e circulação de dados pessoais.
Este regulamento tem aplicação obrigatória a 25 de maio de 2018 em todos os países da União Europeia e foi publicado a 4 de maio de 2016, no Jornal Oficial da União Europeia, sendo o âmbito de aplicação material extensível ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.
Ficam algumas ideias essenciais do RGPD sendo certo que ainda se aguarda legislação interna nesta matéria:
1. Por Dados pessoais» entende-se toda a informação relativa a uma pessoa singular identificada ou identificável (« titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular; Como se pode constatar, é um conceito bastante amplo não limitado ao nome e identificação das pessoas.
2.Consentimento do titular:
O consentimento deve ser expresso de forma livre, apresentado numa linguagem clara e simples e identificar o propósito do tratamento, sendo aconselhável fazer um documento/adenda aos contratos de trabalho que espelhe os direitos essências do titular nesta matéria. O titular pode retirar o consentimento a qualquer momento.
3. Direito à informação mais reforçado:
O titular tem direito a aceder aos seus dados pessoais, obter informação sobre o seu tratamento nomeadamente a ter conhecimento se os seus dados são transferidos para um país terceiro ou organização internacional.
4. Direito ao apagamento dos dados (“direito de ser esquecido”):
O titular tem o direito a obter o apagamento dos dados pessoais sem demoras injustificadas.
5. Direito de portabilidade dos dados:
Outra novidade consiste no direito do Titular a solicitar que os seus dados pessoais lhe sejam transmitidos ou transmitidos a outra organização, desde que tal seja tecnicamente viável.
6. Responsável de tratamento:
Principio central de “accountability” que impende sobre as organizações leva a que a figura do responsável de tratamento seja de extrema importância dado que, deve aplicar todas as medidas técnicas e organizativas adequadas, bem como assegurar e comprovar que o tratamento é realizado em conformidade com o regulamento sendo que, poderá existir igualmente um subcontratante.
Estas 2 figuras, a coexistirem, torna essencial que, as competências de cada um fiquem perfeitamente definidas em contrato de forma a um eventual apuramento concreto de funções e responsabilidades.
7. Encarregado de Proteção de dados (DPO):
Uma das principais novidades do RGPD consiste na figura do Encarregado de Proteção de dados que é de nomeação obrigatória para os seguintes casos:
- Autoridade ou organismos públicos ou entidades que controlem regularmente dados pessoais em grande escala e/ou que tratem dados sensíveis em grande escala. O RGPD não tem curiosamente a definição do que se deve entender por grande escala: Houve propostas no seio do Grupo no sentido de inserir o número mínimo de 150 pessoas mas esta ideia não vingou. Competirá ao legislador interno definir este número.
- Não sendo pois uma figura obrigatória para todos, tem sido apontado como tendo um papel importante nomeadamente no diálogo a manter com a CNPD. Sobre o perfil a que deve obedecer, o regulamento refere que deve ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados.
8. Proteção dos dados desde a conceção e por defeito:
As organizações devem aplicar as medidas técnicas e organizativas adequadas, como a pseudonimização, para garantir a proteção de dados e, por defeito, que só são tratados os dados para cada fim específico. Por pseudonimização deve entender-se o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.
9. Registo das atividades de tratamento:
Para responder á obrigação de “accountability”, as organizações devem manter um registo detalhado e atualizado de todas as atividades relacionadas com o tratamento de dados pessoais, quer as que resultem diretamente da obrigação de manter um registo quer as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar em qualquer momento o cumprimento de todas as obrigações decorrentes do RGPD.
10. Notificação de violação:
No caso de violação de dados pessoais, existe obrigatoriedade de informar a autoridade de controlo (CNPD) até 72 horas. No caso de elevado risco para o titular, essa violação deve-lhe ser comunicada sem demora.
11. Avaliação do impacto sobre a proteção de dados:
Quando a especificidade do tratamento implicar um elevado risco, nomeadamente a utilização de novas tecnologias, a empresa procede através do responsável pelo tratamento e antes de iniciar o tratamento, a uma avaliação do impacto (PIA).
Conforme os resultados da avaliação, poderá proceder-se a consulta prévia posterior junto da Comissão Nacional Proteção de Dados