Regulamento Geral sobre a Proteção de Dados – ACIM

RGPD: Que cuidados têm as empresas de ter ao tratar dados pessoais?

Vai abrir uma empresa e não sabe as regras do RGPD na hora de tratar os dados pessoais dos seus clientes?

Saiba o que diz o regulamento

Está a pensar abrir uma empresa e vai ser necessário recolher, armazenar ou utilizar dados pessoais dos clientes? Então saiba que que existem regras específicas a seguir de acordo com o RGPD – Regulamento Geral sobre a Proteção de Dados. E caso não as cumpra, a sua empresa fica sujeita à aplicação de coimas bastante elevadas.

As empresas com sede social em Estados Membros da União Europeia usufruíram sempre de liberdade quanto à forma como geriam os dados pessoais dos seus clientes. No entanto, essa liberdade acabou por despertar a desconfiança dos consumidores, principalmente quando forneciam os seus dados na internet.

Dados recentes da Comissão Europeia mostram que “apenas 15% das pessoas sentem que têm o controlo absoluto sobre as informações que fornecem na internet”.

Assim, para aumentar a confiança das pessoas ao fornecerem os seus dados, em 2018 entrou em vigor o RGPD. Este aplica-se a todas as empresas que recolham, armazenem e utilizem dados pessoais. Além disso, as empresas que fazem o tratamento de dados pessoais para outras entidades também estão sujeitas às regras e princípios deste regulamento.

Caso a sua empresa face parte deste leque, é importante que “domine” os princípios básicos do RGPD, de forma a saber se está ou não obrigado a contratar um responsável pela proteção de dados e o valor das coimas aplicadas em caso de incumprimento.

O que é o RGPD?

O RGPD (Regulamento Geral sobre a Proteção de Dados) entrou em vigor no dia 25 de maio de 2018, de forma a estabelecer regras relativas à proteção, tratamento, armazenamento e livre circulação dos dados pessoais das pessoas singulares.

Este regulamento é um conjunto de regras definidas pela União Europeia, que garantem a proteção da privacidade dos titulares que fornecem dados a empresas, concedendo o controlo aos titulares destes dados.

Ou seja, antes da aprovação deste regulamento, as empresas “assumiam” a propriedade dos dados pessoais dos seus clientes e não só. Mas atualmente é evidente que a propriedade dos dados não pertence às empresas que os recolhem ou processam, e sim dos titulares.

Isto significa que os titulares dos dados têm o direito de acesso, retificação, limitação de tratamento, portabilidade ou até de apagamento dos seus dados. Contudo, existem algumas exceções previstas na lei em que tal não poderá acontecer. Mas regra geral, com a entrada em vigor do RGPD, as pessoas têm o controlo sobre os dados que fornecem às empresas.

E o que são considerados dados pessoais? Dados pessoais são todos os dados ou informações que permitem identificar uma pessoa em particular, de forma direta ou indireta.

Por exemplo, informações como nome, morada, endereços de email, números de telefone, NIF ou número do cartão do cidadão, número de contas bancárias, dados biométricos e genéticos, e ainda dados sobre a raça, etnia, religião, opiniões políticas, etc.

No entanto, o RGPD não se aplica apenas aos dados recolhidos após dia 25 de maio de 2018. Caso a empresa tenha recolhido dados antes da entrada em vigor deste regulamento, tem de tratar esses dados de acordo com os princípios gerais e regras do RGPD.

Quais os princípios a seguir no tratamento de dados pessoais dos clientes?

Segundo o Regulamento Geral sobre a Proteção de Dados, as empresas devem seguir determinados princípios na hora de tratarem os dados pessoais, destacando-se os seguintes sete princípios:

