O que é o RGPD?
O Regulamento Geral de Proteção de Dados (RGPD) é a nova legislação de proteção de dados da União Europeia (UE) que vai substituir a Diretiva de Proteção de Dados de 1995, bem como as várias normativas daí decorrentes, aplicadas nos diferentes Estados-membro. O objetivo passa por tornar as Leis da UE mais homogéneas, no que respeita à Proteção da Privacidade de Dados pessoais dos cidadãos.
Quando entrou em vigor?
O RGPD entrou em vigor a 25 de Maio de 2018.
A quem se aplica?
As novas normas aplicam-se a todas as organizações, independentemente da dimensão, volume de negócios, públicas ou privadas, que processem dados pessoais de cidadãos da UE ou de cidadãos não europeus que estejam, ou tenham estado na UE e, cujos dados tenham sido recolhidos pelas referidas empresas - mesmo que o processamento dos mesmos ocorra fora da UE.
A que tipo de dados se aplica?
O RGPD aplica-se a dados pessoais, sendo estes, qualquer tipo de informação relacionada com uma pessoa física identificada ou identificável. Incluem-se nesta categoria, nomes, fotos, endereços de correio eletrónico, dados bancários, informações médicas mas, também publicações em redes sociais, endereços IP de computadores, dados de localização e imagens CCTV (imagens videovigilância). Estão abrangidas as informações armazenadas em bases de dados, bem como os dados contidos em formulários preenchidos pelos utilizadores. O RGPD define, também, uma categoria especial de dados pessoais sensíveis, como os genéticos e biométricos.
Que novos direitos define para os titulares dos dados pessoais?
O RGPD reforça os critérios de privacidade e segurança dos titulares dos dados pessoais detidos pelas organizações, impondo uma política de privacy by design e de privacy by default. Assim, as organizações têm de proteger a privacidade dos dados pessoais, desde a recolha ao armazenamento, passando pelo processamento e até ao "apagamento". Além disso, têm de assegurar que só os dados estritamente necessários, para fins específicos, são recolhidos. Os cidadãos têm também o direito ao "esquecimento", quando um titular o solicitar, os seus dados têm de ser removidos ou apagados da base de dados, no prazo de um mês, salvo os casos em que não é possível, por existência de Lei que se sobreponha ao RGPD; e o direito de portabilidade - o titular de dados pode solicitar que os mesmos sejam transferidos de uma entidade para uma terceira, sem quaisquer custos. Têm, ainda, o direito de restringir o processamento dos seus dados e podem retificá-los a qualquer momento.
Quais as alterações relativamente a falhas de segurança?
O RGPD obriga as organizações a reportarem falhas de segurança, à autoridade supervisora e à pessoa/pessoas cujos dados pessoais tenham sido "violados", num prazo de 72 horas, após as mesmas terem sido detetadas. Esse report deve incluir a extensão e o tipo de falha, bem como o número de dados afetados, bem como os procedimentos detalhados de atuação, para conter o problema e resolvê-lo. A organização é, ainda, obrigada, a estabelecer medidas preventivas para melhorar a segurança informática e evitar novas falhas.
Quais são as multas para quem não estiver em conformidade?
As organizações que não tomem as medidas adequadas para a aplicação das novas normas, submetem-se à aplicação de multas que podem ascender aos 20 milhões de euros, ou a 4% do volume de negócios anual total (conforme o valor que for mais elevado - não aplicável a organismos públicos). O RGPD prevê, também, a responsabilização das organizações pelos danos provocados pelo incumprimento, nomeadamente, quando os dados pessoais de cidadãos sejam "violados". Estão previstas, ainda, compensações por interrupção ou restrição das transferências de dados, por falta de consentimento do cliente para processamento dos mesmos, pela não realização de avaliações de risco, entre outras penalizações, pelo não cumprimento do RGPD.