Proteção de dados - alterações
Finalmente será implementado o novo Regulamento Geral de Proteção de Dados (RGPD) ou General Data Protection Regulation (GDPR) que integra a nova legislação da União Europeia e que se aplica a todos os 28 Estados-membros e a qualquer país que venda produtos ou serviços dentro da UE.
Este regulamento deverá entrar em vigor a 25 de maio de 2018 e o tempo urge para todas as empresas. Seja qual for a área de negócio, devem estar preparados para entrar em conformidade com a nova lei.
Segundo a Comissão Europeia, o RGPD tem como objetivo certificar que o direito dos cidadãos à proteção de dados pessoais se mantém efetivo na era digital. Procura, essencialmente, trazer maior controlo às pessoas sobre os seus dados pessoais e construir uma maior confiança na utilização dos seus dados pelas marcas.
Tratando-se de uma lei da UE, e não uma diretiva, o GDPR tem caráter obrigatório e poder jurídico vinculativo, e será regulado em Portugal pela Comissão Nacional de Proteção de Dados (CNPD).
- Direito a “ser esquecido”
Quando um indivíduo não quer mais que a sua informação seja processada, e não havendo razões legítimas para a reter, a informação será apagada. Trata-se de proteger a privacidade dos indivíduos, e não de apagar eventos passados ou restringir a liberdade à imprensa. Em ecommerce, será necessário tornar fácil ao utilizador de remover o consentimento de processamento dos seus dados ou apagar a sua conta.
- Acesso facilitado aos dados pessoais
Os indivíduos terão mais informação sobre como os seus dados são processados, que deve ser claramente compreensível e acessível. Adicionalmente, o novo direito à portabilidade dos dados vai tornar mais fácil a transmissão de dados pessoais entre fornecedores de serviços. Com a portabilidade de dados, o cidadão passa a poder exigir a uma empresa os dados que lhe dizem respeito num formato que permitirá a migração para outra empresa.
- Direito a saber quando os dados pessoais foram invadidos
As empresas estão obrigadas a notificar a autoridade de supervisão nacional quando existe uma violação dos dados que ponha os indivíduos em risco (em 72 horas). Devem igualmente comunicar aos indivíduos afetados para que estes possam tomar as medidas apropriadas.
- Proteção dos dados “por design” e por definição
Proteção de dados “por design” significa que cada novo serviço ou negócio que faça uso de dados pessoais está obrigado a tomar em consideração a proteção desses dados. As empresas necessitam de ser capazes de mostrar/provar que têm segurança apropriada. Em termos práticos isto significa que os departamentos de tecnologias de informação (TI) devem ter em conta a privacidade dos dados no “design” da tecnologia do produto ou serviço. Medidas de proteção “por design” podem incluir técnicas tais como pseudonimização ou encriptação.
Por outro lado, o controlador dos dados necessitará de se certificar que, por definição, apenas os dados pessoais absolutamente necessários para determinada ação específica são processados. Em termos práticos isto significa que as configurações de privacidade devem estar, por defeito, no nível mais alto de segurança (privacidade) para o utilizador. Isto implica também que os dados pessoais nunca sejam automaticamente disponibilizados a terceiros sem a intervenção dos indivíduos. É de sublinhar que existe, adicionalmente, um elemento temporal relativamente a este princípio, já que os dados pessoais devem, por definição, apenas ser mantidos pelo espaço de tempo necessário para providenciar o produto ou serviço.
- Execução mais forte das regras
O novo regulamento prevê penalizações severas para as empresas em incumprimento. Embora seja desconhecido exatamente que tipo de sanções serão aplicadas a cada caso, as autoridades de proteção de dados (CNPD) vão poder multar empresas que estejam em desacordo com o GDPR até 20 milhões de euros ou 4% do seu volume de negócios.
Fonte:
Comentários