Questão Icon

Quando entra em Vigor?

A partir de 25 de Maio, as empresas serão obrigadas a demonstrar que tomaram as medidas apropriadas para garantir a conformidade dos seus processos de tratamento de dados pessoais.
As coimas do RGPD são elevadas, por isso, não vale a pena correr riscos!

Info Icon

Serviço de Consultoria

Garanta a conformidade com o RGPD. Não só terá o ERP preparado para cumprir com os novos requisitos legais como terá ainda a possibilidade de ter um serviço de consultoria para garantir que todos os processos da sua empresa estão de acordo com o novo regulamento

Quer saber mais?

Envie um Email





Todas as organizações que tratem dados pessoais têm que se adaptar às novas regras, se ainda não começaram terão de começar o mais rapidamente possível

Dados Pessoais

Falta apenas

Para o RGPD entrar em vigor

10 Medidas para aplicar o RGPD

Informação aos titulares de dados

Informação aos titulares de dados

É necessário rever a informação que fornece aos titulares dos dados, por telefone ou por escrito, no âmbito da recolha de dados, independentemente de esta ser realizada junto do titular ou não.

O RGPD obriga a prestar mais informações do que atualmente, nomeadamente a base legar para o tratamento de dados, o prazo de conservação dos mesmos, informações mais detalhadas sobre as transferências internacionais, a possibilidade de apresentar queixa junto da CNPD. Dentro das exigências de maior transparência, é necessário ter especial atenção à forma como as informações são apresentadas aos cidadãos, esta tem de ser concisa, inteligível e de fácil acesso, utilizando uma linguagem clara, direta e simples. Quando as informações são dirigidas a crianças é essencial ter um cuidado redobrado.

Posto isto, tem de reformular políticas de privacidade, impressos e todos os textos que prestem informação aos titulares dos dados, validando sempre se está a fornecer a informação exigida por lei, em todas as situações.

Exercício dos direitos dos titulares de dados

Exercício dos direitos dos titulares de dados

É necessário fazer uma revisão dos processos internos de garantia do exercício dos direitos dos titulares dos dados, respondendo a novas exigências específicas do regulamento neste domínio quanto à tramitação dos pedidos, em particular aos prazos máximos de resposta. Todo o procedimento deve ser corretamente documentado.

No entanto, os direitos dos titulares foram notoriamente alargados em relação à atual lei, deste modo passou a existir o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação ou eliminação ou limitação de tratamento solicitados pelos titulares.

Deste modo, a sua organização deve estar preparada para aplicar as novas obrigações, designadamente através da manutenção da informação num formato estruturado, de uso corrente e de leitura automática, quando aplicável, e de procedimentos eficientes de comunicação com as entidades terceiras a quem passou os dados, de modo a garantir o exercício efetivo dos direitos.

Por se tratar de direitos fundamentais dos cidadãos, esta é uma área de intervenção fundamental, a qual sofreu várias alterações do ponto de vista procedimental, pelo que exige o maior cuidado na sua adaptação às novas disposições legais.

Consentimento dos titulares dos dados

Consentimento dos titulares dos dados

Deve verificar a forma e contextos em que foi obtido o consentimento dos titulares, quando este serve de base legal para o tratamento de dados pessoais. O RGPD amplifica o conceito de consentimento e apresenta novas condições para a sua obtenção, pelo que é necessário apurar se o consentimento obtido pelo responsável pelo tratamento respeita todas as exigências.

No caso de não ter seguido este comportamento, é vital obter novo consentimento dos titulares dos dados de acordo com as disposições do RGPD, sob pena de o tratamento de dados se tornar ilícito por falta de base legal.

De realçar que deve ser dada particular atenção ao consentimento de menores ou dos seus representantes legais, tendo em conta as exigências específicas do regulamento para este efeito.

Dados Sensíveis

Dados Sensíveis

Deve ser feita uma avaliação da natureza dos tratamentos de dados efetuados, com o objetivo de perceber quais os que se podem enquadrar no conceito de dados sensíveis, e por consequência criar condições específicas para o seu tratamento, relativas à legalidade do tratamento, aos diretos ou decisões automatizadas.

O regulamento veio alargar o leque das categorias especiais de dados, integrando por exemplo os dados biométricos, que passam a fazer parte do catálogo de dados sensíveis.

A análise do contexto e a escala destes tratamentos de dados tem de ser tida em consideração de forma a verificar se daí decorrem obrigações particulares, tais como a designação de um encarregado de proteção de dados.

Documentação e registo de atividades de tratamento

Documentação e registo de atividades de tratamento

É aconselhável documentar de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, para que a organização seja capaz de demonstrar o cumprimento de todas as obrigações resultantes do RGPD.

Visto que o regulamento prevê que as entidades em regime de subcontratação, nomeadas de “subcontratantes”, passem a ter quase as mesmas obrigações que os responsáveis pelos tratamentos, estando de igual modo obrigadas a provar que cumprem tudo o que lhes é exigido, a implementação desta medida de forma atempada é fundamental, pois terão de começar do zero.

