As 5 noções básicas do RGPD

19-03-2019

O RGPD já chegou! A sua empresa já implementou comportamentos e regras que garantem o cumprimento do RGPD? Veja abaixo as 5 noções que são imprescindíveis ter conhecimento, para todas as micro e pequenas empresas de Portugal.

1. O que é o RGPD (Regulamento Geral da Proteção de Dados)?

O RGPD regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/CE. O RGPD introduz não só novas regras, como também elevadas coimas em caso de incumprimento, o que exige uma atenção cuidada das Organizações que lidam com dados pessoais.

Deve ser nomeado um Responsável de Dados Pessoas (RDP), que será a pessoa que recolhe e trata os documentos, que contém dados pessoais.


2. O que são dados pessoais?

É a informação relativa a uma pessoa singular identificada ou identificável. Inclui dados genéticos e dados biométricos. Incluí o nome, número de identificação, dados de localização, identificadores por via eletrónica, bem como um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Tratamento, inclui não só a recolha, mas também todo o "manuseamento".

Dados pessoais são informações de uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.

Exemplos de dados pessoais:

  • o nome e apelido;
  • data de nascimento;
  • um endereço de correio eletrónico como: nome.apelido@empresa.com;
  • o número de um cartão de identificação;
  • dados de localização (por exemplo, a função de dados de localização num telemóvel);
  • um endereço IP (protocolo de internet);
  • testemunhos de conexão (cookies);
  • o identificador de publicidade do seu telefone;
  • os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.

    

3. Como se trata um dado pessoal?

Recolha, Registo, Organização e Estruturação.

Não é necessário que apenas uma pessoa tenha acesso aos dados pessoais, mas é obrigatório estruturar acessos consoante as necessidades.

Se a sua empresa tiver a finalidade na sua "cabeça", da necessidade dos dados, é muito mais fácil minimizar os dados. Se os dados não são necessário, devem ser eliminados. Se pensar bem, para que necessita de guardar todos os dados? Esta é a ideia base, "preciso de ter estes dados guardados?" se a resposta for não, já sabe que deve destruir a informação, mas se a resposta for sim então seguem-se outras perguntas: "durante quanto tempo?", "quem, da sua equipa, precisa de ter acesso a estes dados?".

4. Como informar as pessoas da recolha dos dados?

No momento da recolha dos dados deve informar as pessoas do seguinte:
  • quem é sua a empresa/organização;
  • porque é que a sua empresa/organização irá utilizar os seus dados pessoais (finalidades);
  • as categorias* de dados pessoais em causa;
  • a justificação jurídica para o tratamento dos seus dados;
  • durante quanto tempo serão conservados os dados;
  • quem mais poderá receber os dados;
  • se os dados pessoais serão transferidos para um destinatário fora da UE;
  • que a pessoa tem o direito a obter uma cópia dos dados (direito de acesso aos dados pessoais), bem como outros direitos básicos no domínio da proteção de;
  • que a pessoa tem o direito de apresentar uma reclamação a uma APD;
  • que a pessoa tem o direito de retirar o seu consentimento em qualquer altura.
* Existem várias categorias de dados pessoais: Internas, Externas, Históricas, Financeiras, Sociais e Rastreamento.


5. Direito a apagar ou não apagar os dados do individuo:

O RGPD dá às pessoas o direito de pedirem que os seus dados sejam apagados e as organizações têm a obrigação de o fazer, exceto nos seguintes casos:

  • os dados pessoais que a empresa possui são necessários para exercer o direito à liberdade de expressão;
  • quando uma obrigação jurídica obriga a conservar os dados;
  • por motivos de interesse público (por exemplo, saúde pública, investigação científica ou histórica).

Se a sua empresa tiver efetuado o tratamento de dados ilicitamente, terá de os apagar. Se se tratar de uma pessoa cujos dados pessoais tenham sido recolhidos quando a pessoa era menor, os mesmos terão de ser apagados.

No que se refere ao direito a ser esquecido, as organizações devem tomar medidas razoáveis (por exemplo, medidas técnicas) para informar outros sítios web de que uma determinada pessoa solicitou o apagamento dos seus dados pessoais.

Os dados não têm de ser apagados:

Se a sua empresa gere um jornal e um dos seus jornalistas publica um artigo sobre um político acusado de branqueamento de capitais em bancos offshore. O político pede-lhe que elimine o artigo em questão porque os seus dados pessoais estão a ser objeto de tratamento. Uma vez que está a utilizar os dados pessoais para exercer o direito à liberdade de expressão, em princípio não será obrigado a apagar os dados. No entanto, depende da legislação em vigor.

Os dados têm de ser apagados:

Se a sua empresa gere uma plataforma de comunicação social. Um menor publica fotografias na plataforma. No entanto, alguns anos mais tarde, decide que as fotos que publicou poderão prejudicar as suas perspetivas de carreira. Uma vez que a pessoa era menor no momento da publicação das fotografias, a empresa é obrigada a apagar as fotografias.


www.linkedin.com/in/sofia-loureiro-863105164/

Autor do post
Sofia Loureiro

Share
© 2019 Sofia Loureiro, Gestora de Recursos Humanos, 1700 Lisboa
Desenvolvido por Webnode
Crie o seu site grátis! Este site foi criado com a Webnode. Crie o seu gratuitamente agora! Comece agora