5 passos para cumprir a GDPR

Abril 18, 2018

Sabia que para utilizar os dados pessoais dos clientes, usuários online ou fornecedores precisa do seu consentimento expresso? Inclusive para usar o seu endereço de e-mail?

Até agora, as empresas apenas pediam uma autorização de recolha e tratamento de dados à Comissão Nacional de Proteção de Dados (CNPD). Mas a partir do dia 25 de maio, data na que entra em vigor a nova Regulamentação Europeia de Proteção de Dados (GDPR), as organizações têm a máxima responsabilidade sobre o armazenamento e tratamento dessas informações.

Este modelo de autorregulação requer “a implementação de um conjunto de mudanças ao nível dos processos de gestão de informação e adoção de novas tecnologias”, segundo o novo Regulamento.

Por exemplo, o grupo hoteleiro Vila Galé já está, há mais de um ano, a tomar medidas de acordo com a nova lei para diminuir o volume de dados solicitados aos clientes e agilizar assim os pedidos de reservas.

Da mesma forma que esta organização se está a preparar para receber a nova lei, o resto das empresas terão de fazer o mesmo. Se infringirem a norma, podem incorrer em coimas até 20 milhões de euros ou 4% da faturação do seu volume de negócio.

Para cumprir o novo Regulamento, as empresas portuguesas devem seguir 5 passos:

1. Análise e segurança online

Consiste em identificar os dados que existem dentro da sua empresa (desde os endereços de e-mail até às informações pessoais que são transmitidas ao fisco e à Segurança Social).

O objetivo é analisar o tratamento dos dados para perceber como é que a privacidade das pessoas é afetada. Só assim é que a empresa sabe como, quando e quanto investir em segurança online e em novos serviços informáticos.

Primeiro, se a empresa conta com um website deve saber se o conteúdo ali presente é estático ou dinâmico. Por exemplo, os sites desenvolvidos exclusivamente em HTML não recolhem informações pessoais dos usuários. No entanto, quando há uma migração para uma plataforma mais dinâmica, a segurança deve ser maior. Por isso, a comunicação entre site e servidor requer certificados SSL, através dos quais a informação é enviada por sistemas encriptados.

Se a organização possui uma loja ou aplicação online, o diagnóstico é mais exaustivo. Este tipo de plataformas exige, em algum momento, que os usuários façam login, através do qual acedem a imensa informação.

Com o novo Regulamento, toda empresa terá de avisar os seus usuários -como já acontecia com o consentimento das “cookies” – e gerir tais dados, comprovar prerrogativas de segurança em relação aos mesmos e dispor dessas informações.

2. Consentimento de dados

As empresas devem rever se há um consentimento expresso dos titulares para o uso e o tratamento dos dados que já existem. Estudar as políticas de privacidade e os termos de utilização é fundamental, assim como os contratos com os fornecedores e outras entidades. Toda a documentação deve estar em cumprimento com a GDPR.

3. Novos serviços

É importante perceber se a empresa cumpre todos os requisitos para ter de nomear um Encarregado de Proteção de Dados (DPO). Com a nova Regulação aparece este novo perfil profissional, que é o máximo responsável de garantir que a empresa cumpre a GDPR. Esta figura é obrigatória nas seguintes empresas:

  • Organizações que tratam dados sensíveis em grande escala como atividade principal (clínicas, hospitais, bancos…)
  • Organismos públicos, exceto tribunais no exercício da sua função jurisdicional
  • Entidades que fazem controlo regular e sistémico dos titulares dos dados.

4. Implementação de medidas

Depois de realizar o diagnóstico e rever o tratamento dos dados, convém identificar as medidas a adotar. Também é importante avaliar a necessidade de substituir os sistemas informáticos.

5. Cumprimento da lei

Garantir a contínua conformidade com a lei é vital para qualquer empresa. Daí algumas sociedades precisarem de recorrer a peritos na matéria.

Qual o custo para cumprir o novo Regulamento?

Depende, cada caso é único e diferente. Por isso, os custos empresariais podem variar muito. Há empresas que estão perto do total cumprimento, enquanto que outras podem ter de atualizar a sua infraestrutura informática ou repensar os processos de tratamento de dados pessoais.

Tag: , , , , , , , , , , , , , , , ,

Categoria: ,