THE GDPR BUZZ: está pronto para o dia D?

Em 2016, quando o GDPR, o Regulamento Geral de Protecção de Dados da UE, foi votado, todos o tomaram de ânimo leve, sendo muito provavelmente pouco claro quanto ao seu conteúdo. Embora o dia D tivesse sido anunciado desde então, os proprietários de empresas encontraram outras fontes de stress, uma vez que a GDPR ainda era considerada um negócio difuso. Agora, estamos quase a ficar sem tempo e este novo conjunto de regulamentos apanhou-nos. O que precisamos de fazer o mais rapidamente possível é acertar os nossos factos e elaborar um plano de acção. Portanto, vamos dar um pequeno passeio pelo GDPR e verificar o quê, quem, e um pouco sobre o como deste caso.

A corrigir o recorde

Comecemos com o essencial. O que é exactamente este negócio do GDPR?

Em 2016, a UE decidiu trazer várias alterações notáveis à lei de protecção de dados já existente. Uma vez que estamos a falar de uma lei com 22 anos, a necessidade de mudança é óbvia, especialmente porque estamos constantemente a gabar-nos da impressionante velocidade com que a tecnologia está a avançar. O GDPR aborda a manobra de dados pessoais no espaço da UE, mais especificamente, as 28 nações membros.

Ao mencionar dados pessoais no contexto do GDPR, a referência específica diz respeito a qualquer informação que conduza a uma pessoa singular identificada ou identificável. Em termos simples, a GDPR diz respeito às pessoas e ao seu direito à privacidade dos dados. Num mundo governado pela tecnologia, GDPR muda de papel, dando poder sobre os botões de controlo às pessoas, certificando-se de que estas sabem como utilizá-los.

Para além dos dados pessoais, que é um termo-chave neste novo conjunto de regulamentos, também tem processamento, o que é igualmente importante. O processamento de dados pessoais é uma noção ampla, mas destina-se a ser como tal. Se fizer alguma coisa com dados pessoais, recolha, armazenamento, adaptação, transmissão, nomeá-los, é considerado processamento. Agora, faça-o dentro do espaço da UE e está sujeito a este novo conjunto de regulamentos.

Dada a carga de trabalho implícita, o GDPR veio a suportar multas para garantir que todas as empresas cumprem. Apenas para lhe dar uma pista do tipo de multas que foram fixadas, uma multa por incumprimento da GDPR pode atingir o espantoso montante de 20 milhões de euros ou 4% da sua receita anual, o que for maior.

Quem é você exactamente?

A nova regra de protecção de dados faz referência às empresas que vendem bens/serviços dentro do espaço da UE. No entanto, há várias interpretações que também devem ser consideradas. Por exemplo, a sua empresa poderia estar sujeita à GDPR se estiver a tratar com dados pessoais de cidadãos da UE para fins de marketing. Poderá opor-se rapidamente a mencionar que a sua empresa está sediada fora do espaço da UE. Não seja rápido a celebrar, porque o problema ainda está lá. Se estiver a processar dados de cidadãos da UE por qualquer razão, está de facto sujeito à GDPR.

Colocando o GDPR no contexto actual, foram criados três grupos.

• Titular dos dados: uma pessoa identificável
• Controlador de dados: pessoa singular ou colectiva, autoridade pública, organização ou agência que determina a finalidade dos dados recolhidos
• Processador de dados: uma pessoa singular ou colectiva, uma autoridade pública, organização ou agência que trata os dados em nome do responsável pelo tratamento

Claramente, cada uma das categorias acima listadas tem direitos/obrigações diferentes. Os processadores e colectores de dados têm mais ou menos as mesmas obrigações, sendo a sua interacção regida por um contrato, no qual o processador deve especificar claramente a natureza, duração e finalidade do processamento de dados.

Por outro lado, através da GDPR, as pessoas em causa ganharam vários direitos, entre os quais se pode mencionar o direito a ser solicitado o consentimento, o direito a ser esquecido, o direito de acesso aos dados, ou o direito a receber notificações de violação.

Então, o que se segue?

Infelizmente, as coisas não se limitam a escolher os lados e decidir onde o seu negócio melhor se encaixa. O maior desafio de todos é não ler e compreender a GDPR, embora estejamos a falar de 88 páginas de texto judicial hardcore. O maior desafio de todos é tornar-se cumpridor antes do 25 de Maio de 2018. Aqui estão vários pontos que poderá querer estudar a fundo:

• Embarque-os: É preciso começar a repensar a ideia de consentimento, porque a partir de agora, o poder está nas mãos do cliente. No GDPR, nenhuma acção relacionada com dados pode ser feita na ausência de um consentimento obtido, claro e simples, que pode ser provado a qualquer momento.
• Engraçado perguntar: Uma vez que os titulares dos dados têm agora o direito de pedir a portabilidade dos dados, as empresas precisam de poder satisfazer pedidos deste tipo. Terá de desenvolver um sistema de portabilidade de dados de um ambiente seguro para outro sem ter de enfrentar complicações.
• Desta vez, é tudo por sua conta: O tratamento de dados pessoais tornou-se um assunto delicado, muito semelhante à forma como trataríamos dados sensíveis. O consentimento sobre dados pessoais é, por si só, uma posse valiosa, pelo que deve ser estabelecida uma documentação mais rigorosa, incluindo registos de dados exaustivamente elaborados.
• S.O.S. Breach Alert: No caso de uma violação de dados que seja reconhecida como um risco para as pessoas em causa, que possa afectar as suas liberdades e direitos, as empresas são obrigadas a notificar os indivíduos, bem como as autoridades competentes. Por conseguinte, é necessário um plano a este respeito.

Uma vez que o mundo ainda precisa de informações relacionadas com o GDPR, saiba que está a ser elaborada e será publicada uma lista de verificação de todas as etapas do GDPR que precisam de ser tomadas em consideração. Portanto, fique atento e comece a fazer os seus trabalhos de casa sobre o GDPR.

Declaração de exoneração de responsabilidade: Tenha em conta que este artigo não deve ser tratado como aconselhamento jurídico no cumprimento do GDPR. O único objectivo deste artigo é facilitar uma melhor compreensão da lei aprovada da UE sobre privacidade de dados.

Se necessitar de aconselhamento jurídico sobre o assunto, pedimos-lhe que procure a assistência de um advogado, que possa aplicar o GDPR às necessidades específicas da sua empresa.