Legislação
RGPD: Como tratar dados pessoais
07 de Janeiro de 2020 Ações de formação sobre RGPD, contratação de consultores mais ou menos especializados, apagamento de dados de clientes e de subscrições de newsletters, redação de documentos para comprovar a autorização para o tratamento de dados pessoais e, mais visível que tudo o resto, chuva de emails.
Um ano depois, já pouco se diz sobre o RGPD. Afinal não há multas?
Um ano depois, já pouco se diz sobre o RGPD. Afinal não há multas?
A 25 de maio de 2018 entrou em vigor o Regulamento Geral de Proteção de Dados (RGPD). Mesmo tendo havido um período de adaptação de dois anos, foi só a partir dessa altura que as empresas entraram em convulsão. Quem não se lembra da chuva de emails? Pois… O regulamento que devia parar o SPAM iniciou uma das maiores ondas de correio não solicitado (e desnecessário) da história. Quanto a multas, há até à data notícia de quatro, sendo que uma delas (aplicada ao Hospital do Barreiro) atingiu os 400 mil euros. O nosso conselho: prepare-se também. Não precisa ter medo do RGPD. Conhecer a legislação e atuar em conformidade não é tão complicado quanto possa parecer.
Se os dados pessoais em tratamento na sua empresa foram recolhidos de forma correta e estão a ser tratados para as finalidades para as quais foram pedidos e não outras, à partida, não precisará renovar o consentimento. Se não tem a certeza, pode pedir uma confirmação de consentimento, mas só nessa circunstância. Existem até plataformas que facilitam esta parte do cumprimento do RGPD, mas já lá vamos. Comecemos pelo princípio: como devem ser recolhidos e tratados os dados pessoais?
Qualquer forma em que declare inequivocamente o quê, com que finalidade, como, quando e quem.
O quê?
Que dados pessoais pessoais precisa a sua empresa de tratar?
Com que finalidade?
Qual a finalidade do tratamento de dados? São dados para faturação? Para entrega de produtos? Vai utilizar os dados para enviar comunicações? Lembre-se de que não pode utilizar os dados para fins distintos daqueles para os quais foram recolhidos. Por exemplo, se pediu o número de telemóvel para facilitar a entrega de uma encomenda, não deve usá-lo para enviar informação sobre promoções. Aliás, se pretende manter o número de telemóvel na ficha de cliente, o titular deve sabê-lo antes de o fornecer.
Como?
Como vai tratar esses dados? Onde vai armazená-los? Como vai garantir que não há acessos não autorizados? Que medidas de segurança vai tomar a sua empresa para proteger os dados pessoais que tratar?
Quando?
Até quando precisa ter os dados em tratamento?
Quem?
Para além da sua empresa, quem pode ter acesso aos dados (quem são os subcontratantes)?
Acabaram-se os consentimentos tácitos. "Se não disser nada em contrário, é porque concorda" já não é um argumento válido legalmente (moralmente nunca foi). O consentimento tem que ser livre, específico, explícito e informado.
Apenas dar aos titulares uma forma fácil de aceder, retificar, limitar o tratamento de dados, pedir a portabilidade ou o apagamento.
Relembremos os direitos dos titulares de dados pessoais:
Calma. A Lei é clara: o esforço deve ser proporcional às capacidades das empresas e o tratamento de dados é lícito sempre que necessário para a prossecução dos interesses legítimos do responsável pelo tratamento (empresa), "exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.”. Prevalece sobretudo o bom senso.
Mesmo assim, descrever as finalidades de tratamento de dados pessoais parece-lhe um bicho de sete cabeças? Não sabe como registar as autorizações de tratamento de dados? E se pudesse automatizar o processo? Há uma plataforma para isso: a DINO.
A DINO fornece formulários standard para poupar tempo e trabalho, e regista com selos temporais todas as comunicações relacionadas com consentimento para tratamento de dados pessoais.
Com a DINO consegue:
A nomeação de um Encarregado de Proteção de Dados só é obrigatória para autoridades ou organismos públicos, entidades que tratem dados em grande escala, dados sensíveis, ou dados relativos a condenações penais e infrações.
Tem dúvidas quanto ao RGPD? Fale connosco.
