Volvido quase um ano da entrada em vigor da fiscalização sobre a aplicação do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 dispõe sobre a Proteção de Dados Pessoais, cumpre fazer um balanço do sucedido.
Muito se tem falado deste assunto, mas a verdade é que existem ainda incertezas e indefinições e continuamos a aguardar a Regulamentação nacional, uma vez que a proposta de lei existente não foi aprovada. Contudo, tal não pode ser uma justificação para que as organizações adiem a implementação do RGPD, o que se tem vindo a verificar numa grande maioria dos casos. De facto, houve um impulso de implementação no início do ano passado que depois se foi perdendo ao longo do ano.
Todavia, com as informações disponibilizadas pela Comissão Nacional de Proteção de Dados (CNPD) no seu site, já se afigura possível criar um sistema interno a cada organização que cumpra as previsões legais e garanta a proteção dos dados pessoais tratados.
Desta forma e sucintamente, relembramos a seguinte informação:
O RGPD vida proteger os direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais, entendendo-se como dado pessoal qualquer “Informação relativa a uma pessoa singular Identificada ou identificável”, direta ou indiretamente, em especial por referência a um identificador (nome, número, dados de localização, etc).
Este Regulamento aplica-se ao sector público e ao sector privado (salvo exceções como o exercício de atividades não sujeitas ao Direito da U.E, EM no âmbito da política externa e de segurança comum ao TU.E, Pessoa singular no âmbito pessoal ou doméstico e Autoridades competentes para efeitos de prevenção, deteção e repressão de infrações penais e em concreto ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da U.E. (independentemente do tratamento ocorrer dentro ou fora da U.E.)
Por tratamento dos dados entende-se a “operação ou conjunto de operações sobre dados pessoais (…) tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”, significando por isso que se englobam todas as atividades que refletem o ciclo de vida da informação, desde a recolha até à destruição.
Significa isto que pelo menos ao nível de recursos humanos (dados pessoais dos trabalhadores), as organizações terão de tomar medidas para cumprir as normas do RGPD.
Por assim, ser elencamos as 10 medidas identificadas pela CNPD como essenciais para preparar a implementação do RGPD: Informação aos titulares dos dados, Exercício dos direitos dos titulares dos dados, Consentimento dos titulares dos dados, Tratamento de dados sensíveis, Definição de documentação e registo de atividades de tratamento, Criação dos procedimentos para contratos de subcontratação, Definição do encarregado de proteção de dados, Medidas técnicas e organizativas e segurança do tratamento, Proteção de dados desde a conceção e avaliação de impacto e Notificação de violações de Segurança. (veja-se www.cnpd.pt)
Posto isto e para quem ainda não iniciou este processo importa antes de mais diagnosticar a situação (que dados pessoais trata na organização, como faz esse tratamento, qual o processo envolvido, quem são os responsáveis), fazer avaliação do impacto para os dados pessoais (avaliando a necessidade de utilização e manutenção dos dados, tendo sempre presente o principio da necessidade e proporcionalidade desse tratamento) e implementar as medidas de segurança (físicas e digitais) que minimizem o risco existente, demonstrando evidências de todo o processo à semelhança do que existe num sistema de gestão da qualidade.
Dando estes passos estaremos a antecipar ao invés de agir após a fiscalização.
Volte atrás
Anuncie
Assine
Login
