GDPR General Data Protection Regulation
Mas o que é o GDPR?
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados foi publicado em 2016 com um período de adaptação de 2 anos sendo aplicável no dia 25 de maio 2018.
O Regulamento é aplicável diretamente em todos os países membros e não carece de regulamentação nacional, garantindo uma maior equidade em todos os Estados membros.
O que defende o GDPR?
O Regulamento respeita todos os direitos fundamentais e observa as liberdade e os princípios reconhecidos na CARTA DOS DIREITOS FUNDAMENTAIS DA UNIÃO EUROPEIA (2000/C 364/01) consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística.
Qual a aplicabilidade do GDPR?
Aplica-se ao tratamento de dados pessoais de titulares singulares residentes no território da União Europeia (independentemente da sua nacionalidade ou do seu local de residência), efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União Europeia, quando as atividades de tratamento estejam relacionadas com:
a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;
b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na União.
O Regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva.
O Regulamento não se aplica ao tratamento de dados pessoais efetuado por pessoas singulares no exercício de atividades exclusivamente pessoais ou domésticas e, portanto, sem qualquer ligação com uma atividade profissional ou comercial.
O Regulamento não se aplica aos dados pessoais de pessoas falecidas.
A reter: O Regulamento aplica-se a todas as organizações pois no limite procedem ao tratamento dos dados pessoais dos seus Colaboradores.
Quem deve respeitar o GDPR?
Aplica-se a organizações responsáveis pelo tratamento de dados pessoais de titulares que se encontrem na União Europeia (UE) ou organizações subcontratadas para o efeito situados na UE, independentemente lo local de tratamento ser ou não na UE.
O responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o Regulamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis.
O que são dados pessoais?
«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados») direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente, sem demora injustificada, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.
Quais as condições gerais para a aplicação de coimas?
A violação das disposições do Regulamento de forma comprovada judicialmente origina coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.
O que é o consentimento do Titular dos Dados?
O princípio da transparência exige que a informação sobre o tratamento dos dados pessoais seja de fácil acesso e compreensão, formulada numa linguagem clara e simples e inclua identidade do responsável pelo tratamento (e subcontratante se existir) e finalidades específicas explícitas e legítimas a que o tratamento se destina, assegurando que o prazo de conservação dos dados seja limitado ao mínimo.
Os dados pessoais deverão ser tratados de uma forma que garanta a devida segurança e confidencialidade, incluindo para evitar o acesso a dados pessoais e equipamento utilizado para o seu tratamento, ou a utilização dos mesmos, por pessoas não autorizadas.
O consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito.
Não se deverá considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado.
Quais os princípios relativos ao tratamento
dos dados pessoais?
E quais são os direitos do titular?
- Direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento e informação sobre a origem dos dados que não tenham sido recolhidos junto do titular;
- Direito de se opor ao tratamento dos dados pessoais;
- Direito à portabilidade dos dados:
- Direito de apresentar reclamação a uma autoridade de controlo;
- Direito de conhecer informações úteis relativas à lógica subjacente à definição de perfis, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados;
- Direito de receber informações adicionais caso o responsável pelo tratamento e/ou subcontratante tiver a intenção de proceder ao tratamento posterior dos dados pessoais para um fim que não seja aquele para o qual os dados pessoais tenham sido obtidos.
Quando devo nomear o Encarregado da Proteção de Dados?
A organização tem de nomear um Encarregado de Proteção de Dados ou DPO Data Protection Officer (Interno ou subcontratado) nos seguintes casos:
a) O responsável pelo tratamento é um organismo público;
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados (saúde, jurídicos).
Como é que sua organização pode assegurar o cumprimento das regras do Regulamento?
A QualiWork desenvolveu um novo serviço de consultoria e formação dedicado a apoiar os seus Clientes no cumprimento do novo Regulamento Geral de Proteção de Dados Pessoais e daí retirar valor para as pessoas, os processos e sistemas de informação das Organizações.
- Consultor DPO
- Data Protection Impact Assessment (DPIA)
- Metodologia de gestão do risco
- Projeto Pessoas + Processos + Tecnologia
- Formação GDPR
- Auditoria interna GDPR
Consulte a QualiWork para obter a melhor proposta para a sua Organização!
Sónia Vieira
Diretora
Outubro 2017
SERVIÇOS QUALIWORK
A Qualiwork é uma empresa de consultoria e formação, sendo, desde 2004, certificada pela NP EN ISO 9001. Efetuou a transição do seu Sistema de Gestão da Qualidade para a V2015 em Abril 2016 no âmbito de:
- Prestação de serviços de Consultoria, Formação e Auditoria no âmbito de normas de referência nacionais e internacionais a Entidades Públicas e Privadas (Qualidade, ISO 20000 IT Service Management, Segurança da Informação, Cadeia de Responsabilidade Florestal FSC ® e PEFC ®, Ambiente, Investigação, Desenvolvimento e Inovação IDI, Segurança no Trabalho, Segurança Alimentar, Gestão da Formação DGERT, entre outros)
- Consultoria em mapeamento de processos
É, desde Abril 2009, uma Entidade Formadora certificada pela DGERT, o que permite aos seus clientes usufruir de diversas vantagens, sendo a mais notória o facto das formações frequentadas serem isentas de IVA e os certificados emitidos aos formandos estarem enquadrado nesta certificação.
Para informação mais detalhada sobre estes serviços deverá entrar em contacto com
sonia.vieira@qualiwork.pt 917842136 – pedro.santana@qualiwork.pt 917843174
Bibliografia/Referências:
- Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016
- https://www.cnpd.pt/bin/rgpd/10_Medidas_para_preparar_RGPD_CNPD.pdf
O presente documento constitui um resumo e interpretação livre por parte da QualiWork não dispensando nem substituindo a leitura da legislação aplicável.
