GDPR (General Data Protection Regulation), um resumo

Em menos dum ano, a nova GDPR entra em vigor em toda a UE. Este regulamento substitui a Data Protection Directive 95/46/EC, foi aprovado no parlamento europeu a 14 de abril de 2016 e passa a ser de  aplicação obrigatória a partir de 25 de maio de 2018.

O propósito é uniformizar a legislação sobre a proteção dos dados relativos aos cidadãos europeus dentro e fora das fronteiras da UE. Os cidadãos passam a estar mais protegidos e a ganhar novos direitos. São considerados dados pessoais quaisquer dados pertencentes a uma pessoa física e que podem ser usados para a identificar de forma direta ou indireta.
Exemplos de dados pessoais são: o nome, a sua fotografia, endereço de email, dados bancários, artigos publicados em redes sociais, dados médicos, o endereço IP do seu computador, etc.

A que obriga o novo regulamento?

  • Sempre que houver coleta ou processamento de dados pessoais, o cidadão europeu deve ser informado antecipadamente de forma clara e concisa, sem esconder ou mascarar o facto por trás de longos e complexos textos legais. O cidadão deve poder subscrever-se ou anular a subscrição em qualquer altura e de forma fácil e direta.
  • Sempre que houver uma quebra na segurança da entidade que coleta os dados, com consequências para os cidadãos, esta entidade deve notificar as agências locais de proteção de dados num prazo máximo de 72 horas após tomar conhecimento. Os cidadãos afetados devem ser informados sem demoras indevidas.
  • O cidadão pode requerer à entidade se possuem os seus dados, quê dados concretamente, onde, e com quê finalidade. A entidade é obrigada a responder de forma gratuita, pudendo ser a resposta em formato eletrónico.
  • O cidadão pode requerer que os seus dados sejam apagados e qualquer processamento adicional detido.
  • O cidadão pode requerer à entidade uma cópia dos seus dados num formato suscetível de ser processado de forma automática.
  • As entidades que coletam e processam os dados dos cidadãos, devem limitar-se a recolher os dados mínimos necessários para o propósito da prestação do serviço e a limitar ao mínimo o número de pessoas e serviços que acedem aos mesmos.
  • Deixa de ser necessário informar às agências locais que a coleta e processamento de dados é feita. Esta obrigação é substituída por outra de manter um registo interno.
  • Nas entidades cujo propósito principal é a coleção e processamento de dados, deve ser nomeado um responsável interno pela proteção de dados.

A quem afeta?

  • A todas as entidades que processam dados pessoais de residentes na União Europeia.
  • Aos cidadãos com 16 anos de idade ou superior. Para menores de 16 anos, é precisa autorização dos tutores para subscrever qualquer serviço.

Consequências de não cumprimento?

Diferentes níveis de alertas e coimas, até um valor máximo de 4% da faturação anual ou 20 milhões de euros (o que for maior).

Algumas sugestões de implementação

Para evitar eventuais penalidades e complicações, os dados recolhidos podem ser pseudo-anonimizados. Quer isto dizer que os dados são transformados de tal forma que não é possível usá-los diretamente para identificar uma pessoa individual. Um método para o fazer passa por encriptar os dados com uma chave. Os dados encriptados deixam de ser legíveis diretamente. A chave deve ser guardada separadamente dos dados para evitar uma obvia falha de segurança. Se os dados não podem ser usados para identificar pessoas, deixa de existir obrigação de as notificar em caso de quebra de segurança e (potencial) roubo de dados.

 

Este regulamento obrigará todas as empresas a rever as suas práticas e procedimentos. A recolha, armazenamento e procesamento de dados pessoais deve ser um processo consciente, com os procedimentos claramente documentados. Devem ser indicados quais os dados guardados e o seu propósito, onde são guardados, quem tem acesso aos mesmos, etc. É importante poder demonstrar que as pessoas consentiram na recolha dos seus dados através de comunicações claras e específicas.

 

 

Referências e recursos