O RGPD está em vigor desde 2018, mas a aplicação está a intensificar-se e as interpretações continuam a evoluir. Todas as empresas que tratam dados pessoais de cidadãos europeus devem cumprir — e o custo do incumprimento continua a aumentar.
RGPD significa Regulamento Geral sobre a Proteção de Dados. Adotado em 2016 e em vigor desde maio de 2018, é o quadro jurídico da UE que regula a forma como as organizações recolhem, armazenam, utilizam e protegem os dados pessoais dos residentes europeus. Aplica-se a qualquer organização em todo o mundo que trate dados pessoais de cidadãos europeus — independentemente de onde essa organização esteja sediada.
Desde a sua introdução, o RGPD mudou fundamentalmente a forma como as empresas devem pensar sobre os dados. Não é um exercício de lista de verificação — exige processos contínuos, responsabilização documentada e uma cultura de proteção de dados incorporada em toda a organização.
Os dados devem ser tratados com base jurídica válida e os titulares devem ser informados sobre a utilização dos seus dados.
Os dados recolhidos para uma finalidade específica não podem ser reutilizados sem justificação clara e, em muitos casos, sem novo consentimento.
Recolha e trate apenas o que é estritamente necessário para a finalidade declarada. O excesso de dados cria responsabilidade excessiva.
Os dados pessoais devem ser mantidos exatos e atualizados. Devem ser tomadas medidas razoáveis para corrigir ou apagar dados inexatos.
Os dados não devem ser conservados mais tempo do que o necessário para a sua finalidade. As políticas de retenção devem ser documentadas e aplicadas.
Medidas de segurança adequadas devem proteger os dados de acesso não autorizado, perda, destruição ou danos.
As organizações devem ser capazes de demonstrar o cumprimento de todos os princípios acima — não apenas afirmar. Documentação, políticas e registos são evidências essenciais.
Os titulares devem ser informados de como e porquê os seus dados são recolhidos e utilizados, em linguagem clara e acessível.
Os titulares podem solicitar uma cópia de todos os dados pessoais que uma organização detém sobre eles, gratuitamente.
Os titulares podem corrigir dados pessoais inexatos ou incompletos sem demora injustificada.
Também conhecido como 'direito a ser esquecido' — os titulares podem solicitar o apagamento dos seus dados em determinadas circunstâncias.
Os titulares podem solicitar que o tratamento dos seus dados seja limitado enquanto uma disputa ou consulta é resolvida.
Os titulares podem solicitar os seus dados num formato estruturado e legível por máquina para transferência para outro fornecedor.
Os titulares podem opor-se ao tratamento baseado em interesses legítimos, marketing direto ou fins de investigação.
Os titulares têm o direito de não ficar sujeitos a decisões baseadas exclusivamente em tratamento automatizado que produzam efeitos significativos.
Documente todas as atividades de tratamento de dados na sua organização — quem é responsável, que dados são tratados, para que finalidade e para onde fluem.
Estabeleça e documente a base jurídica para cada atividade de tratamento. O tratamento sem base jurídica válida é ilícito ao abrigo do RGPD.
Forneça informações de privacidade claras e acessíveis aos titulares no momento da recolha. Os avisos devem ser concisos, transparentes e escritos em linguagem simples.
Incorpore a privacidade nos sistemas, produtos e processos desde o início — não como reflexão posterior. A privacidade deve ser a configuração predefinida.
Realize AIPDs antes de empreender atividades de tratamento de alto risco. Obrigatório por lei quando o tratamento for suscetível de resultar num risco elevado para os titulares.
Notifique a autoridade de supervisão no prazo de 72 horas após tomar conhecimento de uma violação de dados pessoais. Se o risco for elevado para os titulares, notifique-os diretamente sem demora.
O incumprimento também arriscas danos reputacionais e erosão da confiança dos clientes que podem durar mais do que qualquer coima, perturbação operacional decorrente de investigações de fiscalização, e potenciais ações cíveis por parte dos titulares afetados. O custo total de uma violação de dados ou de uma ação de fiscalização é quase sempre superior à própria coima.
Do mapeamento de dados e avaliações de impacto ao EPD como serviço e planeamento de resposta a violações — o nosso software e equipa de consultoria gerem o âmbito completo das obrigações do RGPD.