RGPD

O que é o RGPD?

O RGPD (Regulamento Geral de Proteção de Dados) ou GDPR (General Data Protection Regulation) especifica as funções, processos e tecnologias que as organizações devem adoptar, para garantir que os dados pessoais dos residentes da UE estão seguros, acessíveis, utilizados de forma adequada e com o seu consentimento.

Qual é o objetivo do GDPR?

O objectivo do GDPR é o de proteger todos os cidadãos da UE de violações da privacidade de dados, num mundo cada vez mais orientado para dados e, portanto, muito diferente dos tempos em que a directiva de 1995 foi estabelecida.

Embora os princípios fundamentais da privacidade de dados se mantenham válidos para a diretiva anterior, foram propostas muitas alterações às políticas regulamentares.

Saiba como podemos ajudar a sua organização a cumprir com o RGPD

A quem se aplica o RGPD?

Qualquer empresa ou entidade, que recolha dados pessoais de cidadãos europeus.

Se a sua empresa for uma pequena ou média empresa (PME) que efetua o tratamento de dados pessoais, tem de cumprir o RGPD. No entanto, se o tratamento de dados pessoais não for uma parte principal do seu negócio e a sua atividade não criar riscos para as pessoas, então algumas obrigações do RGPD não se aplicam a si (por exemplo, a nomeação de um encarregado da proteção de dados (EPD ou DPO em inglês).

Alcance Territorial Aumentado (aplicabilidade extra-territorial)

Provavelmente a maior mudança no cenário regulamentar da privacidade de dados: a jurisdição alargada do GDPR, já que que se aplica a todas as empresas que processam os dados pessoais das pessoas que residem na União, independentemente da localização da empresa.

O GPDR torna sua aplicabilidade muito clara: processamento de dados pessoais por controladores e processadores na UE, independentemente de o processamento ter lugar na UE ou não. O GDPR também se aplicará ao processamento de dados pessoais de pessoas em questão na UE por um controlador ou processador não estabelecido na UE, onde as atividades se relacionam com: oferta de bens ou serviços aos cidadãos da UE (independentemente de o pagamento ser ou não exigido) e o acompanhamento do comportamento que ocorre na UE.

As empresas não-UE que processam os dados dos cidadãos da UE também terão de nomear um representante na UE.

Penalidades

As organizações que violarem o GDPR, poderão ser multadas até 4% do volume de negócios global anual ou até 20 milhões de euros (o que for maior). Esta é a multa máxima que pode ser imposta pelas infrações mais graves, por exemplo, sem ter consentimento suficiente do cliente para processar dados ou violar o núcleo de Privacidade por conceitos de design.

Existe uma abordagem em camadas para multas, por exemplo, uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), não notificando a autoridade de supervisão e a pessoa em questão sobre uma violação ou não realização de avaliação de impacto. É importante notar que essas regras se aplicam tanto a controladores quanto a processadores – o que significa que a “clouds” não estarão isentas da execução do GDPR.

Consentimento

As condições de consentimento foram reforçadas e as empresas não poderão mais usar termos e condições longas ilegais, uma vez que o pedido de consentimento deve ser claro e distinguível de outros assuntos e fornecido de forma inteligível e facilmente acessível, usando linguagem clara e simples. Deve ser tão fácil retirar o consentimento, como concede-lo.

Notificação de violação

Com o GDPR, a notificação de violação tornará-se obrigatória em todos os Estados membros onde uma violação de dados é susceptível de “resultar em um risco para os direitos e liberdades de indivíduos”.

Isso deve ser feito no prazo de 72 horas após ter tomado conhecimento da violação. Os processadores de dados também serão obrigados a notificar os seus clientes, os controladores, “sem atraso indevido” depois de terem tomado conhecimento de uma violação de dados.