O novo Regulamento de Proteção de Dados entrou em vigor em 25 de Maio de 2016, tendo sido concedido às empresas e entidades públicas um período de 24 meses para adaptação. O regulamento, que se aplica aos 28 estados membros, será aplicado, obrigatoriamente e de forma uniforme, em todo o espaço comunitário a partir de 25 de maio de 2018.
Com o novo Regulamento, as empresas terão de avaliar internamente o impacto dos tratamentos de dados pessoais, passando a assegurar de forma integral os direitos dos detentores dos mesmos. Com a entrada em vigor do regulamento, deixarão de ser necessários alguns procedimentos atualmente em vigor, regulados pela autoridade competente (CNPD), tais como a obrigação de notificação prévia de tratamento de dados pessoais, e o pedido de autorização para casos de tratamento de dados pessoais sensíveis.
Quais os passos que deve tomar ao nível da sua organização para a tornar compliant com o GPDR?
Nomear um data protection officer
O encarregado da proteção de dados (data protection officer), deverá ter conhecimentos no domínio do direito e das melhores práticas da proteção de dados, e terá como função garantir o cumprimento das regras do novo Regulamento. A necessidade de nomear um data protection officer não se aplica a pequenas e médias empresas cuja atividade principal não seja tratamento de dados
Definir procedimentos de data breach
Passa a ser obrigatório reportar qualquer data breach ou perda de informação pessoal no prazo máximo de 72 horas, bem como ter definidos esses procedimentos, constantes da norma ISO 27001. Quando a fuga de informação for de informação susceptível de causar impactos aos indivíduos afectados, os mesmos deverão ser igualmente notificados diretamente. Também este ponto exclui as pequenas e médias empresas, desde que não existam riscos elevados e a informação guardada não seja sensível.
E quais as funcionalidades que os seus sistemas de informação deverão suportar?
Direito ao esquecimento
Um cidadão vai poder exigir à sua empresa que elimine a totalidade dos seus dados pessoais. Além da remoção em si, o seu sistema deverá guardar um registo de quando esta acção foi executada e por quem.
Direito à portabilidade de dados
Um cidadão passa a poder exigir à sua empresa os dados que lhe dizem respeito num formato que permita a sua migração para outra empresa, pelo que é fundamental que o seu sistema consiga extrair toda a informação direta ou indiretamente associada a uma determinada pessoa num formato estruturado (exº xml)
Direito de oposição ao profiling
O seu sistema deverá conseguir registar quais os indivíduos que indicaram recusa ao tratamento automatizado dos seus dados, como é normalmente feito em processos de análise comportamental, criação de perfis de consumo, etc. Nessas situações esses indivíduos e os seus registos não poderão ser incluídos nesses processos.
Privacidade by default & by design
O responsável pelo tratamento dos dados deverá determinar medidas que assegurem a proteção de dados desde a conceção das aplicações informáticas, tais como a minimização do tratamento de dados pessoais, a pseudonimização dos dados, a sua encriptação, etc. O objetivo é que quando se abordam questões que incluem registo e tratamento de dados pessoais, se deverá logo ter em conta como serão os dados protegidos e como serão garantidas todas as salvaguardas do novo regulamento.
Registos e prova de Consentimento
Ao nível do relacionamento online com clientes, o seu sistema deverá expor as políticas de privacidade numa linguagem o mais clara e percetível possível, Além disso, deverá guardar o registo desse mesmo consentimento pelo indivíduo, que terá que ser dado de uma forma livre e inequívoca.
Multas e penalizações
A União Europeia irá basear a aplicação do novo regulamento numa forte fiscalização, com as infracções a serem punidas com coimas de valores muito elevados. Violações de menor gravidade poderão ser sancionadas com multas de 10 milhões de euros ou 2% do volume mundial de negócios do grupo onde a empresa se insere, e violações mais graves serão sancionadas com multas que podem ascender a 20 milhões de euros ou 4% do volume de negócios mundial.
Com a nova regulação, a aplicação da lei respeitante à proteção de dados é agora mais exigente. Assim, as empresas que necessitem de cumprir o novo regulamento deverão definir a sua estratégia tanto a nível de sistemas (através da encriptação da informação veiculada e da forma de acesso a computados), bem como ao nível do software utilizado (CRM’s, ERP’s etc), garantindo o cumprimento destas novas directrizes.
Por forma a ajudar as empresas a responder a estes requisitos, na ThinkOpen preparámos já a solução no Odoo para que o CRM, sistema de Recrutamento ou mesmo o ERP da sua empresa (Odoo) esteja em conformidade com estas novas normas.
Contacte-nos para mais informações. Temos uma equipa especializada para o aconselhar e guiar neste processo.