RGPD: 12 passos para preparar a sua empresa
O Regulamento Geral de Proteção de Dados (RGPD) está prestes a ter aplicação obrigatória em todos os países da União Europeia (EU). O que significa que, a partir de 25 de maio, as empresas que não cumprirem as exigentes regras de tratamento e segurança dos dados podem ser penalizadas com multas até 20 milhões de euros (ou 4% do volume de negócios global). Sabe como preparar a sua empresa para o RGPD?
Mais proteção para os consumidores, novas exigências para as organizações, novos valores de coimas e harmonização da legislação de dados pessoas em todos os Estados-Membros da (UE). De forma resumida, estas são os grandes destaques associados ao RGPD. No detalhe, contudo, a regulamentação pode trazer grandes alterações para a sua empresa, sobretudo ao nível organizacional.
O que muda na sua empresa com o RGPD?
Praticamente todas as empresas lidam com dados pessoais de forma diária. Desde informações sobre os seus clientes até às bases de contacto para envio de newsletters, por exemplo, são muitos os dados na posse das organizações, embora nem todos estejam a ser geridos da melhor forma.
O impacto real do RGPD varia de empresa com empresa. As mudanças a implementar estão muito relacionadas com os seus processos atuais de tratamento e segurança de dados pessoais, mas também com o seu sector de atividade e dimensão.
A responsabilidade de cumprir o RGPD é exclusivamente da empresa. Cabe à sua organização atualizar processos internos ou definir novos processos para dar resposta à legislação
Quais são as penalizações?
O incumprimento do RGPD implica multas máximas de 20 milhões de euros ou de 4% do volume de negócios global, a partir de 25 de maio.
No mínimo, a multa pode ser de 1000 euros (contraordenação grave) ou 2000 euros (contraordenação muito grave) para uma PME. Estes são os valores mínimos de coimas propostos pelo Governo, ainda em processo de aprovação pela Assembleia da República.
Thank you for Signing Up |
Prepare a sua empresa, passo a passo
Fase inicial: preparação interna e avaliação da situação atual
Passo #1 – Reúna informação e promova um maior conhecimento interno
Reforce o seu conhecimento sobre o RGPD e garanta que os colaboradores da empresa estão informados. É importante que consulte o texto do regulamento no Jornal Oficial da União Europeia e que promova formações internas sobre o tema. Afinal, o conhecimento é a melhor defesa contra erros nos processos internos, em diferentes níveis. Invista sobretudo no conhecimento do RGPD para colaboradores que tratem dados pessoais (para uso em campanhas de marketing, por exemplo) e para líderes.
Passo #2 – Identifique e analise os processos atuais
Antes de começar a implementar mudanças na empresa, é importante que conheça em detalhe os processos atuais. Por isso, faça um levantamento da forma como os dados pessoais de terceiros são recolhidos na sua empresa; de que forma é que esses titulares dão oseu consentimento; qual a finalidade dos dados; quem tem acesso aos dados; e como são armazenados e geridos.
Nesta fase, todos os processos da empresa que envolvam dados pessoais devem estar identificados. Tome nota de alguns exemplos:
- Inquéritos para obtenção de dados pessoais, que necessitam de consentimento explícito do titular para que possam ser armazenados;
- Acessos internos a dados pessoais de terceiros, que devem ser sujeitos a diferentes níveis de autorização;
- Armazenamento de dados, avaliando se estão devidamente identificados em localizações seguras ou, pelo contrário, dispersos em ficheiros XLS nas máquinas dos colaboradores e na cloud.
Passo #3 – Identifique os dados pessoais já existentes
Além dos processos, é necessário também identificar os dados pessoais já recolhidos, armazenados e em uso na sua empresa. Para iniciar este levantamento, responda internamente a estas perguntas:
- Que dados pessoais possui a empresa?
- Que tipo de dados são?
- Qual a finalidade e localização do armazenamento?
- Em que momentos são usados?
- Quem forneceu os dados?
O RGPD coloca diferentes exigências de acordo com o tipo de dados pessoais envolvidos. Por isso, é fundamental que, quando fizer o levantamento dos dados atuais, proceda à sua categorização:
- Dados Pessoais: dados que identificam claramente uma pessoa (e-mail, nome, telefone, nº de contribuinte, …);
- Dados Sensíveis: relacionados com saúde (doenças ou relatórios médicos, por exemplo), orientação religiosa, política ou sexual, entre outros;
- Dados Legais: podem incluir dados pessoais, mas são necessários para que uma empresa cumpra com a legislação em vigor (por exemplo: o número de contribuinte para emissão de faturas).
