Tabela de Conteúdos
O que é o GDPR?
Por esta altura já todos devem ter ouvido o termo GDPR. Até 25 de Maio de 2018, as directrizes relativas à informação pessoal, em relação à privacidade, eram um pouco tímidas. A Directiva de Protecção de Dados (1995) forneceu algumas directrizes básicas, mas simplesmente não era suficientemente boa.
Sempre nos interessámos muito pela GDPR, uma vez que muitas das VPNs que analisámos tiveram de fazer mudanças sérias na forma como funcionam, incluindo alguns dos principais intervenientes como a Avast e a NordVPN.
A monitorização e partilha de informação está agora coberta pelo Regulamento Geral de Protecção de Dados (GDPR). Isto visa assegurar que a informação seja tratada de forma responsável, por qualquer empresa que lide com informação pessoal e privacidade.
Segundo a ICO, existem 7 princípios-chave que a GDPR estabelece. Estes são:
- Licitude, equidade e transparência
- Limitação do objectivo
- Minimização de dados
- Precisão
- Limitação de armazenamento
- Integridade e confidencialidade (segurança)
- Prestação de contas
Os princípios delineados não são regras enquanto tal, mas mais ainda um esboço dos fundamentos que devem ser seguidos ao criar boas práticas de protecção de dados. Se indivíduos ou empresas não cumprirem os princípios, poderão ser multados até 20 milhões de euros, ou 4% do seu volume de negócios anual total a nível mundial (o que for mais elevado).
O que era antes da GDPR?
A GDPR é aplicada em toda a Europa, tendo cada país o seu próprio controlo sobre certos aspectos do regulamento. O Reino Unido implementou a Lei de Protecção de Dados (2018) que substitui a Lei de Protecção de Dados de 1998.
O novo acto foi aprovado na Câmara dos Comuns e na Câmara dos Lordes pouco antes da entrada em vigor da GDPR.
Impacto nas empresas
Quer seja um indivíduo, uma organização ou uma empresa, pode ser marcado como “controlador” ou “processador” de dados pessoais. O Information Commissioners Officer (ICO) descreve exactamente qual é a diferença entre os controladores e os processadores.
As empresas que controlam ou obtêm informações pessoais em larga escala devem empregar um encarregado da protecção de dados (RPD). O papel do funcionário deve assegurar que a empresa em questão cumpre a GDPR. Quaisquer perguntas ou dúvidas relativas à protecção de dados devem ser-lhes dirigidas.
A GDPR aplica-se a empresas que processam dados pessoais de cidadãos da UE. Este é o caso mesmo com empresas que empregam menos de 250 empregados. Como anteriormente mencionado, qualquer violação que possa afectar os direitos das pessoas em causa deve ser comunicada ao Gabinete do Comissário da Informação (ICO).
Se possível, uma violação deve ser registada e comunicada num período de 24 horas, ou 72 horas, no máximo. Os pormenores da violação e a forma como esta será contida e resolvida devem ser apresentados ao OIC.
A GDPR dará aos indivíduos o controlo sobre a forma como as empresas utilizam os seus dados. Isto também se aplica às empresas que já têm os seus dados. Por exemplo, os indivíduos terão o “direito a serem esquecidos”. Assim, se for cliente e já não quiser que um negócio retenha os seus dados pessoais, tem o direito legal de retractar os seus dados.
Lista de verificação útil para pequenas empresas
A GDPR é sem dúvida confusa, e compreensivelmente bastante stressante! Pensei que seria pertinente elaborar uma lista de verificação para as pequenas empresas britânicas, para que saibam o que esperar, e o que se espera de si.
A lista de verificação da GDPR da sua pequena empresa deve considerar empregados, fornecedores e clientes passados e presentes. Deve também considerar os dados de qualquer pessoa que esteja a processar, recolher, armazenar, ou gravar, e a utilizar por qualquer meio.
1| Compreenda os seus dados
Terá de compreender e demonstrar a sua compreensão dos tipos de dados pessoais que possui e/ou da sua empresa. Por exemplo, nomes, endereços, endereços IP, dados bancários, etc. Isto também inclui dados sensíveis como pontos de vista religiosos e detalhes de saúde. Terá de demonstrar que compreende de onde vêm e como irá utilizar esses dados.
2| Pense no consentimento
O seu negócio requer consentimento para processar dados pessoais? Algumas técnicas de marketing requerem consentimento, o que torna as coisas muito mais difíceis sob a GDPR. O consentimento deve ser extremamente claro e específico, portanto, a menos que saiba a 100% o que está a fazer, pode valer a pena evitar a necessidade de confiar no consentimento, a menos que seja crucial para o seu modelo de negócio.
3| Considerar medidas de segurança
As suas medidas e políticas de segurança que estão em vigor devem ser actualizadas para serem compatíveis com o GDPR. Além disso, se ainda não tem nenhum no lugar, deve apanhá-los muito rapidamente! Embora haja exigências mais específicas em relação à segurança, como uma ampla precaução, poderia utilizar a encriptação.
4| Direitos de acesso ao assunto
Os indivíduos têm o direito de aceder aos seus dados pessoais. Terá de garantir que o seu negócio está pronto para fornecer esta informação num curto espaço de tempo, se necessário. Os indivíduos podem desejar obter os seus dados pessoais a fim de rectificar quaisquer problemas, simplesmente para os ter, ou podem desejar apagá-los completamente. Todos os pedidos têm um prazo de um mês.
