O Regulamento Geral de Proteção de Dados (RGPD) é um novo quadro jurídico europeu que entrou em vigor a 25 de maio de 2018.
O RGPD centra-se na proteção, na recolha e na gestão de dados pessoais, ou seja, dados sobre indivíduos e aplica-se a todas as empresas e organizações da UE que detêm ou processam dados pessoais, incluindo comerciantes individuais, de pessoas nos Estados-Membros da UE e até a empresas de países terceiros que disponibilizam bens ou serviços a pessoas na UE ou que nela monitorizam o seu comportamento.
Este novo regulamento tem um âmbito muito amplo, pois, além de afetar os países da UE, alguns como o Reino Unido também terão que se adaptar, pois, apesar da saída da União Europeia, em 2019, (Brexit), o RGPD (GDPR) será incorporado na lei britânica. Por outro lado, o RGPD também afeta empresas fora da UE que oferecem bens ou serviços a pessoas na União Europeia ou que controlam o seu comportamento na UE. Por exemplo, afeta diretamente as empresas americanas que alojem websites acessíveis a pessoas na UE.
Ao nível comercial, o RGPD tem implicações para todos os departamentos ou áreas. É por isso que será conveniente contratar ou nomear um responsável pela proteção de dados para aplicar procedimentos e garantias adicionais. Além disso, deve haver alguém com a formação adequada para poder realizar auditorias e evitar possíveis sanções, que podem atingir 4% do volume anual de negócios ou 20 milhões de euros (o que for maior).
Se nos referirmos ao atual regulamento sobre proteção de dados na UE (diretiva 95/46/CE), ele concede aos indivíduos direitos sobre seus dados pessoais e também descreve as informações que devem receber das empresas (incluindo os propósitos que serão dados a esses dados). Na maioria dos casos, essa comunicação consiste em declarações de privacidade ou notificações fornecidas num website.
Com o advento do RGPD, a proteção de dados é bastante expandida, pois confere mais direitos às pessoas. Direitos que devem ser comunicados às partes interessadas. Outra nova adição é a questão do consentimento. Embora a legislação da UE sempre tenha exigido que o consentimento das pessoas para a recolha dos seus dados fosse gratuita, específica e informada, o RGPD exige que sejam confirmados por declaração ou outra ação afirmativa clara. Ou seja, as caixas já marcadas nas páginas da web, o silêncio ou a inação da parte interessada após a leitura de uma declaração de privacidade deixarão de constituir em consentimento.
Outro ponto a ser observado é que agora as pessoas têm o direito de mover, copiar ou transferir os seus dados pessoais de um local para outro, até mesmo para um concorrente. A extensão da sua aplicação também é um ponto a considerar. O RGPD é responsável por evitar violações de segurança de dados pessoais, não apenas da empresa que os recolha, mas também de terceiros que os processam em seu nome, seja outra empresa, organização ou pessoa natural. Agora, não será suficiente simplesmente cumprir o RGPD. As empresas devem demonstrar que o fazem de acordo com o requisito de “responsabilidade proativa”, que envolve o cumprimento de algumas obrigações bastante caras na manutenção de registos.
RGPD no dia-a-dia
Fique a par de algumas normas que tem de ter em conta no seu dia-a-dia de trabalho, de acordo com o RGPD.
Além disso, ao longo da vida útil dos dados pessoais, medidas técnicas e organizacionais devem ser tomadas de acordo com as expectativas de privacidade da parte interessada (ou seja, haverá uma privacidade do início ao fim de tais dados).
Por fim, será necessário nomear um encarregado de proteção de dados com conhecimento da legislação de proteção de dados, embora não seja necessário que ele seja um funcionário direto, mas possa desempenhar essa função dentro da estrutura de um contrato de serviço.