RGPD: o que fazer para garantir a conformidade da sua empresa

Desde o dia 25 de maio de 2018, as empresas sediadas na União Europeia e todas que, fora desta, trabalhem com dados pessoais de cidadãos aí residentes, terão de ser capazes de travar o crescimento das fugas de informação online e de reforçar a proteção dos seus sistemas – tendo em visto a salvaguarda dos direitos dos titulares dos dados -, uma vez que passou a ser aplicado legalmente o novo Regulamento Geral de Proteção de Dados (RGPD).

A este propósito, o novo Regulamento coloca à disposição das empresas uma série de instrumentos, alguns dos quais obrigatórios, que lhes permitem demonstrar a sua responsabilidade e o cumprimento desses mesmos requisitos.

Por exemplo, em casos específicos, a nomeação de um Encarregado de Proteção de Dados (EPD) ou a realização de Avaliações de Impacto da Proteção de Dados (AIPD) podem ser obrigatórias. Os responsáveis pelo tratamento podem optar por utilizar outros instrumentos, como códigos de conduta e procedimentos de certificação, para demonstrar a conformidade com os princípios da proteção de dados.

Tanto os códigos de conduta como a certificação são instrumentos opcionais, pelo que cabe às empresas decidirem se pretendem aderir a um determinado código de conduta ou solicitar uma certificação. Embora as empresas continuem a ter de respeitar e cumprir o RGPD, a adesão a estes instrumentos pode ser tida em consideração no caso de uma medida de execução adotada contra a sua organização por violação do RGPD.

Assim sendo, para evitarem o incumprimento e as sanções que lhe estão associadas, as empresas devem adotar um conjunto de medidas e procedimentos que lhes garanta a compliance. Destacamos os seguintes.

RGPD: o que fazer para garantir que cumpre os requisitos

1. Procedimentos de gestão

A defesa dos direitos ARCO (Acesso; Retificação; Cancelamento; Oposição) e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais exige a adoção de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos do RGPD.

Para poder comprovar a conformidade com o novo Regulamento, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito. Tais medidas podem incluir:

Atualização do regulamento interno

O qual deve refletir todas as ações da empresa para estar em conformidade com a nova legislação. Deve incluir uma lista de todos os colaboradores que lidam com dados pessoais e respetiva discriminação de responsabilidades.

Reformulação de Termos e Condições e Políticas de Privacidade

As empresas devem rever os Termos e Condições e Políticas de Privacidade das suas páginas online – os quais, na maioria, são muito extensos e confusos para o utilizador. Além de refletirem as novas políticas de proteção de dados, devem ser mais transparentes e concisos.

Avaliação da recolha de dados

As empresas devem avaliar se toda a informação que recolhem dos seus clientes é absolutamente necessária. Se não houver uma justificação clara para recolher e tratar esses dados, é aconselhável que as empresas não os recolham. Todos os dados que recolherem deverão estar espelhados no regulamento interno, bem como a justificação de os ter recolhido e de como os trata.

Recorde-se que se deve recolher e processar dados pessoais só para objetivos legais, e proteger sempre esse dados. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso, e alteração. Ou seja, estes requisitos devem garantir, entre outros, os direitos ARCO.

Avaliação da necessidade de obter um EPD – Encarregado de Proteção de Dados

Quer seja um responsável pelo tratamento, quer um subcontratante, se as atividades principais da empresa/organização envolverem o tratamento de dados sensíveis em grande escala ou se as atividades principais envolverem o controlo sistemático, regular e em grande escala de pessoas, então deve ser nomeado um EPD.

Esta figura, que pode ser um funcionário ou um consultor externo, ficará responsável pela conformidade em matéria de proteção de dados.

Avaliação da necessidade de formação dos colaboradores

De forma a assegurar a não violação das novas normas e a demonstrar que a proteção de dados é um assunto de vital importância para as empresas, um dos muitos desafios será, com toda a certeza, sensibilizar os colaboradores para as novas questões de privacidade e tratamento de dados. O que se procura será fundar uma nova mentalidade corporativa para esta nova era da regulamentação da privacidade.

