RGPD e as PME: ‘A minha empresa está preparada?’

24 Abril, 2018
24 Abril, 2018 admin

O RGPD tem levantado a questão: ‘A minha empresa está preparada para o dia 25 de Maio de 2018?’. Esta é a dúvida que a maioria das pequenas e médias empresas em Portugal (PME), assim como todos os negócios que vivem online, está a colocar neste momento. A entrada em vigor do Regulamento Geral de Proteção de Dados tem sido um temas quentes da Internet em 2018. A digitalgreen pediu ao consultor Nuno Saldanha para escrever sobre o RGPD para as PME. Leia o texto do autor abaixo.

RGPD e as PME - A minha empresa está preparada

O dia 25 de Maio está quase a chegar e com ele vem a aplicabilidade do Regulamento Geral de Proteção de Dados (RGPD). Tendo tido dois anos para se preparem, as empresas em Portugal, e porque não dizer também em toda a Europa questionam-se:

Agora é que é?

Agora vamos ficar sujeitos a todas as coimas de que se fala?

Deverei abrir a porta da empresa nesse dia ou desisto já?

 

RGPD: o novo Regulamento de Proteção de Dados

O RGPD trata realmente de um conjunto de assuntos muito importantes nesta economia digital, onde os dados pessoais têm uma verdadeira importância nas atividades desenvolvidas por todas as empresas, sejam elas pequenas, médias ou grandes.

Na temática da proteção de dados, a grande distinção deverá ser em empresas que tratam uma grande quantidade de dados pessoais ou uma quantidade menor de dados pessoais. No entanto, todas elas [as empresas] tratam dados pessoais, sejam eles dos seus colaboradores, dos seus clientes ou dos seus fornecedores.

RGPD e as PME - A minha empresa está preparada digitalgreen

O caso das PME’s

As PME’s, que são no fundo o grosso do empresariado português, devem levar esta questão muito a sério. Isto porque da sua resposta pode originar a obrigatoriedade de contratação, em regime de contrato de trabalho ou de prestação de serviços, de um encarregado de tratamento dados, com todos os custos inerentes.

E dessa resposta pode resultar igualmente a necessidade de proceder ao registo do tratamento de dados que eventualmente desenvolva na sua atividade, com a consequente alteração de processos que essa atividade acarreta nomeadamente a nível informático.

Pode também ter a necessidade de proceder a um conjunto de alterações internas para fazer face à obrigatoriedade de responder às diversas solicitações, por parte dos titulares de direito no exercício de todos os seus direitos consagrados, agora de forma mais evidente neste regulamento.

Não se esqueça de se preparar

As empresas, assim como todas as organizações, publicas ou privadas, têm de se preparar para a conformidade. E têm de se preparar para incorrer num conjunto de custos que, mais cedo ou mais tarde teriam de fazer, independentemente deste regulamento.

Estamos a falar na necessidade de terem um relacionamento bastante mais saudável com os titulares de direitos, considerá-los verdadeiros parceiros da sua atividade, trazê-los para a sua organização, mostrar como são importantes e, para isso, tratar dos seus dados de forma muito atenta, muito interessada. E essa relação, essa proteção dos dados pessoais implicará um investimento.

Pode ser em meios humanos ou em tecnologias. Certamente em ambos. Mas é sem dúvida um investimento que os empreendedores farão no futuro da sua empresa.

 

Informação partilhada por Nuno Saldanha,  advogado e autor do livro “Novo Regulamento Geral de Proteção de Dados – O que é? A quem se aplica? Como implementar?” editado pela FCA – Editora de Informática, em 2018. A digitalgreen acrescenta alguns pontos essenciais para os nossos (potenciais) clientes abaixo.

O que é o RGPD?

O novo regulamento obriga a informar acerca da base legal para o tratamento de dados, prazo de conservação dos mesmos e transferência dos mesmos.

Trata-se de um diploma Europeu (Regulamento UE 2016/679 de 27 de Abril) que estabelece as regras referentes à proteção, tratamento e livre circulação de dados pessoais das pessoas singulares em todos os países membros da UE. Neste sentido, todas as pequenas e médias empresas, por exemplo, com presença online, devem rever as suas políticas de privacidade . Porquê? De forma a garantir que prestam toda a informação aos titulares dos dados.

Se não cumprir as normas, quais são as coimas?

