8 novas regras de proteção de dados que deve conhecer e aplicar

O Regulamento Geral de Proteção de Dados (RGPD) consagra direitos que, apesar de já estarem definidos na legislação que se encontrava em vigor desde 1995, não eram, digamos assim, efetivados. Referimo-nos, sobretudo, ao direito à alteração do consentimento e ao direito ao esquecimento.

A nova legislação visa, no fundo, garantir que é possível aos titulares controlar os seus dados pessoais e a informação que partilham. Esta é a razão pela qual tem recebido tantos e-mails e SMS nos últimos tempos. As empresas/organizações, se não tinham estes consentimentos, precisam de garantir que estão a utilizar os seus dados com o seu consentimento devido, razão pela qual estão a pedir que confirme a sua intenção de continuar a fazer parte das suas bases de dados.

Se não o fizer, com as novas regras, as empresas serão obrigadas a deixar de lhe enviar qualquer tipo de informação. A este respeito, importa, antes de mais, esclarecer.

O que se entende por dados pessoais?

O RGPD entende que dados pessoais são todas as informações relativas a uma pessoa singular identificada ou identificável (titular dos dados). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo:

• Nome;
• Morada;
• Número de identificação (Cartão de Cidadão, NIF, entre outros);
• Dados de localização;
• Endereço de IP;
• Dados financeiros;
• Dados de comportamento em páginas web;
• Quaisquer identificadores por via eletrónica de um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

E os dados sensíveis?

São dados pessoais que estão sujeitos a condições de tratamento específicas. Entre eles:

• Dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
• Filiação sindical;
• Dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;
• Dados relacionados com a saúde;
• Dados relativos à vida sexual ou orientação sexual da pessoa.

Proteção de dados: regras fundamentais a respeitar

O tipo e a quantidade de dados pessoais que uma empresa pode tratar dependem do motivo pelo qual estão a efetuar o tratamento e da finalidade do mesmo. Assim sendo, a empresa deve respeitar várias regras fundamentais, nomeadamente:

1. Os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados.

2. Devem existir finalidades específicas para o tratamento dos dados e a empresa deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais.

3. Uma empresa não pode simplesmente recolher dados pessoais para fins indefinidos.

4. A empresa deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade.

5. A empresa deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique.

6. A empresa não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha.

7. A empresa deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos.

8. A empresa deve instalar garantias técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas.

Procedimentos para a conformidade

Um dos pontos transversais ao RGPD prende-se com o facto das empresas terem de manter documentação que prove, em caso de fiscalização ou auditoria, que todos os consentimentos necessários foram recolhidos e que está, de facto, em conformidade com a lei.

Tem de se manter documentação de todas as atividades de processamento de dados, nomeadamente o propósito do processamento, as categorias dos assuntos e dados pessoais envolvidos, as categorias dos destinatários, as salvaguardas em todas as transferências de dados, e se possível, limites temporais para apagar.

Também é necessário manter uma descrição técnica das medidas de segurança na organização. Estes registos deverão ser mantidos em suporte de papel ou eletrónico, e disponíveis para auditoria e revisão pela autoridade de supervisão sempre que solicitado.

Além desta recolha de consentimentos, é fundamental que o regulamento interno demonstre cabalmente a um potencial auditor que a empresa se ajustou ao RGPD e que adotou novas políticas com vista à proteção de dados pessoais.

Consentimentos

A este propósito, as empresas devem:

a) Avaliar se os dados já recolhidos, e que estão registados na base de dados, foram recolhidos com o consentimento necessário. Se não, os consentimentos devem ser novamente recolhidos para poderem continuar a comunicar com os seus clientes;

b) Assegurar que as plataforma que estão a ser utilizadas permitem uma gestão de consentimentos. É importante que o utilizador possa gerir os seus consentimentos ou mesmo apagar a sua conta, na sua área de cliente, a qualquer momento;

c) Assegurar que os consentimentos são recolhidos de forma granular. Recorde-se, os consentimentos não podem ser remetidos para os termos e condições da plataforma, pois não servirá como prova de recolha de consentimento se o utilizador não fizer o opt-in;

d) Privilegiar os consentimentos obtidos através de double opt-in. Isto é, além dos consentimentos não poderem estar “previamente clicados”, recomenda-se que as empresas devem obtenham um consentimento duplo. Em termos práticos, traduz-se em enviar um e-mail ao titular dos dados a confirmar que consente, de facto, com essas comunicações. Isto aplica-se, por exemplo, nos casos de registo na newsletter ou de registo no site, onde o cliente receberá um e-mail para confirmar que foi ele que, de facto, fez esse registo.

Cookies

Até à entrada em vigor do RGPD, as cookies eram tratadas com um simples alerta, de aceitação ou não aceitação da política de cookies – para se poder continuar a navegar num determinado site.

Embora as cookies não sejam consideradas, diretamente, dados pessoais, existem formas de cruzamento de informação que podem levar à identificação de um cidadão. Por esta razão, o RGPD encara as cookies como dados pessoais, mesmo que apenas identifiquem um cidadão indiretamente.

Neste contexto, e tendo em vista a conformidade, as empresas devem:

• Fazer uma gestão de cookies que permita a possibilidade do utilizador aceitar ou recusar, parcial ou totalmente, as cookies. Cada tipo de cookie deve ser explicada ao utilizador de forma clara e sucinta;
• Nunca recusar acesso ao utilizador mesmo que este recuse todas as cookies;
• Enquanto o utilizador não tomar qualquer ação sobre as cookies, o site não deve gravar nenhuma cookie no seu browser, sendo que é aconselhável que o alerta permaneça visível até que o utilizador tome alguma ação.

Base de dados

A principal preocupação que as empresas devem ter com as suas bases de dados de clientes prende-se com a recolha de consentimentos. De acordo com o RGPD:

• As bases de dados devem ser recolhidas pela empresas em conformidade com as regras do novo Regulamento;
• É aconselhável a encriptação das bases de dados, de forma a evitar ataques informáticos e/ou eventuais fugas de informação. Em caso de fuga ou roubo, as empresas terão de alertar num prazo de 72 horas as autoridades reguladoras e, em alguns casos, os próprios titulares dos dados.