2. Procedimentos que comprovem a conformidade

Um dos pontos transversais ao RGPD prende-se com o facto das empresas terem de manter documentação que prove, em caso de fiscalização ou auditoria, que todos os consentimentos necessários foram recolhidos e que está, de facto, em conformidade com a lei.

Tem de se manter documentação de todas as atividades de processamento de dados, nomeadamente o propósito do processamento, as categorias dos assuntos e dados pessoais envolvidos, as categorias dos destinatários, as salvaguardas em todas as transferências de dados, e se possível, limites temporais para apagar.

Também é necessário manter uma descrição técnica das medidas de segurança na organização. Estes registos deverão ser mantidos em suporte de papel ou eletrónico, e disponíveis para auditoria e revisão pela autoridade de supervisão sempre que solicitado.

Além desta recolha de consentimentos, é fundamental, mais uma vez, que o regulamento interno demonstre cabalmente a um potencial auditor que a empresa se ajustou ao RGPD e que adotou novas políticas com vista à proteção de dados pessoais.

Consentimentos

O novo Regulamento traz novas exigências no que toca à validade do consentimento. Tendo em vista a conformidade, as empresas devem:

a) Avaliar se os dados que já foram recolhidos, e que estão registados na base de dados, foram recolhidos com o consentimento necessário. Se não, os consentimentos devem ser novamente recolhidos para poderem continuar a comunicar com os seus clientes;

b) Assegurar que as plataforma que estão a ser utilizadas permitem uma gestão de consentimentos. É importante que o utilizador possa gerir os seus consentimentos ou mesmo apagar a sua conta, na sua área de cliente, a qualquer momento;

c) Assegurar que os consentimentos são recolhidos de forma granular, ou seja, de forma a que o consentimento para diferentes atividades de marketing receba obrigatoriamente consentimentos separados. A este propósito, recorde-se, os consentimentos não podem ser remetidos para os termos e condições da plataforma, pois não servirá como prova de recolha de consentimento se o utilizador não fizer o opt-in (ato mediante o qual, o utilizador dá o seu consentimento);

d) Privilegiar os consentimentos obtidos através de double opt-in. Isto é, além dos consentimentos não poderem estar “previamente clicados”, recomenda-se que as empresas devem obtenham um consentimento duplo. Em termos práticos, traduz-se em enviar um e-mail ao titular dos dados a confirmar que consente, de facto, com essas comunicações. Isto aplica-se, por exemplo, nos casos de registo na newsletter ou de registo no site, onde o cliente receberá um e-mail para confirmar que foi ele que, de facto, fez esse registo;

Cookies

Até à entrada em vigor do RGPD, as cookies eram tratadas com um simples alerta, de aceitação ou não aceitação da política de cookies – para se poder continuar a navegar num determinado site.

Embora as cookies não sejam consideradas, diretamente, dados pessoais, existem formas de cruzamento de informação que podem levar à identificação de um cidadão. Por esta razão, o RGPD encara as cookies como dados pessoais, mesmo que apenas identifiquem um cidadão indiretamente.

Neste contexto, e tendo em vista a conformidade, as empresas devem:

• Fazer uma gestão de cookies que permita a possibilidade do utilizador aceitar ou recusar, parcial ou totalmente, as cookies. Cada tipo de cookie deve ser explicada ao utilizador de forma clara e sucinta;
• Nunca recusar acesso ao utilizador mesmo que este recuse todas as cookies;
• Enquanto o utilizador não tomar qualquer ação sobre as cookies, o site não deve gravar nenhuma cookie no seu browser, sendo que é aconselhável que o alerta permaneça visível até que o utilizador tome alguma ação.

Base de dados

A principal preocupação que as empresas devem ter com as suas bases de dados de clientes prende-se com a recolha de consentimentos. De acordo com o RGPD:

• As bases de dados devem ser recolhidas pela empresas em conformidade com as regras do novo Regulamento;
• É aconselhável a encriptação das bases de dados, de forma a evitar ataques informáticos e/ou eventuais fugas de informação. Em caso de fuga ou roubo, as empresas terão de alertar num prazo de 72 horas as autoridades reguladoras e, em alguns casos, os próprios titulares dos dados;
• Em caso de exercício dos direitos ARCO, devem as bases de dados ser atualizadas conforme o direito pretendido, consoante seja exercido o direito de retificação, cancelamento ou oposição.