Recolher informação sobre potenciais clientes faz parte da atividade de qualquer empresa, sendo por isso fundamental assegurar a proteção dos dados e a forma como são utilizados.
O que é RGPD (Regulamento Geral da Proteção de Dados)?
- regula a proteção das pessoas singulares ao nível de:
- tratamento de dados pessoais;
- livre circulação desses dados;
- revoga a Diretiva 95/46/CE
Este regulamento terá aplicação obrigatória a partir de 25 de Maio de 2018 em todos os países da União Europeia.
O regulamento considera:
- a proteção das pessoas singulares relativamente ao tratamento de dados pessoais como sendo um direito fundamental.
- que o tratamento dos dados pessoais deverá ser concebido para servir as pessoas.
- o respeito de todos os direitos fundamentais, nomeadamente:
- o respeito pela vida privada e familiar;
- pelo domicílio e pelas comunicações;
- a proteção dos dados pessoais;
- a liberdade de pensamento, de consciência e de religião;
- a liberdade de expressão e de informação.
Perante estas considerações e a evolução tecnológica ocorrida desde 1995 foi necessário:
- criar um ambiente de proteção de dados sólido e mais coerente;
- apoiado por uma aplicação rigorosa das regras;
As pessoas singulares devem poder controlar a utilização que é feita dos seus dados pessoais.
A quem se aplica o RGPD?
Aplica-se ao tratamento de dados pessoais de titulares residentes na UE, efetuado por entidades situadas na UE.
Estas entidades podem ser aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efetuam esse tratamento em regime de subcontratação.
No entanto não se aplica se for efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoal ou doméstica.
Definições essenciais:
Dados pessoais
Informação relativa a uma pessoa singular identicada ou identicável («titular dos dados»); é considerada identicável uma pessoa singular que possa ser identicada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo: um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Tratamento
Uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como: recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou a destruição.
O que se pode fazer com os dados que são recolhidos?
O tratamento que se pode fazer com os dados pessoais recolhidos, deve ser lícito, leal e transparente. Deve-se cumprir e nunca exceder o propósito para o qual foram recolhidos, sendo que caso seja necessário efetuar novo tratamento posterior de forma incompatível com o propósito inicial, deverá ser efetuado uma nova recolha, ou solicitação de novo consentimento. Deve-se ter em atenção que durante o tratamento dos dados, estes devem estar seguros, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.
Que Direitos se devem assegurar ao titular dos dados?
- Direito de acesso;
- Direito de retificação e apagamento;
- Direito de portabilidade dos dados;
- Direito de oposição e decisões individuais automatizadas;
Entidades “terceiras” prestadoras de serviços:
Muitas são as empresas que recorrem a entidades terceiras para prestação de serviços que envolvem partilha de dados dos seus colaboradores, clientes, etc.. Deve-se ter em atenção que também esta entidade fica ao abrigo do RGPD e para tal deve:
- apresentar garantias suficientes de aplicar medidas adequadas semelhantes às que apresenta o responsável do tratamento dos dados;
- utilizar os dados apenas para os fins inscritos no consentimento do titular dos dados;
- guardar os dados apenas durante o período necessário para cumprir a finalidade da posse dos mesmos;
- não partilhar esses dados com outras entidades sem solicitar autorização prévia ao responsável pelo tratamento dos dados.
N caso de deteção de violação dos dados pessoais que estão à sua guarda, as empresas deverão notificar em primeiro lugar a CNPD (Comissão Nacional Proteção de Dados), se possível até 72h após o incidente (ou deteção do mesmo).
Penalização por incumprimento/Coimas:
A CNPD deverá assegurar a aplicação das coimas, sendo que estas terão em consideração vários aspetos como a gravidade e duração da infração, assim como o caráter negligente ou não da mesma.
No pior dos casos, ou seja, negligência nos procedimentos, não notificação e não colaboração, a infração será punida com a coima mais grave, até 20 milhões de Euros ou, até 4 % do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
Mais informações: (Comissão Nacional Proteção de Dados)