O Regulamento Geral da Proteção de Dados e o teu negócio

Pedro FonsecaInternet

Quando foi a última vez que recolheste dados de clientes ou potenciais clientes? E lembras-te o que fizeste com eles?

Recolher informação sobre potenciais clientes faz parte da atividade de qualquer comercial, e por isso é fundamental para qualquer negócio.

Seja em feiras, eventos de networking, formações ou workshops, muitas vezes até servindo como moeda de troca (se vier a este evento pelo menos obtenho uma lista de leads qualificadas) a procura de contactos faz parte da estratégia comercial.

Mas esses dias estão prestes a mudar. E porquê? Porque o RGPD (Regulamento Geral da Proteção de Dados) está a chegar.

Mas então, o que é isso do RGPD?

É um documento que:

  • regula a proteção das pessoas singulares no que diz respeito a:
    • tratamento de dados pessoais
    • livre circulação desses dados
  • revoga a Diretiva 95/46/CE

Este regulamento tem aplicação obrigatória a 25 de Maio de 2018 em todos os países da União Europeia e foi publicado a 4 de maio de 2016, no Jornal Oficial da União Europeia.

O regulamento considera:

  • a proteção das pessoas singulares relativamente ao tratamento de dados pessoais como sendo um direito fundamental.
  • que o tratamento dos dados pessoais deverá ser concebido para servir as pessoas.
  • o respeito de todos os direitos fundamentais, nomeadamente:
    • o respeito pela vida privada e familiar
    • pelo domicílio e pelas comunicações
    • a proteção dos dados pessoais
    • a liberdade de pensamento, de consciência e de religião
    • a liberdade de expressão e de informação.

Perante estas considerações e a evolução tecnológica ocorrida desde 1995 era necessário:

  • criar um ambiente de proteção de dados sólido e mais coerente
  • apoiado por uma aplicação rigorosa das regras

As pessoas singulares devem poder controlar a utilização que é feita dos seus dados pessoais

A quem se aplica o RGPD?

O RGPD aplica-se ao tratamento de dados pessoais de titulares residentes na UE, efetuado por entidades situadas na UE.

Estas entidades podem ser aquelas que determinam as finalidades e os meios de tratamento de dados pessoais, mas também as que efetuam esse tratamento em regime de subcontratação.

No entanto não se aplica se for efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoal ou doméstica.

Agora que já sabe que está abrangido pelo RGPD, vamos a algumas definições:

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo:

  • um nome
  • um número de identificação
  • dados de localização
  • identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como:

  • a recolha
  • o registo
  • a organização
  • a estruturação
  • a conservação
  • a adaptação ou alteração
  • a recuperação
  • a consulta
  • a utilização
  • a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização
  • a comparação ou interconexão
  • a limitação
  • o apagamento ou a destruição

«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com:

  • o seu desempenho profissional
  • a sua situação económica
  • saúde
  • preferências pessoais
  • interesses
  • fiabilidade
  • comportamento
  • localização ou deslocações

«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.

«Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.

«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.

«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

«Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro.

«Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja:

  • o titular dos dados
  • o responsável pelo tratamento
  • o subcontratante

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

Como fazer para recolher dados?

No momento da recolha dos dados devemos facultar ao titular dos mesmos as seguintes informações:

  • quem somos;
  • os contactos do encarregado da proteção de dados, se for caso disso;
  • as finalidades do tratamento;
  • a duração da guarda dos dados ou os critérios para essa conservação;
  • as entidades com quem os iremos partilhar;
  • a existência do direito de retirar consentimento em qualquer altura;
  • o direito de apresentar reclamação a uma autoridade de controlo;
  • a existência de decisões automatizadas, incluindo a definição de perfis;

E então o que podemos fazer com os dados que recolhemos?

O tratamento que podemos fazer com os dados pessoais recolhidos, deve ser lícito, leal e transparente. Deve cumprir e nunca exceder o propósito para o qual foram recolhidos, sendo que caso seja necessário efetuar novo tratamento posterior de forma incompatível com o propósito inicial, deverá ser efetuado uma nova recolha, ou solicitação de novo consentimento.

Devemos ter em atenção que durante o tratamento dos dados, estes devem estar seguros, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.

Mas afinal, que direitos devo assegurar ao titular dos dados?

O direito de acesso

Devemos assegurar ao titular dos dados o direito de confirmar que dados pessoais são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados e às seguintes informações:

  • as finalidades do tratamento dos dados
  • as categorias dos dados pessoais em questão
  • os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados
  • se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo
  • a existência do direito de solicitar a retificação, o apagamento ou a limitação do tratamento dos dados pessoais
  • o direito de apresentar reclamação a uma autoridade de controlo
  • se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados
  • a existência de decisões automatizadas, incluindo a definição de perfis

Quando os dados pessoais forem transferidos para um país terceiro ou uma organização internacional, o titular dos dados tem o direito de ser informado das garantias adequadas.

Devemos ser capazes de fornecer uma cópia dos dados pessoais em fase de tratamento, sendo possível exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos.

O direito de retificação e apagamento

Devemos assegurar ao titular o direito de obter, sem demora injustificada, a retificação ou apagamento (direito a ser esquecido) dos seus dados pessoais.