Renovar consentimento para tratamento de dados pessoais: sim ou não?
Se os dados pessoais em tratamento na sua empresa foram recolhidos de forma correta e estão a ser tratados para as finalidades para as quais foram pedidos e não outras, à partida, não precisará renovar o consentimento. Se não tem a certeza, pode pedir uma confirmação de consentimento, mas só nessa circunstância. Existem até plataformas que facilitam esta parte do cumprimento do RGPD, mas já lá vamos. Comecemos pelo princípio: como devem ser recolhidos e tratados os dados pessoais?
Qual é afinal a forma correta de pedir autorização para tratamento de dados pessoais?
Qualquer forma em que declare inequivocamente o quê, com que finalidade, como, quando e quem.
O quê?
Que dados pessoais pessoais precisa a sua empresa de tratar?
Com que finalidade?
Qual a finalidade do tratamento de dados? São dados para faturação? Para entrega de produtos? Vai utilizar os dados para enviar comunicações? Lembre-se de que não pode utilizar os dados para fins distintos daqueles para os quais foram recolhidos. Por exemplo, se pediu o número de telemóvel para facilitar a entrega de uma encomenda, não deve usá-lo para enviar informação sobre promoções. Aliás, se pretende manter o número de telemóvel na ficha de cliente, o titular deve sabê-lo antes de o fornecer.
Como?
Como vai tratar esses dados? Onde vai armazená-los? Como vai garantir que não há acessos não autorizados? Que medidas de segurança vai tomar a sua empresa para proteger os dados pessoais que tratar?
Quando?
Até quando precisa ter os dados em tratamento?
Quem?
Para além da sua empresa, quem pode ter acesso aos dados (quem são os subcontratantes)?
Acabaram-se os consentimentos tácitos. "Se não disser nada em contrário, é porque concorda" já não é um argumento válido legalmente (moralmente nunca foi). O consentimento tem que ser livre, específico, explícito e informado.
Então e o que fazer para os dados pessoais já em tratamento?
Apenas dar aos titulares uma forma fácil de aceder, retificar, limitar o tratamento de dados, pedir a portabilidade ou o apagamento.
Relembremos os direitos dos titulares de dados pessoais:
- Direito de acesso
- Direito de retificação
- Direito de apagamento
- Direito de limitação
- Direito de portabilidade dos dados
- Direito de oposição e decisões individuais automatizadas
- Direito a aviso imediato em caso de uma eventual quebra de segurança de dados pessoais, bem como a garantia de que tudo será feito para minorar as consequências
Mas não representará o RGPD um esforço desmesurado para pequenas empresas?
Calma. A Lei é clara: o esforço deve ser proporcional às capacidades das empresas e o tratamento de dados é lícito sempre que necessário para a prossecução dos interesses legítimos do responsável pelo tratamento (empresa), "exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.”. Prevalece sobretudo o bom senso.
Mesmo assim, descrever as finalidades de tratamento de dados pessoais parece-lhe um bicho de sete cabeças? Não sabe como registar as autorizações de tratamento de dados? E se pudesse automatizar o processo? Há uma plataforma para isso: a DINO.
Plataforma de gestão de dados pessoais e consentimentos
A DINO fornece formulários standard para poupar tempo e trabalho, e regista com selos temporais todas as comunicações relacionadas com consentimento para tratamento de dados pessoais.
Com a DINO consegue:
- Criar formulários de confirmação de consentimento para tratamento de dados
- Usar formulários standard para poupar tempo e trabalho
- Discriminar as finalidades de tratamento de cada tipo de dados
- Enviar automaticamente emails e armazenar respostas
- Organizar pedidos de consulta, retificação, portabilidade e esquecimento de dados pessoais
- Filtrar e exportar respostas
- Clique aqui para saber mais.
Fala-se muito do Encarregado de Proteção de Dados. Todas as empresas precisam?
A nomeação de um Encarregado de Proteção de Dados só é obrigatória para autoridades ou organismos públicos, entidades que tratem dados em grande escala, dados sensíveis, ou dados relativos a condenações penais e infrações.
Tem dúvidas quanto ao RGPD? Fale connosco.