Novo Regulamento Geral de Proteção de Dados – RGPD – o que precisa para se preparar

Todas as empresas e entidades públicas têm de preparar-se internamente para o novo Regulamento Geral sobre a Proteção de Dados (RGPD), que visa responder aos novos desafios na área de proteção de dados pessoais gerados pela evolução tecnológica e pela globalização dos mercados. O RGPD faz parte do pacote da UE relativo à reforma da proteção de dados e passará a ser aplicado direta e obrigatoriamente a partir de 25 de maio de 2018, trazendo impactos significativos na vida das organizações.

As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício da sua atividade. As pessoas singulares disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. Há questões de privacidade e segurança de informação que não podem ser negligenciadas.

O Parlamento Europeu e o Conselho da União Europeia consideram que há necessidade de se implementar «um quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas».

Mudar o cenário atual

Olhando particularmente para o panorama nacional, e segundo o estudo «Survey Europeu de Cyber Risk 2016» da Marsh, cerca de 51% das empresas portuguesas considera a fuga de informação de clientes como uma das maiores ameaças num cenário de perda cibernética e 69% assume que tem um conhecimento limitado sobre os riscos. Por outro lado, apenas 53% admite ter um plano de contingência para responder aos ataques.

Já no que respeita ao próprio RGPD, um estudo levado a cabo pelo CIONET em conjunto com a Hewlett Packard Enterprise revela que a grande maioria dos líderes de TI das organizações portuguesas está consciente das intenções e impacto no negócio independentemente do tamanho da organização. No entanto, apenas 30% tem já um orçamento alocado a esta questão. A eficácia do RGPD depende da capacidade da organização fornecer acesso a todas as fontes de informação que integram “Personal Data”. Somente algumas organizações apresentam ter esta capacidade (17%), ainda que um número significante de empresas (40%) esteja a iniciar este processo.

Face a esta realidade, o momento de colocar a privacidade e a proteção de dados nas agendas das organizações não pode ser mais adiado e deve ser aproveitada a oportunidade para corrigir as fragilidades existentes. Se as boas práticas não forem por si só um incentivo, saliente-se que as multas aplicáveis em caso de violação de privacidade e uso indevido de dados pessoais podem atingir os 20 milhões de euros ou até 4% do volume anual de negócios consolidado.

Novos direitos dos cidadãos

O RGPD reforça os direitos existentes, prevê novos direitos e confere aos cidadãos um maior controlo sobre os seus dados pessoais:

• o acesso facilitado aos seus dados — incluindo a prestação de mais informações sobre a forma como os dados são tratados e a garantia de que essas informações são disponibilizadas de forma clara e compreensível;
• um novo direito à portabilidade dos dados — que facilita a transmissão de dados pessoais entre os prestadores de serviços;
• a clarificação do direito ao apagamento dos dados — sempre que uma pessoa deixe de permitir o tratamento dos seus dados e não haja razões legítimas para a sua conservação, os dados serão apagados;
• o direito de saber se os seus dados pessoais foram alvo de pirataria informática — as empresas e as organizações terão de informar prontamente as pessoas das violações graves em matéria de dados. Terão, além disso, de notificar a autoridade de controlo da proteção de dados competente (neste caso, a CNPD – Comissão Nacional de Proteção de Dados).

Regras aplicáveis às empresas

O RGPD foi concebido para criar oportunidades de negócio e estimular a inovação através de uma série de medidas, nomeadamente:

• um conjunto único de regras à escala da UE — estima-se que uma lei única em matéria de proteção de dados válida em toda a UE contribuirá para uma poupança da ordem dos 2,3 mil milhões de euros por ano. As novas regras irão suprimir a maioria das obrigações de notificação e os custos daí decorrentes. Um dos objetivos é eliminar os obstáculos à livre circulação de dados pessoais na EU, facilitando a expansão das empresas;
• um encarregado da proteção de dados deve ser nomeado pelas autoridades públicas e pelas empresas que procedam ao tratamento de dados em grande escala;
• regras da UE aplicáveis às empresas não pertencentes à UE — as empresas estabelecidas fora da UE devem aplicar as mesmas regras quando comercializam bens ou serviços, ou controlam o comportamento dos cidadãos no interior da UE;
• regras que respeitam a privacidade e são favoráveis à inovação —garantia de que são integradas salvaguardas em matéria de proteção de dados nos produtos e serviços desde a fase mais precoce do desenvolvimento (proteção de dados desde a conceção e por defeito);
• avaliações de impacto — as empresas terão de realizar avaliações de impacto sempre que o tratamento de dados seja suscetível de resultar num risco elevado para os direitos e liberdades das pessoas;
• a conservação de um registo de atividades — as PME não são obrigadas a manter registos das atividades de tratamento de dados, a menos que tal tratamento seja efetuado regularmente ou seja suscetível de implicar um risco para os direitos e liberdades da pessoa cujos dados são tratados.

Como implementar tudo isto na sua empresa?

Em primeiro lugar, identifique quem ficará responsável por esta área e certifique-se que os dados pessoais recolhidos pela sua organização são:

• Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
• Recolhidos para finalidades determinadas, explícitas e legítimas;
• Exatos e atualizados sempre que necessário;
• Adequados, pertinentes e limitados ao que é necessário;
• Conservados de forma a que permitam a identificação dos titulares dos dados apenas durante o período necessário;
• Tratados de forma a que garantam a segurança, incluindo a proteção contra o tratamento não autorizado ou ilícito e contra a perda, destruição ou danificação acidental;
•  Tratados apenas se o titular tiver dado o seu consentimento para uma ou mais finalidades específicas.

Para tal, deve tomar medidas técnicas e organizativas que assegurem e comprovem que o tratamento é realizado em conformidade com o regulamento, incluindo a aplicação de políticas adequadas em matéria de proteção de dados. O cumprimento de códigos de conduta ou de procedimentos de certificação pode ser utilizado como elemento para demonstrar o cumprimento, garantindo:

• A pseudonimização (quando os campos de identificação contidos num registo de dados são substituídos por um ou mais identificadores artificiais) e a cifragem (quando os dados são codificados de forma a que apenas podem ser lidos por pessoas autorizadas);
• A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
• A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
• Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

Fiscalização

Caberá à CNPD fazer a supervisão e a fiscalização do cumprimento das novas regras pelas empresas e entidades públicas.

Em caso de violação de dados pessoais, o responsável pelo tratamento tem de notificar o titular e a autoridade de controlo competente (CNPD), a menos que não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. A notificação deve descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados; o ponto de contacto onde possam ser obtidas mais informações; as consequências prováveis da violação de dados pessoais; e as medidas adotadas ou propostas para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os eventuais efeitos negativos.

Diagnóstico Online de Conformidade

Por tudo o que foi referido, é imperioso que reveja as políticas de proteção de dados existentes na sua organização e adote a tecnologia que garanta a conformidade com o novo RGPD. O nosso parceiro para esta área – a SOPHOS – disponibiliza uma página online que lhe permite avaliar desde já a conformidade com o novo regulamento em áreas chave.

Sugerimos também que consulte este documento da CNPD com algumas dicas muito relevantes.

E, claro, conte connosco para qualquer apoio necessário. Temos uma equipa especializada para o aconselhar e guiar neste processo crítico e uma vasta gama de soluções premiadas da SOPHOS no âmbito da segurança e proteção de dados.

Entretanto, subscreva a nossa newsletter para ficar a par de todas as novidades e não perder nenhum artigo do blog da INOVFLOW!