A aplicação prática do Regulamento Geral de Proteção de Dados (RGPD) entra hoje em vigor, com implicações para a sua empresa. Ao longo dos últimos meses, teve oportunidade de consultar a legislação e preparar internamente a sua empresa para as regras reforçadas de proteção de dados pessoais.
Para que a preparação da sua empresa decorra da forma mais eficiente possível – e não arrisque pagar as elevadas coimas (20 milhões de euros ou 4% do Volume de Negócios global) associadas ao incumprimento do RGPD –, consulte algumas das respostas relativas ao âmbito do regulamento, histórico de dados pessoais e aplicação em Portugal, entre outras. Leia a informação e fique mais esclarecido sobre a legislação europeia.
Âmbito do RGPD
– Que empresas estão abrangidas pelo RGPD? Tanto uma clínica como uma mercearia podem estar abrangidas, por exemplo?
Sim, desde que tratem de dados pessoais de pessoas singulares para outros fins além de faturação (como o envio de newsletters e outras ações de marketing). Todas as empresas que recolhem, armazenam ou tratam dados pessoais estão abrangidas pelo regulamento.
– Todas as empresas necessitam de manter um registo das suas atividades de tratamento de dados?
Não, o RGPD prevê que esta obrigação não se aplique a empresas com menos de 250 colaboradores – exceto se esse tratamento puser em risco “os direitos e liberdades do titular dos dados, não seja ocasional ou abranja categorias especiais de dados” que deverá consultar na legislação. As empresas com mais de 250 colaboradores são obrigadas a manter um registo de todas as atividades de tratamento, com as seguintes informações:
•Nome e contactos do responsável pelo tratamento de dados;
•Finalidades do tratamento;
•Descrição das categorias de titulares e de dados pessoais;
•Categoria de destinatários a quem os dados pessoais sejam divulgados;
•Transferências de dados pessoais para outros países ou organizações internacionais, caso aplicável;
•Prazos previstos para eliminar os dados, se possível;
•Descrição geral das medidas técnicas e organizacionais para a segurança dos dados, se possível.
– A minha empresa tem como clientes outras empresas (modelo de negócio B2B). Também se aplicam as regras do RGPD, nomeadamente a resposta aos direitos dos titulares de dados e o registo das atividades de tratamento de dados?
Sim, caso esteja na posse de dados pessoais de pessoas singulares. O RGPD aplica-se a todas as empresas que possuam e tratem dados pessoais (que permitam identificar uma determinada pessoa).
– A minha empresa é obrigada a nomear um Encarregado de Proteção de Dados?
Nem todas as empresas precisam de nomear um Encarregado de Proteção de Dados. O Artigo 37.º do RGPD estabelece que esta figura é obrigatória nos seguintes casos: autoridades e organismos públicos; organizações que giram dados sensíveis em larga escala; ou organizações que exijam controlo regular e sistemático dos titulares dos dados.
Histórico de dados pessoais
– Já tenho um histórico de dados pessoais na minha empresa, recolhido antes de 25 de maio de 2018. Nesse caso, não se aplicam as regras do RGPD (nomeadamente em relação ao consentimento)?
As regras do RGPD aplicam-se a quaisquer dados pessoais na posse da organização, independentemente da data de recolha. Por isso, deverá fazer um inventário dos dados pessoais existentes e, a partir dessa indicação, tomar as medidas adequadas. Poderá ter de pedir consentimento aos titulares desses dados já na sua posse ou, em última instância, apagar os mesmos (exceto se tiverem uma implicação legal, como é o caso do NIF para efeitos de faturação).
– Um cliente fez compras pela primeira vez na minha loja, antes de 25 de maio. Abri uma nova ficha de cliente, com os respetivos dados pessoais. Terei que pedir consentimento para esses dados, no âmbito do RGPD?
Sim, caso esses dados sejam usados para outros fins além da faturação.
– Reuni dados de 500 potenciais clientes para uma campanha especial com início a 27 de maio de 2018. Terei de pedir consentimento a cada um dos titulares dos dados?
Sim, esse procedimento é essencial para que esteja em conformidade com o regulamento. O Artigo 6.º do RGPD estabelece claramente que só pode tratar dados pessoais caso o titular tenha dado “consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas”. As únicas exceções são relativas a dados legais (para efeitos de contratos ou faturação, por exemplo) ou a casos em que o interesse vital do titular dos dados ou o interesse público se sobreponha.
Em Portugal, a proposta de lei do Governo prevê um prazo adicional de seis meses (desde a publicação da lei nacional) para obter um novo consentimento que respeite as exigências do RGPD. Contudo, a proposta de lei não foi ainda aprovada em Assembleia da República.
Direitos dos titulares dos dados
– Ao abrigo do RGPD, um cliente contacta-me para exercer um dos direitos consagrados (por exemplo, o “direito a ser esquecido”, previsto no Artigo 17.º). Qual o prazo que tenho para dar resposta?