Os dados poderão ser apagados quando:

  • os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento
  • o titular retira o consentimento
  • o titular opõe-se ao tratamento e não existem interesses legítimos que justifiquem o tratamento
  • os dados pessoais foram tratados ilicitamente
  • os dados pessoais foram recolhidos no contexto da oferta de serviços online

Devemos ainda ser capazes de comunicar a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado.

Se o titular dos dados o solicitar, devemos fornece-lhe informações sobre os referidos destinatários.

O direito de portabilidade dos dados

Devemos assegurar ao titular dos dados o direito de receber os dados pessoais que lhe digam respeito, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outra entidade para que os volte a tratar.

Direito de oposição e decisões individuais automatizadas

Devemos assegurar ao titular dos dados o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, incluindo a definição de perfis.

E então a minha organização não tem também direitos?

Na realidade as organizações que tratam dados (assim como as sub-contratadas) têm alguns deveres (sim, sei que não era isto que procuravam).

Assim, teremos de aplicar as medidas técnicas e organizativas adequadas por forma a assegurar e comprovar que o tratamento é realizado tendo em conta o regulamento.

Por medidas técnicas entendemos adoção de medidas de privacidade by design, como pseudonimização, encriptação e minimização entre outras. Já as medidas organizativas passam por assegurar que só são tratados os dados pessoais necessários para cada finalidade específica assim como a capacidade de testar e avaliar regularmente a eficácia das medidas técnicas.

Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao prazo de conservação e à sua acessibilidade.

Quando tivermos necessidade de recorrer a entidades terceiras para partilhar os dados e também eles efetuar tratamento, devemos ter em atenção que também esta entidade fica ao abrigo do RGPD e para tal deve:

  • apresentar garantias suficientes de aplicar medidas adequadas semelhantes às que apresenta o responsável do tratamento dos dados
  • utilizar os dados apenas para os fins inscritos no consentimento do titular dos dados
  • guardar os dados apenas durante o período necessário para cumprir a finalidade da posse dos mesmos
  • não partilhar esses dados com outras entidades sem solicitar autorização prévia ao responsável pelo tratamento dos dados

Qualquer tratamento efetuado sobre os dados deverá ser mantido em registo contendo as seguintes informações:

  • o nome e os contactos do responsável pelo tratamento
  • as finalidades do tratamento dos dados
  • se possível, os prazos previstos para o apagamento das diferentes categorias de dados
  • se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança

Por fim, e porque deveres nunca são demais, devemos estar preparados para o caso de deteção de violação dos dados pessoais que estão à nossa guarda. Neste caso, será necessário notificar em primeira mão a Autoridade de Controlo (em Portugal é a CNPD – Comissão Nacional da Proteção de Dados) se possível até 72h após o incidente (ou deteção do mesmo).

Caso a violação dos dados pessoais implique elevado risco para os titulares dos dados, devemos-lhes comunicar em linguagem clara e simples a natureza da violação dos mesmos. Mesmo assim, poderão existir algumas exceções, como por exemplo, os dados em causa estarem protegidos de tal forma que os mesmos não são acessíveis, ou estejam num formato incompreensível, no entanto neste caso, sugerimos a articulação com a CNPD sobre o procedimento adequado a tomar.

E então, as multas?

Como já referimos, a autoridade de controlo em Portugal é a CNPD, e esta deverá assegurar a aplicação das coimas, sendo que estas terão em consideração vários aspetos como a gravidade e duração da infração, assim como o caráter negligente ou não da mesma. Será ainda tido em consideração a responsabilidade da organização na tomada de medidas de técnicas e organizativas para proteção dos dados, assim como o passado de infrações da entidade ou até a cooperação da mesma com a CNPD, desde a notificação até ao esclarecimento de como a infração se passou.

No pior dos casos, ou seja, negligência nos procedimentos, não notificação e não colaboração, a infração será punida com a coima mais grave, até 20 milhões de Euros ou, até 4 % do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

Por fim

Seja no nosso caso da Kaksi Media, dos nossos clientes ou até a nível da Comunidade WordPress, temos feito um esforço por divulgar o que se passa com o RGPD e as implicações para a vida empresarial.

FB Live – O que é o RGPD e como vai afetar a tua presença online

As nossas apresentações públicas abordam o tema de forma genérica, mas também temos efetuado algumas formações adequadas a áreas específicas de negócio, como e-commerce, formação, prestação de serviços ou outras.

Se procura mais informações sobre este tema, teremos muito gosto em discutir à volta de um cafézinho. Vamos a isso?

Quero saber mais sobre o RGPD

  • Concordo que a Kaksi Media Lda. recolha e processe a informação constante deste formulário e entre em contacto comigo através de email ou telefone, para me informar sobre os temas indicados na mensagem. Concordo que, para esta finalidade, a Kaksi Media Lda. guarde o meu nome, email e telefone por tempo indeterminado até à resolução da questão indicada na mensagem. Concordo que posso retificar os dados ou cancelar a receção destas informações a qualquer momento. Tomei conhecimento que os meus dados não serão fornecidos a outras entidades, conforme definido na política de privacidade deste site.
  • Este campo é para efeitos de validação e deve ser mantido inalterado.