Os dados pessoais devem ser tratados de forma lícita, leal e transparenteem relação ao titular dos dados.
Estes dados devem ser recolhidos para certas finalidades explícitas e legítimas. Ou seja, a sua empresa não poderá tratar posteriormente estes dados de forma incompatível com a finalidade que usou para recolhê-los. Atenção que existem exceções quando o tratamento é para fins de arquivo de interesse público, investigação científica, histórica ou para fins estatísticos (deve consultar o artigo 89.º do RGPD artigo nº1).
Os dados recolhidos devem ser adequados, pertinentes e limitados ao que é necessáriopara concretizar a (as) finalidade(s). Ou seja, apenas deve recolher o mínimo de dados possíveis para alcançar a finalidade que comunicou ao titular dos dados.
As empresas que recolhem dados pessoais devem tratar os dados de forma exatae atualizá-los sempre que seja necessário. Todos os dados inexatos devem ser apagados ou retificados o mais breve possível.
Outro dos princípios é que deve conservar os dados de forma a permitira identificação dos titulares apenas pelo período necessário de acordo com as suas finalidades. Contudo, existem dados que podem ser conservados durante um período de tempo mais elevado, como os referidos no artigo 89.º do RGPD.
O sexto princípio é que os dados devem ser tratados de uma forma segura. Isto significa que estes dados devem ser protegidos contra o tratamento não autorizado, ilícito e contra a sua perda, destruição ou danificação acidental. Na prática isto quer dizer que a sua empresa deve adotar medidas técnicas ou organizativas para garantir a integridade e confidencialidade dos dados pessoais dos seus clientes.
O último princípio a considerar é o de responsabilidade. As empresas serão responsáveispela utilização incorreta dos dados ou por eventuais danos causados pelo acesso indevido aos mesmos.

Onde posso ter acesso à totalidade das regras do RGPD?

As regras, normas, direitos e deveres das empresas e titulares dos dados constam no Regulamento Geral sobre a Proteção de Dados, que está disponível em português no site da Comissão Nacional de Proteção de Dados, mais concretamente no separador “Legislação”.

Afinal, é a CNPD que controla e fiscaliza o cumprimento do RGPD em Portugal, bem como das disposições legais impostas na Lei 58/2019, Lei 59/2019 e da Lei 41/2004, entre outras matérias relativas à proteção de dados pessoais. Ou seja, a Comissão Nacional de Proteção de Dados controla e fiscaliza a proteção de dados para defender os direitos, liberdades e garantias das pessoas singulares.

Já em relação às empresas, estas devem colaborar com a CNPD, facultando as informações solicitadas, bem como o acesso ao sistema informático, a ficheiros de dados pessoais ou a qualquer documentação relativa a tratamento de dados pessoais.

Quais são as principais regras?

O RGPD e as leis relativas à proteção de dados definem inúmeras regras e são documentos bastante extensos que deve consultar com tempo e com atenção. Contudo, para ter uma ideia geral das principais regras impostas por este regulamento, apresentamos um pequeno resumo do que deve saber.

Na hora de recolher dados e informar as pessoas sobre o que fará com estes dados pessoais use uma linguagem simples. Explique aos consumidores quem é, porque precisa dos seus dados pessoais, porque é que vai tratar destes dados, quem irá recebê-los e durante quanto tempo serão conservados.
Ao celebrar contratos, apresentar documentos sobre obrigações legais, etc., a sua empresa deve apresentar aos clientes um documento que garante o consentimento da recolha e tratamento de dados pessoais. Atualmente, o consentimento é um dos fundamentos legais para o processamento de dados. E por isso, toda a informação deve ser apresentada de forma clara e afirmativa. Assim, as pessoas saberão exatamente o que estão a consentir.
Qualquer pessoa tem direito a aceder aos dados que forneceu. Segundo o artigo 15.º do RGPD as pessoas podem solicitar o acesso aos seus dados pessoais a qualquer altura.Ou seja, qualquer pessoa pode solicitar informações sobre quais são as finalidades do tratamento dos dados, as categorias em que se inserem, os destinatários, o prazo de conservação, como foram recolhidos, se os seus dados estão sujeitos a decisões automatizadas (por meios tecnológicos sem envolvimento humano), etc.
Direito ao esquecimento: A sua empresa deve garantir, quando solicitado, que os dados pessoais são apagados, desde que isso não coloque em causa a liberdade de expressão ou capacidade de pesquisa. Além disso, também deverá assegurar o direito à limitação do tratamento. Isto significa que ao alcançar a finalidade inicial e confirmar a inutilidade dos dados, estes podem e devem ser apagados.
A sua empresa deve conceder às pessoas o direito de portabilidade dos dados fornecidos. Isto significa que se um cliente autoriza a transmissão automática dos seus dados a um novo fornecedor, deverá proceder à portabilidade dos dados.
Dê às pessoas o direito de oposição. Por exemplo, segundo as regras do RGPD, as empresas devem garantir que as pessoas podem escolher se pretendem ou não receber campanhas de marketing direito com os seus dados pessoais.
No caso da sua empresa utilizar acaraterização de perfis para processar pedidos de acordos juridicamente vinculativos, como empréstimos, terá de informar os seus clientes de tal. Além disso, deve certificar-se que o processo é feito por uma pessoa se o pedido for Por fim, o requerente pode contestar a decisão, e todo o procedimento de caraterização de perfis deverá seguir a base legal mais adequada.
Se a sua empresa trata dados sobre saúde, raça, orientação sexual, religião ou convicções políticas deve ter salvaguardas extraordinárias para essas informações.
Todos os dados pessoais recolhidos devem ser salvaguardados de forma segura desde a primeira fase.

