CONTEÚDOS DO MÓDULO
Este último módulo estabelece algumas das novas obrigações legais dos controladores e processadores de dados impostas pelo Regulamento Europeu.
OBJECTIVOS PEDAGÓGICOS
O Regulamento Europeu impõe novas obrigações que terão um impacto considerável em qualquer entidade que tenha de gerir dados pessoais: empresas, associações, organismos públicos, bem como os seus subcontratantes.
E o princípio da "Privacy by Design" é uma dessas novas obrigações. Porque com a GDPR, qualquer projecto deve integrar a protecção de dados desde a fase de concepção: que dados devem ser recolhidos, para que fins, que informações devem ser transmitidas aos clientes ou potenciais clientes, deve ser obtido o seu consentimento? É necessário realizar uma avaliação do impacto na privacidade? Tendo em conta todos os dados tratados, é imperativo envolver o DPO logo desde o início do projecto.
O DPO é o encarregado da protecção de dados. Ele ou ela deve ser nomeado pelas empresas, assim que o processamento de dados é realizado regularmente ou os dados em questão são sensíveis.
O DPO é a principal pessoa de contacto para a Autoridade de Controlo e assegura o cumprimento dos regulamentos.
Para cumprir a sua missão, ele orquestra actividades de sensibilização, aconselhamento, avaliação de risco e controlo entre os funcionários.
O DPO é também responsável pela supervisão do registo das operações de processamento, outra nova obrigação do Regulamento Europeu, para as empresas e seus subcontratantes. Este registo deve registar informações precisas sobre as operações de tratamento efectuadas na empresa: dados de contacto do responsável pelo tratamento, finalidades, destinatários dos dados, período de armazenamento, alojamento e possíveis transferências, etc.
Porque as empresas têm de provar que cumprem os regulamentos: este é o princípio da responsabilidade ou "accountability".
Como é que isto pode ser feito?
Adoptando regras internas e medidas adequadas para assegurar que cada operação de tratamento é realizada em conformidade com o regulamento europeu e podendo demonstrá-lo à autoridade de controlo: documentação, auditorias, análises de risco, etc.
Tudo deve ser feito para proteger os dados pessoais dos clientes e funcionários! Este é outro ponto muito importante do Regulamento: a segurança! A novidade é que, em caso de fuga ou quebra de segurança, a entidade tem 72 horas para notificar a Autoridade de Controlo competente e informar as pessoas em causa em caso de risco elevado de quebra da sua privacidade.
Como este prazo é muito curto, os subcontratados, por sua vez, devem ser reactivos e notificar o seu cliente de qualquer violação de dados o mais rapidamente possível! A segurança dos dados é, portanto, elevada com o Regulamento Europeu, e deve ser garantida em todos os departamentos de qualquer organização, bem como nos seus subcontratantes.
E esta não é a única novidade para os subcontratados, que devem agora ajudar e aconselhar os seus clientes no seu cumprimento :
E, tal como acontece com os controladores de dados, a sua responsabilidade é assumida e o risco de sanções está presente.
Uma última coisa: em princípio, são proibidas as transferências de dados pessoais para fora do território da União Europeia, a menos que o país ou o destinatário forneça um nível de protecção adequado. O investimento de todos é, portanto, essencial para o cumprimento destas novas obrigações!
O DPO está aqui para o ajudar!