Obrigações legais

O Regulamento Europeu impõe novas obrigações que terão um impacto considerável em qualquer entidade que tenha de gerir dados pessoais: empresas, associações, organismos públicos, bem como os seus subcontratantes.

E o princípio da "Privacy by Design" é uma dessas novas obrigações. Porque com a GDPR, qualquer projecto deve integrar a protecção de dados desde a fase de concepção: que dados devem ser recolhidos, para que fins, que informações devem ser transmitidas aos clientes ou potenciais clientes, deve ser obtido o seu consentimento? É necessário realizar uma avaliação do impacto na privacidade? Tendo em conta todos os dados tratados, é imperativo envolver o DPO logo desde o início do projecto.

O DPO é o encarregado da protecção de dados. Ele ou ela deve ser nomeado pelas empresas, assim que o processamento de dados é realizado regularmente ou os dados em questão são sensíveis.

O DPO é a principal pessoa de contacto para a Autoridade de Controlo e assegura o cumprimento dos regulamentos.

Para cumprir a sua missão, ele orquestra actividades de sensibilização, aconselhamento, avaliação de risco e controlo entre os funcionários.

O DPO é também responsável pela supervisão do registo das operações de processamento, outra nova obrigação do Regulamento Europeu, para as empresas e seus subcontratantes. Este registo deve registar informações precisas sobre as operações de tratamento efectuadas na empresa: dados de contacto do responsável pelo tratamento, finalidades, destinatários dos dados, período de armazenamento, alojamento e possíveis transferências, etc.

Porque as empresas têm de provar que cumprem os regulamentos: este é o princípio da responsabilidade ou "accountability".

Como é que isto pode ser feito?

Adoptando regras internas e medidas adequadas para assegurar que cada operação de tratamento é realizada em conformidade com o regulamento europeu e podendo demonstrá-lo à autoridade de controlo: documentação, auditorias, análises de risco, etc.

Tudo deve ser feito para proteger os dados pessoais dos clientes e funcionários! Este é outro ponto muito importante do Regulamento: a segurança! A novidade é que, em caso de fuga ou quebra de segurança, a entidade tem 72 horas para notificar a Autoridade de Controlo competente e informar as pessoas em causa em caso de risco elevado de quebra da sua privacidade.

Como este prazo é muito curto, os subcontratados, por sua vez, devem ser reactivos e notificar o seu cliente de qualquer violação de dados o mais rapidamente possível! A segurança dos dados é, portanto, elevada com o Regulamento Europeu, e deve ser garantida em todos os departamentos de qualquer organização, bem como nos seus subcontratantes.

E esta não é a única novidade para os subcontratados, que devem agora ajudar e aconselhar os seus clientes no seu cumprimento :

• transparência e rastreabilidade
• consideração dos princípios de protecção de dados desde a fase de concepção e por defeito
• assistência, alerta e conselho

E, tal como acontece com os controladores de dados, a sua responsabilidade é assumida e o risco de sanções está presente.

Uma última coisa: em princípio, são proibidas as transferências de dados pessoais para fora do território da União Europeia, a menos que o país ou o destinatário forneça um nível de protecção adequado. O investimento de todos é, portanto, essencial para o cumprimento destas novas obrigações!

O DPO está aqui para o ajudar!