Esta ação tem um relevo especial no contexto da preparação da aplicação do RGPD, pois permite fazer o levantamento integrado do que está a ser feito, de forma a validar o que é necessário corrigir e adaptar.

Contratos de Subcontratação

Contratos de Subcontratação

É aconselhável rever os contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais para validar se contêm todos os elementos impostos pelo regulamento.

Ainda que se mantenham os princípios já presentes na atual lei de proteção de dados, o RGPD vem especificar o conteúdo dos contratos de subcontratação, obrigando a introdução de um vasto conjunto de informações. De tal modo, será muito provável que os contratos existentes necessitem de ser modificados para respeitar os termos do regulamento. Existindo várias subcontratações, é necessário algum tempo para regularizar os contratos, pelo que é conveniente preparar esta análise.

Existindo a sub-subcontratação, compete ao subcontratante verificar se tem as autorizações respetivas dos responsáveis pelo tratamento, exigidas expressamente pelo novo regulamento; caso contrário, deve obtê-las até maio de 2018.

Encarregado de Proteção de Dados (DPO)

Encarregado de Proteção de Dados (DPO)

Eleger um Encarregado de Proteção de Dados (DPO) deve ser feito com a devida antecedência, até porque este poderá desempenhar um papel essencial neste período de transição para garantir que a organização cumpre todas as obrigações legais desde o início da aplicação do regulamento.

Posto isto, deve ser concedida uma especial atenção à posição de Encarregado de Proteção de Dados (DPO) dentro da organização e ao reporte ao mais alto nível, bem como às funções que lhe são atribuídas pelo RGPD, cujo pleno desempenho requer a satisfação de determinadas condições.

Além das situações previstas no regulamento em que a organização está obrigada a indicar um encarregado de proteção de dados, como é o caso das entidades públicas, o responsável pelo tratamento e o subcontratante podem sempre, mesmo não se encontrando no momento em nenhuma das circunstâncias exigíveis, decidir ter um encarregado de proteção de dados na sua organização, pelas claras vantagens que tal pode significar para o nível de cumprimento das obrigações.

Proteção de dados desde a conceção e avaliação de impacto

Proteção de dados desde a conceção e avaliação de impacto

Deve fazer uma avaliação rigorosa do tipo de tratamentos de dados que tenha planeado realizar num futuro próximo, de forma a analisar a sua natureza e contexto e os potenciais riscos que possam conter para os titulares dos dados, de modo a aplicar eficazmente os princípios da proteção de dados desde a conceção e por defeito.

Apesar destes princípios já fossem aplicados no âmbito do princípio da qualidade dos dados, o RGPD prevê a sua adoção no momento da definição dos meios de tratamento e no momento do próprio tratamento de dados, pelo que deve ser avaliada a sua aplicação atempadamente.

De forma a validar as medidas mais ajustadas, seja tendentes à pseudonimização, à minimização dos dados, ao cumprimento dos prazos de conservação da informação ou à acessibilidade dos dados, deve ter em devida conta as características do tratamento e as consequências que este pode ter nos direitos dos cidadãos. Se for suscetível de resultar num elevado risco, deve realizar uma avaliação de impacto sobre a proteção de dados, de modo a adotar as medidas apropriadas para atenuar os riscos.

Entre em contacto

Notificações de violações de segurança

Deve adotar procedimentos internos e ao nível da subcontratação, se for o caso, para trabalhar com casos de violações de dados pessoais, nomeadamente na deteção, identificação e investigação das circunstâncias, medidas atenuadoras, circuitos da informação entre responsável e subcontratante, envolvimento do encarregado de proteção de dados e notificação à CNPD, considerando aos prazos prescritos no regulamento.

Nem todas as violações devem ser reportadas à autoridade de controlo, apenas e só aquelas em que exista a possibilidade de resultar num risco para os direitos dos titulares. Contudo, todas as violações devem ser corretamente documentadas conforme legislado no RGPD.

Em casos em que o risco para os titulares possa ser elevado, é requerido que os mesmos sejam notificados, pelo que deve ser analisado desde logo o tipo de tratamento de dados realizados e o potencial risco que pode ocorrer em caso de uma violação de segurança.

Medidas técnicas e organizativas e segurança do tratamento

Medidas técnicas e organizativas e segurança do tratamento

Deve rever as políticas e práticas da organização de forma a contemplar as novas obrigações do regulamento, e tomar as medidas técnicas e organizativas apropriadas e necessárias para assegurar e poder comprovar que todos os tratamentos de dados efetuados estão em conformidade com o RGPD a partir do momento da sua aplicação.

Nesta avaliação, deve ter em conta o âmbito, natureza, contexto e finalidades dos tratamentos de dados, bem como os riscos que deles podem resultar para os direitos e liberdades dos cidadãos.

Esta avaliação permite ainda tomar as medidas necessárias para confirmar um nível de segurança do tratamento adequado, que garanta particularmente a confidencialidade e a integridade dos dados e que previna a destruição, perda e alterações acidentais ou ilegais, ou ainda, a divulgação ou acesso não autorizados de dados.

As multas podem ascender aos 20 Milhões

Tome medidas