Quais as regras do RGPD quanto a dados pessoais de menores de idade?

Por norma, a recolha de dados pessoais de menores levanta algumas questões quanto às regras estabelecidas no RGPD. Teoricamente, a recolha de dados pessoais de menores de 16 anos de idade requer o consentimento dos pais. No entanto, o Regulamento Geral sobre a Proteção de Dados dá a liberdade para os Estados Membros da União Europeia reduzirem esta limitação entre os 13 e os 16 anos de idade.

Após diversas discussões, em 2019, Portugal definiu os 13 anos como idade mínima para o consentimento requerido pelo RGPD. Contudo, as empresas devem sempre comprovar a idade dos menores, devendo dar preferência a meios de autenticação segura.

A minha empresa precisa de um responsável pela proteção de dados?

Depende. Na verdade, nem sempre é obrigatório uma empresa ter um responsável pela proteção de dados. De acordo com o RGPD, esta obrigação depende da quantidade de dados que a sua empresa recolhe, se o tratamento de dados é a sua atividade principal e se o faz em grande escala.

Contudo, as entidades públicas estão sempre obrigadas a ter um responsável pela proteção de dados, designado de EPD. Já as empresas que tratem dados sensíveis ou dados relativos a condenações penais e infrações também estão obrigadas a ter um EPD.

Caso tenha dúvidas, deixamos aqui dois exemplos de atividade que requerem a contratação de um responsável pela proteção de dados:

Recolha e tratamento de dados pessoais paraselecionar publicidade através de motores de busca com base nos comportamentos das pessoas em linha;
Tratamento de dados pessoais sobregenética e saúde para um hospital.

Mas, por exemplo, se a sua empresa enviar um anúncio publicitário por ano aos clientes para promover o seu negócio, não precisa de contratar um responsável pela proteção de dados.

Contudo, avalie bem esta situação. Afinal, cabe à empresa avaliar se o tratamento de dados exige ou não a designação de um EPD. Ou seja, a Comissão Nacional de Proteção de Dados não se pronuncia sobre casos concretos, e por isso é a sua empresa que terá de fazer essa avaliação.

O que acontece caso se incumprir o RGPD?

Como referido, em Portugal é a Comissão Nacional de Proteção de Dados que efetua o controlo do cumprimento do RGPD, sendo este processo coordenado a nível da União Europeia. No entanto, saiba que se a sua empresa entrar em incumprimento, as coimas são bastante elevadas.

Por norma, a falta de cumprimento das regras gera uma advertência numa primeira fase, passando posteriormente a um processo de reprimenda. Caso o incumprimento se mantenha então a sua empresa ficará a suspensa do tratamento de dados. A partir daí aplica-se uma coima que pode chegar até aos 20 milhões de euros. No entanto, também existe a possibilidade de a coima corresponder a 4% do volume de negócios anual global da sua empresa.

Assim, é fundamental que a sua empresa esteja bem informada sobre as regras do RGPD para garantir o cumprimento de todos os princípios legais e obrigações.

Fonte: doutorfinancas.pt

Cookie	Duração	Descrição
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

RGPD: Que cuidados têm as empresas de ter ao tratar dados pessoais?

Deixe um comentário

Talvez você goste também

COVID-19: apoios para trabalhadores independentes

O Prazo de entrega do Relatório Único foi adiado

CONVOCATÓRIA Assembleia Geral Extraordinária