Shiny lock on black background

O que fazer para estar em conformidade com a nova lei da proteção de dados

A nova lei de proteção de dados entra em vigor dentro de poucos meses (mais precisamente a dia 25 de maio) e muitas empresas ainda não sabem o que fazer para estarem em conformidade com a mesma.

Assim sendo, hoje iremos dar-lhe algumas dicas importantes de forma a que comece hoje mesmo a tratar deste assunto. Acredite que o tempo é escasso para a quantidade de trabalho que tem de ser realizado na grande maioria das empresas.

Nova lei da proteção de dados – O que deve ter em conta

Há mais de um ano que o Regulamento Geral da Proteção de Dados (RGPD) foi atualizado, entrando o mesmo oficialmente em vigor a dia 25 de maio de 2018.

O mesmo implica 99 artigos que trazem mudanças significativas para muitas empresas, e podem ter diferentes impactos na vida das empresas, de acordo com a sua natureza, área de atividade, dimensão ou tipo de tratamento de dados que realizem.

Assim sendo, apresentamos-lhe de seguida algumas dicas que podem ser úteis para estar em conformidade com esta nova lei.

1 – Informação aos titulares dos dados

Este é um dos principais pontos a ter em mente, e deve rever toda a informação que fornece aos titulares dos dados, sejam os mesmos obtidos de forma escrita ou pelo telefone.

Além disso, deve sempre mencionar qual é o âmbito desta recolha, independentemente da mesma ser realizada junto do respetivo titular.

2 – Ter em mente os direitos dos titulares

Neste ponto, deve rever todos os seus procedimentos internos que tenham como intuito recolher ou analisar os dados fornecidos (ou não) pelos consumidores.

Os procedimentos devem garantir o exercício dos direitos dos titulares, atendendo às novas exigências que a RGPD obriga, nomeadamente no que concerne os prazos de respostas.

Por último, neste ponto, deve ser documentado todo o procedimento para recolha e tratamento de dados, de forma a que em caso de auditoria tenha tudo regularizado.

3 – Analisar o consentimento dos titulares

A verdade é que este sempre foi um ponto muito dúbio para várias empresas, e é um dos que irá trazer mais impacto às organizações.

Assim sendo, deve verificar quais foram as circunstâncias em que foi obtido o consentimento dos titulares e se o mesmo seguiu os meios legais para que os dados possam ser mantidos e tratados.

4 – Cuidados com dados sensíveis

De forma simples os dados sensíveis são aqueles que estão sujeitos a condições específicas para o seu tratamento, nomeadamente direitos e decisões automatizadas – como é o caso de dados biométricos.

Desta forma, deve avaliar a natureza dos tratamentos de dados efetuados, de forma a enquadrar quais são aqueles que se podem enquadrar na tipologia de dados sensíveis, já que os mesmos têm de ter, obviamente, condições específicas para o seu tratamento.

5 –  Documentar e registar as atividades de tratamento

Deve documentar de forma o mais detalhada possível todas as atividades que realizar e que estejam diretas ou indiretamente relacionadas com o tratamento dos dados pessoais.

É importante ter em mente que este registo é obrigatório tanto para os dados que são obrigatórios manter, como aqueles que são tratados ao abrigo de ações internas.

Este registo é essencial para provar que a empresa se encontra a tratar os dados dos consumidores de acordo com a nova diretriz da RGPD.

6 – Analise os contratos de subcontratação

Muitas empresas obtêm os seus dados através de empresas que recolhem dados dos consumidores (como é o caso dos afiliados).

Assim sendo, é importante analisar e rever todos os seus contratos de subcontratação de serviços, de forma a perceber se os mesmos cumprem todos os requisitos exigidos pela lei da proteção de dados do consumidor.

7 – Designar um encarregado

Um ponto importante que a sua empresa terá de ter em conta, é que na grande maioria das vezes vai ter de designar um encarregado da proteção de dados.

Se o fizer com a devida antecedência poderá ter o seu trabalho facilitado, já que este irá desempenhar um papel fulcral no período de transição.

Além disso, será essa pessoa a estar encarregue de implementar e organizar todo o processo, garantindo assim que a sua empresa cumpre todos os requisitos exigidos de acordo com este novo regulamento.

Salientamos que a pessoa responsável poderá ser subcontratada a outra empresa, ou pode, eventualmente, ser outra empresa.

8 – Organizar as suas técnicas de segurança

Deve organizar e rever todas as políticas e práticas de segurança à luz do novo regulamento, de forma a poder adotar as medidas técnicas e organizacionais que são necessárias para poder comprovar que os dados que se encontram em seu poder estão em conformidade com o que é exigido por lei.

9 – Proteção de dados

Tendo em conta a necessidade de as empresas estarem preparadas para cumprir o regulamento, a verdade é que é essencial analisar as estratégias que tinha definidas para um futuro próximo da sua empresa.

Assim, avalie o tipo de dados que tem recolhidos e que tencionava tratar de modo a analisar a sua natureza e o contexto em que foram recolhidos, assim como perceber quais são os potenciais riscos para os seus titulares.

10 – Notificações de quebra de segurança

Por fim, deve adotar todos os procedimentos que sejam necessários para lidar com casos de violação de dados pessoais, nomeadamente: deteção, identificação e investigação das circunstâncias em que houve a quebra de segurança, mitigação de dados, circuitos de informação…

Enfim, deve adotar diversas medidas de modo a que no caso de algum problema tudo seja resolvido com a maior brevidade possível, frisando que as autoridades legais e os consumidores afetados têm de ser informados no prazo máximo de 72 h.

Como vê, são várias as medidas que a sua empresa tem de implementar num curto espaço de tempo, sendo por isso necessário começar a tratar de tudo com a maior brevidade possível.

Se precisar de apoio nesse sentido, não hesite em contactar-nos pois podemos ajudá-lo nesse sentido.