Viviane Soares
Viviane Soares
06 Set, 2018 - 11:00

RGPD: minutas essenciais para a sua empresa

Viviane Soares

Seja para uma PME ou para uma grande empresa, o RGPD estabelece um conjunto de regras que devem ser respeitadas. Fique a par de alguns procedimentos.

RGPD: minutas essenciais para a sua empresa

Desde que o Regulamento Geral de Proteção de Dados (RGPD) passou a ser aplicável – a 25 de maio de 2018 -, qualquer empresa com sede da União Europeia (UE) ou fora dela que, no contexto das atividades que exerce (mesmo que de forma gratuita), trate de dados pessoais de cidadãos residentes no espaço europeu, ficou obrigada a prestar contas sobre todas as ações que envolvem esse tratamento e sobre as políticas de privacidade dadas às pessoas que os forneceram.

Para tal, e tendo em vista a conformidade com a nova moldura legal, as empresas começaram a contactar os seus clientes no sentido de recolherem os consentimentos necessários para proceder ao tratamento desses dados, conforme as regras estabelecidas pelo novo Regulamento europeu. Mas que regras são essas?

Dados pessoais: regras fundamentais a respeitar

RGPD: 2 minutas essenciais para a sua empresa

O tipo e a quantidade de dados pessoais que uma empresa pode tratar dependem do motivo pelo qual estão a efetuar o tratamento e da finalidade do mesmo. Assim sendo, a empresa deve respeitar várias regras fundamentais, nomeadamente:

1. Os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados.

2. Devem existir finalidades específicas para o tratamento dos dados e a empresa deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais.

3. Uma empresa não pode simplesmente recolher dados pessoais para fins indefinidos.

4. A empresa deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade.

5. A empresa deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique.

6. A empresa não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha.

7. A empresa deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos.

8. A empresa deve instalar garantias técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas.

As regras são aplicáveis às PME?

De acordo com o RGPD, a aplicação das regras relativas à proteção de dados depende, não só da dimensão da empresa/organização, mas também da natureza das suas atividades. Atividades que representem um elevado risco para os direitos e as liberdades das pessoas, quer sejam levadas a cabo por uma PME ou por uma grande empresa, exigem a aplicação de regras mais rigorosas. No entanto, algumas das obrigações do RGPD podem não ser aplicáveis a todas as PME.

Por exemplo, as empresas com menos de 250 trabalhadores não têm de manter registos das suas atividades de tratamento, a menos que efetuem o tratamento de dados pessoais como uma atividade regular, representem uma ameaça aos direitos e às liberdades das pessoas ou digam respeito a dados sensíveis ou registos criminais.

Do mesmo modo, as PME apenas terão de nomear um Encarregado da Proteção de Dados se o tratamento for o seu principal negócio e constituir uma ameaça específica aos direitos e liberdades das pessoas (como o controlo de pessoas ou o tratamento de dados sensíveis ou registos criminais), sobretudo por ser efetuado em grande escala.

Quais as informações que têm de ser dadas aos titulares dos dados?

RGPD: 2 minutas essenciais para a sua empresa

No momento da recolha dos dados, os cidadãos titulares dos dados devem ser informados, pelo menos, do seguinte:

  • Quem é a sua empresa/organização (os seus contactos e os do EPD, se existir);
  • Porque é que a sua empresa/organização irá utilizar os seus dados pessoais (finalidades);
  • As categorias de dados pessoais em causa;
  • A justificação jurídica para o tratamento dos seus dados;
  • Durante quanto tempo serão conservados os dados;
  • Quem mais poderá receber os dados;
  • Se os dados pessoais serão transferidos para um destinatário fora da UE;
  • Que a pessoa tem o direito a obter uma cópia dos dados (direito de acesso aos dados pessoais), bem como outros direitos básicos no domínio da proteção de dados;
  • Que a pessoa tem o direito de apresentar uma reclamação a uma autoridade de proteção de dados (APD);
  • Que a pessoa tem o direito de retirar o seu consentimento em qualquer altura;
  • Se aplicável, a existência de decisões automatizadas e a lógica envolvida, incluindo as suas consequências.

Minutas/ Exemplos de documentos

1. Políticas de privacidade

Uma Política de Privacidade é um documento que deve constar, por exemplo, no site de uma empresa. Tem por objetivo informar de forma transparente, leal e clara os utilizadores desse mesmo site sobre os dados que são recolhidos, para que são utilizados, com quem os dados serão partilhados (se aplicável) e como o utilizador pode impor os seus direitos.