A lei não estabelece um prazo específico, fazendo apenas referência a um período de tempo razoável. No caso do “direito a ser esquecido”, por exemplo, o RGPD indica que a eliminação dos dados pessoais por parte da organização deve ser feita “sem demora injustificada”.
– Se um cliente exercer o “direito a ser esquecido”, qual o impacto para o SAFT-PT?
Os dados associados ao SAFT-PT dizem respeito a uma conformidade legal da legislação portuguesa para efeitos de faturação. Por isso, não são afetados pelo “direito a ser esquecido” pedido pelo cliente, uma vez que o RGPD não se sobrepõe à legislação portuguesa em vigor.
– Devo apagar o NIF de um cliente caso ele peça para ser “esquecido”?
O NIF é considerado um dado pessoal, uma vez que funciona como identificador de uma determinada pessoa. No entanto, este é um dado que pode ser necessário para que a empresa cumpra uma obrigação legal (faturação, por exemplo) e, nesse caso, não é abrangido pelo “direito a ser esquecido”.
– O “direito a ser esquecido” pode ser invocado por um cliente com dívidas?O “direito a ser esquecido” pode ser invocado por qualquer titular de dados pessoais. No entanto, a aplicação deste direito apenas deverá “esquecer” dados pessoais que não sejam necessários para conformidades legais da legislação portuguesa.
– O cliente pode querer que apenas um dos dados seja “esquecido”? Ou é uma lógica de “tudo ou nada”?
Sim, é possível que o cliente se queira opor apenas ao uso de um determinado dado pessoal, como um número de telemóvel, por exemplo. Terá de garantir o cumprimento deste pedido do cliente, exceto se se tratar de um dado legal (essencial para que a empresa cumpra a legislação nacional).
Dados de colaboradores
O RGPD abrange também os dados pessoais dos colaboradores da empresa ou apenas diz respeito a dados pessoais de clientes?
O RGPD aplica-se a todos os dados pessoais na posse da empresa, independentemente de serem relacionados com colaboradores ou clientes.
– Vou contratar um novo colaborador. O que devo fazer quando pedir os seus dados pessoais, de forma a estar em conformidade com o RGPD?
A recolha de dados pessoais não abrangidos pela legislação laboral pressupõe sempre o consentimento explícito ao colaborador. Poderá fazê-lo, por exemplo, através de uma adenda ao contrato de trabalho, na qual se explica o objetivo do pedido dos dados e para a qual se obtém o consentimento do colaborador.
– Como garantir o consentimento do titular dos dados no caso de um funcionário que se encontre na empresa há vários anos?
Tal como no caso dos novos colaboradores, todos os dados pessoais de funcionários recolhidos pela empresa pressupõem sempre o consentimento explícito dos mesmos. Por isso, deverá solicitar o consentimento (e registá-lo) para todos os dados recolhidos que não sejam obrigatórios no âmbito do contrato de trabalho.
Aplicação em Portugal
– Enquanto não for aprovada a proposta de lei que faz a transposição do RGPD para a legislação nacional, o regulamento não se aplica em Portugal?
O RGPD começa a sua aplicação prática a 25 de maio, sem ser necessária a transposição para o enquadramento legal dos Estados-Membros. Ou seja, apesar de a proposta de lei nacional ainda não ter sido aprovada pela Assembleia da República, tal não vai pôr em causa a data da aplicação prática do RGPD. As regulamentações nacionais apoiam a concretização do regulamento em aspetos específicos e facilitam a interpretação da lei europeia dentro do enquadramento de cada país.
– Quem vai fiscalizar o cumprimento do RGPD em Portugal?
De acordo com a proposta de lei do Governo (ainda em processo legislativo), a responsabilidade recai sobre a Comissão Nacional de Proteção de Dados (CNPD).
Relação com outras empresas
– Tenho uma base de dados de empresas para contactos comerciais. Estes dados também são considerados pessoais e sujeitos ao RGPD?
Não, apenas os dados pessoais de pessoas singulares são contemplados pelo RGPD. Confirme, no entanto, se não existem dados pessoais na base de dados (como um e-mail com o nome de um colaborador em vez um e-mail geral). Os dados de um empresário em nome individual que permitam identificar a pessoa também são considerados dados pessoais.
– Que cuidados deverei ter, no âmbito do RGPD, na relação com fornecedores?
No caso de fornecedores a quem faculte dados pessoais ou que facultem dados pessoais à sua empresa, deverá pedir um comprovativo de que estes estão em cumprimento com o RGPD. Se facultar dados pessoais a outra empresa, deverá esclarecer no pedido de consentimento ao titular que os dados em causa podem ser transmitidos a entidades terceiras.
Tenha em mente que o cumprimento do RGPD é da responsabilidade exclusiva de cada empresa. Avalie a situação geral da sua organização e prepare as alterações necessárias para estar em conformidade. Para saber mais sobre o RGPD e o apoio que o software de gestão pode dar à sua empresa, consulte-nos.
Veja mais em: http://ec.europa.eu/justice/smedataprotect/index_pt.htm