PME Magazine - Edição 5 - Julho 2017

More documents

Recommendations

Info

Opinião REGULAMENTO DA PROTEÇÃO DE DADOS Diogo Lopes Barata colabora pontualmente com a PME Magazine Por: Diogo Lopes Barata, advogado na Lopes Barata & Associados Sociedade de Advogados, R. L. Fotos: D.R. O novo Regulamento Geral sobre a Proteção de Dados (RGPD) foi publicado no Jornal Oficial da União Europeia em 4 de maio de 2016, sendo apenas aplicável a partir do dia 25 de maio de 2018. O novo regulamento vem mudar o paradigma da proteção de dados, uma vez que o tratamento de dados pessoais passará a ter um impacto constante e relevante na organização das empresas e no desenvolvimento da sua atividade, pelo que urge deixar algumas notas para que as empresas possam adaptar-se a um novo enquadramento jurídico. O RGPC vem estabelecer as regras de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação, dos mesmos, na medida em que vem regular o tratamento destes dados, quer por meios automatizados, quer por meios não automatizados contidos em ficheiros ou a eles destinados, incluindo o tratamento de dados pessoais por instituições, órgãos, organismos ou agências da União Europeia. Com a introdução do RGPD, as empresas enfrentam uma nova realidade, uma vez 48 que terão que passar de uma lógica de compliance para uma lógica de gestão de riscos. Nos termos do RGPD, dados pessoais significam informação relativa a uma pessoa singular identificada ou identificável. Desta forma, o conceito de identificável inclui o nome, número de identificação, dados de localização, identificadores por via eletrónica, bem como um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Os dados genéticos e biométricos também são considerados como dados pessoais. Para que o tratamento seja lícito, os dados pessoais deverão ser tratados após a obtenção de um consentimento do titular dos dados. O consentimento, que poderá assumir a forma de uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral, deverá ser conferido mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca
de que o titular de dados consente no tratamento dos dados que lhe digam respeito. O regulamento apresenta dois novos princípios que devem nortear o tratamento de dados pessoais e que devem ser incorporados em todos os processos e departamentos das empresas, inclusive na conceção de novos produtos e serviços assentes em dados pessoais, de forma a proteger os direitos dos titulares dos mesmos: proteção de dados desde a conceção (privacy by design) e proteção de dados por defeito (privacy by default). As empresas deverão ter um maior cuidado com os procedimentos de tratamento de dados pessoais, nomeadamente com os direitos dos titulares dos dados pessoais, onde se incluem os seguintes direitos: direito à transparência, direito à informação, direito de acesso, direito de retificação, direito de apagamento (direito a ser esquecido), direito à limitação do tratamento, direito à notificação, direito de portabilidade dos dados, direito de oposição e decisões individuais automatizadas (profiling), direito de oposição a marketing direto, e ainda direito de apresentar reclamações junto das Autoridades de Controlo (CNPD). Todas as entidades sujeitas ao tratamento de dados pessoais estão sujeitas ao princípio de Accountability (Prova e Evidência de Cumprimento), pelo que estão obrigadas a demonstrar que cumprem com o Regulamento, nomeadamente que os dados pessoais que possuem são legítimos, estão adequados e limitados à sua finalidade, estão exatos e atualizados e que foram tratados de uma forma segura e confidencial. Este princípio traz uma mudança de paradigma, uma vez que deixa de existir a obrigação de notificar a CNPD, para passarem a ser as empresas a deter a responsabilidade de demonstrar o cumprimento do regulamento, a qualquer momento, às entidades fiscalizadoras. Outra das novidades é a criação da figura de um encarregado de proteção de dados (Data Protection Officer – DPO). Este encarregado deve ser designado sempre que: o tratamento for efetuado por uma autoridade ou um organismo público; as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua JULHO 2017 WWW.PMEMAGAZINE.COM natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados. Esta figura pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços, ainda que possa exercer outras funções e atribuições, desde que não haja nenhum conflito de interesses. É também criado um sistema de balcão único (on e stop shop), no caso de grupos multinacionais com vários estabelecimentos na Europa, em que a autoridade de proteção de dados do local do estabelecimento principal do grupo passa a assumir a liderança no controle e supervisão de todos esses estabelecimentos.Sempre que se verificar uma violação de dados pessoais (data breaches), os responsáveis pelo tratamento de dados têm a obrigação de notificar quer a autoridade de controlo, quer os indivíduos afetados (incluindo clientes). Esta notificação deverá ser feita, no prazo máximo de 72 horas, após o responsável ter tido conhecimento da violação, e deve conter: a descrição da natureza da violação dos dados pessoais (incluindo as categorias, o número de titulares de dados afetados, o número de registos de dados pessoais em causa), o contacto do encarregado da proteção de dados, a descrição das consequências prováveis da violação de dados pessoais e quais as medidas a adotar para reparar ou atenuar os potenciais efeitos negativos. O registo detalhado de todas as atividades de tratamento de dados pessoais, bem como a realização de avaliações de impacto sobre a proteção de dados são outros dos procedimentos obrigatórios que estão previstos no RGPD. “DADOS PESSOAIS DEVERÃO SER TRATADOS APÓS UM CONSENTIMENTO DO TITULAR” 49
Page 1 and 2: julho 2017 | trimestral | Edição
Page 3 and 4: Editorial Um ano e tanto por descob
Page 6 and 7: “ Figura de destaque SER CRIADOR
Page 8 and 9: Figura de destaque De qualquer mane
Page 10 and 11: Figura de destaque alguns tímidos,
Page 12 and 13: Figura de destaque PME Mag.- Quais
Page 14 and 15: Foi um objetivo político que o PS,
Page 16 and 17: Figura de destaque António Saraiva
Page 18 and 19: PME Mag. - Como é, para si, ser pa
Page 20 and 21: Casos de sucesso Rittal celebra 15
Page 22 and 23: investimento Médio oriente para as
Page 24 and 25: internacional Lavandarias self-serv
Page 26 and 27: internacional Espanha é o mercado
Page 28 and 29: Ambiente PME Mag.- Qual o investime
Page 30 and 31: esponsabilidade social Comprar de f
Page 32 and 33: EMPREENdeDORISMO DAS TECNOLOGIAS AO
Page 34 and 35: RH MINDMAPS - A FERRAMENTA PERFEITA
Page 36 and 37: RH BI YOLANDA MORCILLO É A NOVA DI
Page 38 and 39: Medir para gerir A IMPORTÂNCIA DE
Page 40 and 41: Marketing EMAIL MARKETING: O MENINO
Page 42 and 43: Tecnologia “NÃO ACREDITO QUE COM
Page 44 and 45: Tecnologia “ENTIDADES GOVERNAMENT
Page 46 and 47: Agenda RISE SUMMIT LEVA EMPREENDEDO
Page 50 and 51: Opinião No caso das avaliações d
Page 52: ASSESSORIA MEDIÁTICA Redação e e

PME Magazine - Edição 5 - Julho 2017

Create successful ePaper yourself

Delete template?

Save as template?