2017-07-26
Legal Waves para a implementação do Regulamento Geral de Proteção de Dados (RGPD)

 

por: Ana Rodrigues Bidarra & Alexandra Bessone Cardoso

Regulamento Geral de Proteção de Dados (RGPD) 

 

  1. Inventário e caracterização dos dados pessoais
  2. Documentação e registo de atividades de tratamento de dados pessoais
  3. Revisão da informação prestada aos titulares dos dados pessoais
  4. Exercício dos direitos dos titulares dos dados pessoais
    • Pedidos apresentados pelos titulares dos dados pessoais
  5. Fundamento jurídico para o tratamento dos dados pessoais
    • Consentimento dos titulares dos dados pessoais
  6. Dados sensíveis
  7. Proteção de dados pessoais desde a conceção e por defeito + Avaliação de Impacto
  8. Contratos de subcontratação
  9. Encarregado da proteção de dados pessoais – Data Protection Officer (DPO)
  10. Segurança
  11. Notificação de violações de dados pessoais
  12. Transferências de dados pessoais para países terceiros ou organizações internacionais
  13. Autoridade de controlo principal (One Stop Shop)
  14. Coimas

 

 

  1. É necessário, numa primeira fase, que a organização inventarie os dados pessoais existentes na sua estrutura (quais os dados, a quem são transmitidos, quem tem acesso, onde se encontram, qual a finalidade do seu tratamento e o período de tempo durante o qual serão conservados).

 

  1. O RGPD prevê, para os responsáveis pelo tratamento e subcontratantes, a obrigação de manutenção de um registo de todos os tratamentos de dados que executem, pelo que é imprescindível efetuar um levantamento integrado do estado atual dos processos de tratamento de dados pessoais.

 

  1. É importante que a organização reveja a informação que fornece aos titulares dos dados, independentemente do suporte (por escrito ou por telefone) ou do meio (diretamente junto do titular ou não), uma vez que o RGPD obriga os responsáveis pelo tratamento a prestar mais informações do que aquelas que são exigidas atualmente.

 

O RGPD exige que a informação seja fornecida aos titulares dos dados de forma concisa, transparente, inteligível e de fácil acesso, com linguagem clara e simples.

 

  1. É igualmente necessária uma revisão dos procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, inclusivamente o modo de eliminação dos dados pessoais e o acesso a dados pessoais por via eletrónica e num formato de utilização comum.

 

Deverá, também, ser assegurada a manutenção da informação num formato estruturado e de uso corrente, bem como de procedimentos eficazes de comunicação com as entidades terceiras a quem são transmitidos dados, de forma a assegurar o efetivo exercício dos direitos dos titulares dos dados.

 

4.1. Será necessária uma atualização de procedimentos com vista a planear a forma como a organização irá gerir os pedidos apresentados pelos titulares de dados pessoais ao abrigo das novas regras, que introduzem um prazo para fornecimento de informações, a gratuitidade da resposta aos pedidos; a fundamentação das decisões de indeferimento do pedido e a informação relativamente à possibilidade de apresentar reclamação à CNPD e intentar ação judicial.

 

  1. A organização deverá identificar os fundamentos jurídicos para cada tratamento de dados, documentá-los, introduzi-los na actualização da sua política de privacidade e demonstrá-los nos pedidos apresentados pelos titulares dos dados.

 

5.1. A organização deve verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares para efeitos de recolha e tratamento de dados pessoais, quando este serve de fundamento jurídico para o tratamento, uma vez que o RGPD alarga o conceito de consentimento e introduz condições mais exigentes para a sua obtenção. Caso o consentimento obtido pelo responsável pelo tratamento não respeite todos os novos requisitos será necessário obter novo consentimento junto dos titulares dos dados, sob pena de o tratamento se tornar ilícito por falta de fundamento jurídico.

 

É importante uma nota relativa ao consentimento de crianças e dos representantes legais, considerando as regras específicas do RGPD para o efeito, que preveem uma proteção especial para os dados pessoais das crianças, particularmente no contexto de serviços da sociedade de informação.

 

  1. A organização deve proceder a uma avaliação da natureza dos tratamentos de dados efetuados, com o objetivo de apurar quais os que se subsumem no conceito de dados sensíveis, alargado pelo RGPD e que abrange também os dados biométricos e genéticos, e aplicar condições específicas ao seu tratamento, designadamente em sede de licitude do tratamento.