  1. Casos menos graves: a coima pode chegar aos 10 milhões de Euros ou a 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
  2. Casos mais graves: a coima pode atingir os 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

Porém, o Estado Português desenhou valores mínimos das coimas, com valores específicos para o tecido empresarial português:

Nas contraordenações graves
  • 1000€ para PME;
  • 2500€ para grandes empresas;
  • 500€ para pessoas singulares.
Nas contraordenações muito graves
  • 2000€ para PME;
  • 5000€ para grandes empresas;
  • 1000€ para pessoas singulares.
Quais são os aspetos a considerar?
  • Informação aos titulares dos dados.
  • Exercício dos direitos dos titulares dos dados.
  • Consentimento dos titulares dos dados.
  • Natureza dos dados.
  • Documentação e registo dos dados.
  • Serviços de subcontratação.
  • Profissional dos dados (Data Protection Officer). Qual será o seu perfil? A APDPO (Associação Portuguesa de Data Protection Officers) já está a trabalhar no perfil do profissional, juntamente com o organismo público responsável pelo “Catálogo das Qualificações” com o objetivo de apoiar as empresas na contratação destes recursos humanos.
  • Processos de segurança e tratamento de dados.
  • Proteção de dados na origem.
  • Notificação de violações de segurança à autoridade de controlo.
Objetivos
  1. Reforçar a Proteção de Dados.
  2. Criar as directrizes para um mercado digital único.
  3. Ajustar a legislação existente nos Estados-Membros da União Europeia. Aplicável a todas as organização em território da UE e àquelas que, estando localizadas fora da UE, tratem dados de titulares aí residentes, desde que comercializem os seus produtos/serviços.
Direitos pessoais protegidos
  1. Direito a ser esquecido (quem controla os dados deve removê-los dos sistemas);
  2. Direito a transferir os dados para outra entidade (portabilidade dos dados);
  3. Direito a opor-se ao processamento de dados;
  4. Direito de não sujeição a decisões automatizadas;
  5. Direito ao conhecimento da existência de falhas graves;
  6. Direito de pedir para adicionar ou corrigir os dados.
  7. Entre outros.
Novas responsabilidades das empresas
  1. Esclarecer e proporcionar formação aos funcionários acerca das normas do RGPD;
  2. Avaliar a necessidade de elaboração de um Privacy Impact Assessement (PIA). Ou seja, um documento que avalia o impacto no tratamento dos dados pessoais.
  3. Mapeamento e categorização dos dados pessoais recolhidos e tratados;
  4. Transparência das políticas de privacidade e consentimento expresso;
  5. Obrigatoriedade de ter um encarregado de proteção de dados;
  6. Reforço de políticas e procedimentos de segurança de dados pessoais; e
  7. Procedimentos em caso de violação de dados (notificação até 72 horas às autoridades e aos titulares).

Quais são as implicações para os Marketers?

Respeitar os termos do RGPD significa compromisso com o consumidor. As experiências digitais devem ser personalizadas e próximas. A transparência exigida pelo novo regulamento defende os direitos dos consumidores e privilegia a confiança entre empresas e clientes.

As 5 questões

Os profissionais do marketing devem colocar 5 questões sempre que recolhem dados:

  1. Porquê?
  2. Para quê?
  3. Como?
  4. Quando?
  5. Onde?

A partir daqui, temos os pontos essenciais para que os dados pessoais sejam respeitados pelas empresas.  De que forma se traduz na prática?

Consentimento

A definição segundo o RGPD é “any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.

Por exemplo, no caso dos formulários em websites:

  1. Botão de submissão dos dados;
  2. Email de confirmação/ consentimento.
  3. Explicação de como os dados serão utilizados (ou seja, qual o fim?).
  4. Campo de consentimento (colocar um visto, por exemplo).

Como proceder na atualização dos dados?

  1. Deve ser fácil ao utilizador alterar ou atualizar os seus dados.
  2. Assim como pedir para retirar os dados de uma base de dados.

Fundamental: crie uma landing page exclusiva para a política de privacidade ou declaração de utilização de dados, para onde todas as formas online de reunião de dados deve encaminhar. Ver artigos 13 e 14 do RGPD. Deve ser facultada aos utilizados a seguinte informação, nos termos do artigo 13º:

  • A identidade e os contactos do responsável pelo tratamento;
  • Os contactos do encarregado da protecção de dados, se for caso disso;
  • As finalidades do tratamento a que os dados pessoais se destinam;
  • O direito de apresentar reclamação à autoridade de controlo e de obter os contactos dessa autoridade;
  • A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que dizem respeito ao titular, bem como a sua retificação ou o seu apagamento e a limitação do tratamento.
Transparência ou responsabilidade com ética
  1. Quem tem acesso aos dados?
  2. Caminho e rasto das alterações aos dados (quem as fez e quando?)

A transparência é sustentada por: permissões, auditorias e rastos, e encriptação de dados.

, , , , , , , , , , , ,