5| Formar empregados
Os empregados da sua empresa devem ser formados em dados pessoais. Terão de compreender o que constitui dados pessoais, bem como os processos para identificar quaisquer violações de dados. Os funcionários devem saber quem é o seu encarregado da protecção de dados (RPD), e qualquer equipa ou indivíduo relacionado ou responsável pelo cumprimento da protecção de dados.
6| Cadeia de abastecimento
Todos os fornecedores e empreiteiros dentro da sua empresa precisam de estar em conformidade com a GDPR. Isto é para assegurar que não vão causar quaisquer infracções e passar-lhe quaisquer sanções ou multas. Terá de se certificar de que os seus contratos com os seus fornecedores também são actualizados, por isso assegure-se de obter uma cópia dos mesmos.
7| Processamento justo
Como parte da GDPR, deve agora ser capaz de explicar aos indivíduos aquilo para que está a utilizar os seus dados pessoais. Esta não deve ser uma tarefa difícil nem uma preocupação se estiver a utilizar os seus dados de forma justa e correcta.
8| Responsável pela protecção de dados
É tempo de decidir se precisa ou não de empregar um RPD. É provável que as pequenas empresas estejam isentas, mas as empresas maiores não o podem fazer. Vale a pena verificar se não está a infringir nenhuma regra do GDPR.
Definindo o consentimento
Como indivíduo, pode estar familiarizado com caixas pré-colocadas ao inscrever-se em contas online, comprar produtos, inscrever-se em boletins informativos, etc. Estas caixas eram frequentemente pré-adesivas e de certa forma escondidas, dando às empresas acesso aos seus dados pessoais. Agora, desapareceram os dias de ser bombardeados por e-mails de marketing indesejados e chamadas telefónicas aleatórias.
O consentimento foi redefinido de acordo com as novas regras do GDPR. Passaram os dias de pequenas impressões e mensagens escondidas em que as pessoas ‘acidentalmente’ ou involuntariamente se inscrevem em mensagens de marketing, textos, etc. As políticas devem ser agora muito claras e ser apresentadas de tal forma.
As regras em torno dos dados pessoais pré-existentes são um pouco diferentes. Pode não necessitar de consentimento para tal, mas deve haver uma base legal que esteja em conformidade com a Lei de Protecção de Dados (DPA). O principal aqui é lembrar que estas legislações se aplicam às empresas e aos consumidores!
Direito de Acesso
O direito de acesso (ou acesso de sujeito) permite a um indivíduo o direito de obter os seus próprios dados pessoais. O direito de acesso dá aos indivíduos a capacidade de compreender como os seus dados estão a ser utilizados e porque é que os seus dados estão a ser utilizados de tal forma. Isto assegura que os seus dados estão a ser utilizados de uma forma legal.
Os indivíduos têm o direito de obter certas informações das empresas, o que inclui:
- uma cópia dos dados pessoais de um indivíduo
- confirmação de que os dados pessoais de um indivíduo estão a ser processados
- informação suplementar (corresponde principalmente à informação fornecida numa nota de privacidade)
Um indivíduo, como sabemos, tem direito aos seus próprios dados pessoais. No entanto, não têm direito a informações sobre outras pessoas. Por outro lado, se a informação que estão a tentar obter é sobre eles, bem como sobre outra pessoa, isto é aceitável.
Como indivíduo, recomenda-se que verifique se a informação que está a pedir é definida como dados pessoais ou não. Pode verificar o que é classificado como dados pessoais (para ter a certeza) aqui.
Sou um Controlador de Dados ou Processador de Dados?
A GDPR aplica-se aos controladores e processadores de dados, mas o que é que isto significa realmente? Os processadores de dados referem-se a operações realizadas sobre dados, portanto, quando os dados são armazenados, recolhidos, registados, partilhados, etc. Os controladores de dados são também processadores de dados, sendo a diferença que decidem qual a finalidade ou razão para o processamento de actividades de dados.
Processadores de dados
Como processador de dados, existem obrigações legais que a GDPR lhe exige que faça:
- Manter e manter registos actualizados de dados pessoais. Isto inclui o esboço dos detalhes das actividades de processamento e das categorias de sujeitos de dados. As categorias referem-se a clientes, empregados, fornecedores e aos tipos de processamento – transferência, recepção, divulgação, etc.
- Guardar e manter os detalhes da transferência para países que estão fora do Espaço Económico Europeu (EEE)
- Implementar e manter medidas de segurança apropriadas, por exemplo, encriptação
Se um processador de dados for responsável por uma violação de dados, terá muito mais responsabilidade legal em comparação com a DPA. Os indivíduos podem fazer uma reclamação directa contra o processador de dados, por isso é imperativo que compreenda as suas responsabilidades como tal.
Controladores de dados
Como controlador de dados, também é, por natureza, um processador de dados. Aplicam-se portanto os mesmos requisitos do PIBR. No entanto, as obrigações da GDPR são impostas a si e à sua empresa para assegurar que os contratos com os processadores são cumpridos e as normas são cumpridas.