 

 

  1. O RGPD vem prever expressamente a adoção destes princípios no momento da definição dos meios de tratamento e no momento do tratamento de dados propriamente dito. A organização deve proceder a uma avaliação rigorosa relativamente ao tipo de tratamentos de dados que tenha projetado realizar, de modo a aplicar com eficácia os princípios da proteção de dados desde a conceção e por defeito.

 

O RGPD também prevê que a avaliação de impacto é obrigatória sempre que um certo tipo de tratamento de dados seja suscetível de implicar um elevado risco para os direitos e liberdades dos titulares. Se a avaliação de impacto revelar que o tratamento de dados resultaria em elevados riscos e não haja mecanismos para mitigar adequadamente estes riscos, a organização deverá consultar a CNPD com vista a apurar se o referido tratamento cumpre ou não com os requisitos previstos no RGPD.

 

  1. É imperativa a definição de princípios para a contratação de parceiros externos que procedem ao tratamento de dados pessoais (subcontratantes). Também nesta matéria o RGPD eleva o nível de exigência através da definição de regras para as diferentes fases do ciclo de vida da relação do responsável pelo tratamento com o subcontratante, obrigando à revisão dos instrumentos contratuais existentes.

 

Os subcontratantes deverão apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas, de modo a que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos do titular dos dados.

 

  1. O DPO é uma das mais importantes inovações introduzidas pelo RGPD e poderá desempenhar um papel fulcral no período de transição, cabendo-lhe a responsabilidade de pilotar o programa de compliance a implementar e garantir que a organização cumpre todos os requisitos legais desde o início da aplicação do RGPD.

 

Mesmo que não se encontre abrangida pela obrigação legal de nomeação de um DPO, a organização responsável pelo tratamento de dados poderá decidir pela inclusão desta figura na sua estrutura, pelas evidentes vantagens que daí podem advir relativamente ao nível de cumprimento das obrigações impostas pelo RGPD.

 

  1. As organizações devem proceder à revisão das políticas e práticas da organização à luz das novas obrigações do RGPD e à adoção de medidas técnicas e organizativas adequadas e necessárias para assegurar e comprovar que os tratamentos de dados se encontram em conformidade com o RGPD a partir de 25 de Maio de 2018.

 

  1. Devem ser adotados procedimentos internos de forma a tornar a organização apta para gerir casos de violações de dados pessoais, tais como a deteção, identificação e investigação das circunstâncias em que possam ocorrer violações e preparação de medidas mitigadoras e circuitos de informação entre responsável e subcontratante. As violações devem ser objeto de documentação.

 

Importa, contudo, notar que as violações que se revelem suscetíveis de resultar num risco para os direitos dos titulares devem ser comunicadas à CNPD, sem demora injustificada e no prazo de 72 horas após o seu conhecimento, e ao titular dos dados sempre que aquele risco seja elevado.

 

  1. Será importante assegurar que existe um fundamento legítimo para a transferência de dados pessoais para jurisdições que não sejam objeto de uma decisão de adequação. As transferências efetuadas nestas condições apenas poderão ter lugar caso sejam apresentadas garantias adequadas e na condição de os titulares dos dados pessoais gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.

 

  1. Se a organização em causa desenvolver a sua atividade em mais que um Estado Membro da União Europeia, a autoridade de controlo do estabelecimento principal do responsável pelo tratamento é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado.

 

  1. Em caso de violação das suas disposições, o RGPD introduz um quadro sancionatório que, na sua expressão máxima, pode atingir os € 20.000.000,00 ou 4% do volume de negócios global tendo como referência o exercício financeiro anterior, conforme o montante que seja mais elevado.

 

DOWNLOAD NOTA INFORMATIVA

 

Aviso Legal: A presente Informação destina-se a ser distribuída entre Clientes e Colegas e a informação nela contida é prestada de forma geral e abstrata, não devendo servir de base para qualquer tomada de decisão sem assistência profissional qualificada e dirigida ao caso concreto. O conteúdo desta Informação não pode ser reproduzido, no seu todo ou em parte, sem a expressa autorização do editor. Caso deseje obter esclarecimentos adicionais sobre este assunto contacte-nos através do endereço de e-mail: abclegal@abclegal.com.pt