Em 5 de Maio de 2016 entrou em vigor a reforma das regras de proteção de dados através de uma diretiva da União Europeia que os estados membros têm que transpor para as legislações nacionais até 6 de Maio de 2018. O objetivo deste conjunto de regras é proporcionar aos cidadãos europeus o controlo sobre os seus dados pessoais, sendo este um dos pilares da estratégia de implementação do mercado único digital. Esta diretiva visa a uniformização da legislação que regula a coleta, gestão e proteção de dados pessoais nos estados membros, facilitando a troca de dados entre fronteiras dentro da União Europeia. A diretiva impõe às organizações novas obrigações.
O incumprimento da lei em vigor quanto à proteção de dados é punido por elevadas coimas que podem ascender a 4% da facturação anual global ou a
As linhas orientadoras do novo regulamento para a proteção de dados reforçam a necessidade de clarificar a informação a prestar aos titulares acerca da forma de utilização dos mesmos, nomeadamente da base legal para a sua recolha e prazo de conservação. O consentimento dos titulares é alterado relativamente à legislação anterior obrigando à revisão dos consentimentos já concedidos e a obtenção de novos. As novas regras para obtenção de consentimento passam a ser muito mais exigentes, nomeadamente quanto à clareza da finalidade para a qual os dados são recolhidos, devendo ser adoptada uma linguagem clara, simples e sem ambiguidades. A legislação introduz novos direitos para os titulares dos dados, como o direito à portabilidade dos mesmos, o direito ao esquecimento e o direito de oposição a Profiling.
O que significam as novas regras da proteção de dados para os titulares?
O titular pode exigir a uma empresa que elimine a totalidade dos seus dados pessoais. Os sistemas informáticos onde os dados residem deverá conter mecanismos que devem registar quando os dados foram eliminados e por quem.
Os sistemas informáticos deverão proporcionar medidas que impeçam o tratamento automático de dados, como é o caso por exemplo da não aceitação de cookies ou de outras técnicas que possam ser usadas para a determinação de perfis de consumo ou de análise comportamental, sempre que o consentimento para tal não seja obtido.
O titular pode exigir que a empresa lhe forneça os seus dados em formato estruturado (CSV, XML, JSON) para migração. Desta forma é necessário que os sistemas estejam aptos a proporcionar a exportação de dados pessoais nestes formatos.
As aplicações informáticas têm que ser revistas ou desenhadas tendo em mente as novas regras, minimizando o tratamento de dados pessoais, proporcionando a pseudominização dos dados, encriptando os dados sensíveis.
As organizações devem assim tomar um conjunto de ações com vista à compliance com a nova regulamentação para a proteção de dados.
Como devem as empesas proceder em conformidade com a lei da proteção de dados
- Desde logo, nomear um Data Protection Officer que será responsável pela monitorização e garantia do cumprimento das novas regras.
- Inventariar e classificar os registos de dados pessoais garantindo a sua protecção, confidencialidade, integridade e disponibilidade.
- Avaliar o risco da segurança de informação implementando um plano com medidas mitigação e contingência.
- Definir procedimentos em caso de intrusão e perda de dados de acordo com a norma ISO 27001, inclusive a notificação das autoridades competentes, sendo que quando a perda for de informação susceptível de causar impactos aos indivíduos afectados, os mesmos deverão ser igualmente notificados.
- Avaliar e implementar um plano de segurança relativo aos dados pessoais que estejam acessíveis a parceiros, fornecedores, prestadores de serviço e outras entidades externas.
- Efetuar ações de consciencialização em todas as equipas da organização, com especial ênfase nos departamentos de IT, Recursos Humanos, Marketing e Vendas.