Os erros frequentes que deve evitar com a aplicação do novo Regulamento Geral de Proteção de Dados (RGPD) envolvem quase sempre a adaptação dos departamentos de recursos humanos e de marketing às novas regras europeias.
Mesmo que a sua empresa não faça tratamento de dados pessoais sensíveis em larga escala – por exemplo, não pertença ao setor da saúde, estudos de mercado ou seguros -, os departamentos ou tarefas associadas à gestão de recursos humanos, vendas e marketing são os que mais dados pessoais gerem e é aqui que deve ter cuidados redobrados, independentemente de qual seja a sua área de negócio.
O RGPD teve a sua aplicação direta na União Europeia em maio de 2018 e o objetivo é dar maior segurança e privacidade aos cidadãos europeus no que diz respeito aos seus dados pessoais e ao que as empresas e organizações podem fazer com eles.
Entre bases de dados de clientes, de colaboradores e fornecedores, é provável que a sua empresa ou organização, grande ou pequena, esteja a utilizar e a manipular algum tipo de dados pessoais. E isso basta para que o RGPD lhe diga respeito e para que o tenha de aplicar.
RGPD: 3 erros frequentes que deve evitar
Recursos humanos: não ter cuidado com os currículos
O RGPD introduz algumas mudanças na contratação e gestão de recursos humanos. Receber currículos com candidaturas para emprego ou como resposta a um anúncio que colocou para encontrar um novo colaborador deverá passar a ser sempre feito através do seu departamento de Recursos Humanos ou, se não tiver um, por uma pessoa que fique responsável por gerir esses currículos.
Isto porque os CV deverão circular pelo menor número de pessoas e departamentos possíveis. Assim será mais fácil controlar quem teve acesso aos dados que um currículo e se houve utilizações do mesmo para outros efeitos. O objetivo é evitar fugas de informação sobre os dados pessoais do dono desse CV.
Uma vez recebido um currículo, em formato eletrónico ou impresso, este deverá ser destruído se o candidato não for selecionado. Os currículos apenas podem ser mantidos durante o processo de selecção. Se tiver recebido um currículo com candidatura espontânea poderá conservá-lo por mais tempo, desde que para isso informe o interessado e lhe explique porque o vai guardar. Caso o titular não autorize, deverá igualmente destrui-lo.
No caso de informações sobre os seus empregados ou colaboradores, tem todo o direito de manter os seus dados atualizados para os fins necessários à manutenção do seu vinculo laboral. Para qualquer outra utilidade que lhes pretenda dar, deverá sempre pedir autorização para o fazer.
Aquando da criação do contrato de trabalho e da relação laboral, poderá pedir essa autorização para fins fora dos da manutenção do vinculo laboral. Ao assinar o contrato, o titular estará assim a dar a sua autorização também para esse uso.
Vendas: não ter cuidado ao gerir listas de contactos
Nunca compre listas de contactos. São contactos que podem não ter qualquer relação comercial com a sua empresa e que de certeza não autorizaram que os utilize para enviar campanhas ou promoções.
Utilize apenas os contactos que lhe chegaram de forma legal, ou por subscrição dos seus serviços e compra dos seus produtos, ou por preenchimento de algum formulário. É essa a sua base de contactos qualificada para fazer promoções de marketing ou contactos de vendas.
Mas mesmo assim, verifique se essa base de contactos é qualificada como “opt-in”. Esta expressão quer dizer que todas as pessoas incluídas nessa base de contactos autorizaram o recebimento de e-mails, newsletters, promoções da sua empresa ou outro tratamento que queira fazer com os seus dados. Caso alguns não tenham dado o consentimento terá de os contactar de novo.
O ideal é tentar automatizar o acesso dos clientes aos próprios dados para que este os possa apagar ou atualizar caso queira manter a relação com a sua empresa. Exige um pouco mais de investimento técnico e informático, mas de futuro vai facilitar a gestão da sua base de contactos “opt-in”, especialmente se a sua empresa crescer ou já tiver uma grande dimensão.
Armazenamento dos dados: não condicionar o acesso
Para o armazenamento dos dados pessoais que está autorizado a tratar, quer seja num dispositivo fixo ou em suportes móveis como CD, DVD, USD ou disco, o RGPD aconselha a que as informações sejam sempre encriptadas. No computador, as pastas deverão ser protegidas e etiquetadas para identificação, e o mesmo deverá ser feito nos suportes externos.
A encriptação garante que, quer as pastas no computador quer os dispositivos de armazenamento externo, têm bloqueio e acesso restrito através de password e esta só deverá ser do conhecimento do pessoal autorizado. Os suportes externos, para além do acesso digital condicionado, deverão ainda ficar guardados em gabinetes ou arrumos trancados, acessíveis apenas às pessoas autorizadas.
Boas práticas para a manipulação dos dados
Encriptar sempre os e-mails
Sempre que enviar algum e-mail com dados pessoais, seus, de clientes e colaboradores, encripte a mensagem e coloque uma assinatura digital. Enviar e receber/visualizar mensagens de e-mail encriptadas obriga a que quem envia e quem recebe partilhe as respetivas identificações digitais.
A encriptação garante que quem abre tem de ter uma password de acesso e as assinaturas digitais garantem que o e-mail não foi alterado no percurso. Saiba mais sobre softwares de encriptação junto do seu fornecedor de Internet e nas recomendações que os softwares originais de comunicação fornecem nos seus sites oficiais.
Não deixar o ecrã ligado
Adote uma política de bloqueio de sessão após curtos períodos de tempo para que, se estiver a trabalhar sobre dados pessoais no seu dia-a-dia, não se esqueça do computador ativo. Isso é particularmente importante se estiver a trabalhar num local onde facilmente outros possam aceder à sua sessão, no trabalho ou em casa.
Não deixar documentos confidenciais à vista
Se estiver a lidar com documentos impressos que apresentem informação confidencial, não os esqueça em cima da secretária, na impressora ou no scanner. Tal como os ficheiros digitais, devem ser guardados e armazenados em sítios de acesso restrito.
Sensibilizar os seus trabalhadores para o RGPD
Muitas das tarefas e cuidados a que o novo Regulamento obriga, exigem a reformulação de hábitos de trabalho há muito instalados. Nem para todos será óbvia a preocupação com as questões de privacidade e segurança dos dados pessoais dos clientes e internos.
Faça ações de sensibilização ou mesmo formação interna para que todos estejam a trabalhar na mesma direção. No novo enquadramento digital, a sobrevivência da sua empresa pode depender da confiança que ela oferece nesta matéria.