Fase de implementação: planeie, execute ações e altere processos
Passo #4 – Identifique aspetos a rever, a corrigir ou a implementar de raiz
A partir do levantamento da situação inicial, identifique os principais riscos e vulnerabilidades de segurança. Defina que medidas terão de ser tomadas, em termos de recolha, armazenamento e demais processos de gestão de dados pessoais.
Passo #5 – Crie procedimentos destinados à proteção de dados pessoais
Em função dos pontos identificados no passo anterior, crie procedimentos de proteção para reduzir vulnerabilidades. Implemente, por exemplo, níveis de acesso aos dados pessoais, bases de dados específicas e boas práticas de conduta (como não deixar recados visíveis com dados pessoais, não deixar CV de candidatos em cima da secretária, não deixar impressões com dados pessoais “esquecidas” na impressora, …), entre outros procedimentos.
Passo #6 – Desenhe novos processos para garantir os direitos dos titulares dos dados
Com a aplicação prática do RGPD, deverá assegurar que os direitos dos titulares dos dados são cumpridos de forma eficaz. Crie processos internos para que a sua empresa esteja apta, a qualquer momento, a cumprir os pedidos dos titulares dos dados, como por exemplo:
- Direito ao esquecimento (a empresa deve limpar todos os dados pessoais associados a esse titular);
- Direito ao acesso aos dados;
- Direito à retificação dos dados;
- Direito à portabilidade dos dados (a empresa deve fornecer todos os dados pessoais associados a esse titular num formato legível e atual).
Passo #7 – Atualize documentos, formulários e disclaimers (em suporte físico ou no website da sua empresa)
Atualize todas as suas políticas de privacidade e textos informativos aos titulares dos dados, para que estejam de acordo com o RGPD. O pedido de dados ao respetivo titular deve ser feito com uma linguagem simples, indicando claramente que dados estão a ser requeridos, com que fundamento, para que efeito e durante quanto tempo serão armazenados, qual a entidade e quais os contactos do responsável pelo tratamento dos mesmos.
Passo #8 – Obtenha o consentimento claro dos titulares dos dados
Ajuste também a forma como pede o consentimento dos dados: deverá ser dado explicitamente pelo titular, não sendo suficiente o consentimento omisso. Ou seja, formulários com a indicação “assinale caso se oponha a este consentimento” deixam de ser válidos, já que o titular deve apontar claramente que concorda com o consentimento.
Possui dados cujo consentimento não foi claro ou explícito? Deverá obter um novo consentimento por parte dos titulares ou, caso não seja possível, eliminá-los.
Fase de continuidade: assegure o cumprimento do RGPD para o futuro
Passo #9 – Implemente os conceitos de Privacy by Design e Privacy by Default
Todo o processamento de dados pessoais na sua empresa deve ser feito tendo em conta, a cada passo, a proteção de dados e a privacidade (Privacy by Design). Além disso, quando recolher dados pessoais, deve garantir que, por norma, apenas pede os dados necessários para os fins estritos indicados (Privacy by Default).
Passo #10 – Salvaguarde que fornecedores e subcontratantes cumprem o RGPD
Garanta que as normas adotadas para o cumprimento do regulamento constam do contrato com as entidades subcontratadas.
Passo #11 – Forme a sua equipa
Agora que a sua equipa já está familiarizada com o RGPD e os processos já foram implementados, comunique aos seus colaboradores o que deve ser feito para salvaguardar a proteção de dados e o cumprimento da legislação.
Avalie se a sua empresa precisa de nomear Encarregado de Proteção de Dados (obrigatório para entidades públicas e organizações que tratem dados sensíveis em larga escala). Mesmo que não seja obrigatório no seu caso, é importante que defina um responsável claro por responder a solicitações de titulares de dados e auditorias.
Passo #12 – Prepare sempre um Plano B
O que acontece se um ficheiro com dados pessoais for roubado da sua empresa? Ou se dados pessoais forem acedidos por um colaborador não autorizado? Não é possível eliminar todos os riscos, pelo que deverá antecipar diferentes cenários e preparar planos de ação alternativos. Tenha em conta que, em caso de uma violação de dados pessoais, a sua empresa tem 72 horas para notificar a entidade responsável, devendo ainda informar os titulares dos dados em causa.
Adapte a sua empresa, implemente novos processos e ajuste as práticas existentes. Tudo para que, a 25 de maio, o seu negócio esteja preparado para o RGPD. Mas, mais do que isso, faça do regulamento uma oportunidade para proteger ainda mais os dados dos seus clientes e reforçar a sua confiança.