Exemplo:

Como é do conhecimento público, o novo Regulamento Geral de Proteção de Dados é aplicável desde 25 de maio em todos os Estados-Membros da União Europeia.

Na NOME DA EMPRESA, valorizamos e atribuímos a máxima importância à confiança que deposita em nós e garantimos que os seus dados pessoais se encontram em segurança e são processados com total privacidade. Privacidade, confidencialidade e transparência são três elementos fulcrais na relação de confiança que estabelecemos com os nossos Clientes.

O tratamento dos seus dados pessoais permite, entre outras finalidades, o desenvolvimento e a comercialização direta dos produtos e serviços que acreditamos serem os mais adequados ao perfil e necessidades de cada Cliente.

A presente Política de Privacidade estabelece a forma como a NOME DA EMPRESA utiliza os dados pessoais dos seus clientes e dos seus potenciais clientes e é composta pelas seguintes secções [a preencher pela empresa]:

Quem é responsável pelo tratamento dos seus dados pessoais >>

Como é que recolhemos os seus dados pessoais >>

Para que finalidades e com que fundamento podem ser utilizados os seus dados pessoais >>

Que dados pessoais podem ser recolhidos >>

Como é que mantemos os seus dados pessoais seguros >>

Durante quanto tempo conservamos os seus dados pessoais >>

Com quem podemos partilhar os seus dados pessoais e como é que os mantemos seguros >>

Como é que pode alterar ou retirar seu consentimento >>

Os seus direitos de proteção de dados >>

O direito de apresentar reclamação junto da sua autoridade de controlo >>

Caso esteja insatisfeito com a nossa utilização dos seus dados pessoais ou com a nossa resposta após o exercício de algum destes direitos, tem o direito de apresentar reclamação junto da sua autoridade de controlo (Comissão Nacional de Proteção de Dados – CNPD | Rua de São Bento, n.º 148, 3º, 1200-821 Lisboa | Tel: 351 213928400 | Fax: +351 213976832 | e-mail: [email protected]).

Entre em contacto connosco para mais informações >>

2. Consentimento

Um pedido de consentimento tem de ser apresentado de forma clara e concisa, utilizando uma linguagem fácil de compreender, e de uma forma que o distinga claramente de outras informações, como os Termos e Condições.

O pedido tem de especificar qual a utilização que será dada aos dados pessoais e tem de incluir os contactos da empresa que efetua o tratamento dos dados.

O consentimento tem de ser dado de livre vontade e tem de ser específico e informado.

Exemplo:

NOME: _______________________________________________________
CLIENTE N.º:__________________________________________________

Declaro para os efeitos previstos no disposto no art.º 13.º do Regulamento Geral de Proteção de Dados (EU)2016/679 do P. E. e do Conselho de 27 de abril (RGPD) prestar, por este meio, o meu consentimento para o tratamento dos meus dados pessoais à NOME DA EMPRESA, Pessoa Coletiva n.º 000000000, com sede em MORADA DA EMPRESA.

Li e aceito a Política de Privacidade e de Proteção de Dados pessoais e autorizo a NOME DA EMPRESA a:

Fornecer os meus dados, sem prejuízo da sua confidencialidade, assegurando uma utilização em função do objecto social desta empresa e compatível com os fins da recolha.

Os dados transmitidos a NOME DA EMPRESA, por esta são incorporados e tratados num ficheiro da sua responsabilidade, tendo como único fim a gestão dos serviços solicitados pelo cliente, por forma a cumprir as exigências legais aplicáveis.

Autorizo o tratamento dos referidos dados e aceito o acesso aos mesmos, pelos colaboradores da NOME DA EMPRESA que desenvolvam qualquer das atividades necessárias para a prestação e promoção do serviço.

Tenho conhecimento que sou livre de fornecer ou não as informações solicitadas e de autorizar ou não o seu tratamento, quando submeto um formulário devidamente preenchido.

Aceito que não fornecendo todas as informações solicitadas, a NOME DA EMPRESA poderá não prestar-me o serviço ou vender o bem, ou conseguir o correto funcionamento de algumas funcionalidades presentes e/ou futuras no portal, bem como eficácia de um o posterior envio, tratamento informático, consulta ou contacto.

Tenho conhecimento que tenho o direito de retirar o meu consentimento a qualquer momento, não comprometendo nesse caso, a licitude do tratamento efetuado com base no consentimento previamente dado.

___/____/____ ___________________________________
         (Data)                                          (Assinatura)

Veja também