RGPD – 8 Coisas que precisa de saber sobre a nova Lei da Proteção de Dados
O RGPD (Regulamento Geral de Proteção de Dados) - GDPR (General Data Protection Regulation) - é um diploma europeu que nos traz algumas mudanças no que diz respeito às bases de dados e à forma como as utilizamos atualmente. A sua premissa é simples: uniformizar a legislação do mundo digital e aplicar as mesmas regras em todos os países-membros da União Europeia relativamente à proteção e tratamento dos dados pessoais dos cidadãos.
De uma forma geral, as mudanças são significativas e acabam por ter impacto na vida de quem trabalha com bases de dados, sejam elas mais ou menos sensíveis, mais ou menos detalhadas. O impacto será diferente de negócio para negócio (consoante a natureza dos dados e a razão para a sua recolha e utilização) mas, para que tudo seja mais simples, é essencial conhecer as regras e perceber quais as medidas que deverão ser adoptadas antes do dia 25 de Maio de 2018.
Encarregado de Proteção de Dados (DPO - Data Protection Officer) | O Encarregado de Proteção de Dados (EPD) é o responsável por garantir que o RGPD está a ser cumprido. Deve ser alguém que tenha conhecimento da lei e, para além de responder em caso de fiscalização, deve ser uma figura com alguma capacidade de liderança, que oriente o resto da equipa para o cumprimento das obrigações do diploma. Nem todas as organizações precisam de um EPD porém, se lidarem com dados considerados sensíveis, a sua designação é obrigatória. O EPD poderá ser um colaborador da empresa (não é necessária nenhuma formação em específico) ou um consultor subcontratado para o efeito.
Direitos dos titulares dos dados | O RGPD não só confere novos direitos aos titulares dos dados - o direito à portabilidade e o direito à limitação do tratamento - como também aponta novos requisitos no que diz respeito à eliminação de dados. As empresas - e quando referimos empresas ou organizações fazemos referência também a qualquer pessoa ou blogue que tenha e utilize uma base de dados - devem ter em atenção estas novas obrigações.
Recolha de dados | A base legal para a utilização dos dados é o consentimento dos seus titulares. E isto deve ser claro - o EPD deve saber responder como foram recolhidos os dados e ter provas de que estes foram cedidos pelos seus titulares em conformidade com o novo diploma. Quando alguém subscreve uma newsletter ou faz um registo num fórum, deve saber exatamente para que finalidades serão utilizadas as informações - tudo isto deve estar escrito de forma clara e em local acessível. Está na altura de rever "Políticas de Privacidade", "Políticas de Vendas" e "Termos e Condições".
Dados Sensíveis | Todas as bases de dados que incluam informações sobre menores, dados biométricos, judiciais ou bancários, entre muitos outros, devem ser analisadas de uma forma mais delicada e minuciosa. É por isso que certas bases de dados levam à execução de tarefas obrigatórias - a designação do EPD é uma das medidas associadas às bases de dados que contenham informações sensíveis.
Violação de segurança | Não é necessário reportar todas as violações de segurança à entidade reguladora do RGPD mas, se as bases de dados ficarem de alguma forma comprometidas, a organização tem 72h para comunicar o acontecimento à Comissão Nacional de Proteção de Dados (CNPD). Por outro lado, se esta violação resultar num elevado risco para os titulares dos dados, estes devem ser imediatamente informados. As empresas deverão garantir medidas de controlo e segurança para que os dados estejam protegidos (algo que não é novo - ou, pelo menos, que não deveria ser - mas que o RGPD vem reforçar).
Documentação necessária | No caso de haver uma fiscalização, o EPD deve ser capaz de apresentar um registo de atividade - uma espécie de manual interno onde são indicados os procedimentos de recolha de dados. Esta documentação é importante pois irá ajudar a acabar com as vendas de bases de dados entre empresas (se a empresa não consegue comprovar o consentimento do titular dos dados, então não está autorizada a utilizar as informações que tem em mãos).
Bases de dados "mortas" | Um dos objetivos do RGPD é acabar com as bases de dados que não são utilizadas há anos. Para que a base de dados possa ser utilizada, a comunicação constante é obrigatória. Não está definido quanto tempo uma base de dados pode ficar sem receber comunicações por parte da empresa mas acredita-se que uma comunicação anual será suficiente sendo que, em todas as comunicações, o titular dos dados deve ter a opção de deixar de fazer parte desta base de dados.
Passwords | Com a nova Lei da Proteção de Dados, os sistemas de autenticação vão passar a ter pelo menos nove caracteres de diferentes tipologias (letras maiúsculas e minúsculas, símbolos, números...). Até ao dia 25 de Novembro, todas as apps, redes sociais, sites com e-commerce e serviços públicos vão ter que fazer esta alteração e pedir aos seus utilizadores e clientes que selecionem uma nova palavra-passe para aceder aos seus dados.
Ainda existem muitas áreas cinzentas no RGPD mas acredito que, aos poucos, a Comissão Nacional de Proteção de Dados vá esclarecendo os pontos que estão ainda a ser discutidos. O ideal - e porque já não falta assim tanto para a data em que entrará em vigor este diploma - é colocar em prática tudo isto o quanto antes (até porque as multas já estão definidas e podem chegar aos 20 milhões de euros).