Novo Regulamento geral de proteção de dados (GDPR) da União Europeia

O Regulamento Geral de Proteção de Dados ( RGPD ) entra em vigor em 25 de Maio de 2018 e substitui a actual directiva e lei de protecção de dados pessoais em vigor.

O novo regulamento geral de proteção de dados (RGPD) ou General Data Protection Regulation – GDPR (em inglês) integra a nova legislação da União Europeia que se aplica a todos os 28 Estados-membros e a qualquer país que venda produtos ou serviços dentro da UE.

Entra em vigor a 25 de maio de 2018 e o tempo urge para todas as empresas. Seja qual for a sua área de negócio, prepare-se para entrar em conformidade com a nova lei.

Segundo a Comissão Europeia, o GDPR tem como objectivo certificar que o direito dos cidadãos à proteção de dados pessoais se mantém efectivo na era digital. Procura, essencialmente, trazer maior controlo às pessoas sobre os seus dados pessoais e construir uma maior confiança na utilização dos seus dados pelas marcas.

Informação aos titulares dos dados

O regulamento obriga a informar acerca da base legal para o tratamento de dados, prazo de conservação dos mesmos e transferência dos mesmos. Todas as políticas de privacidade e textos que prestem informação aos titulares de dados têm de ser revistos.

PRINCIPAIS REFORMAS DO GDPR

 

⇒ Acesso facilitado aos dados pessoais

Os indivíduos terão mais informação sobre como os seus dados são processados, que deve ser claramente compreensível e acessível. Nos negócios de ecommerce, isto significa rever os termos e condições, tornando-os o mais claros e directos possíveis. Adicionalmente, o novo direito à portabilidade dos dados vai tornar mais fácil a transmissão de dados pessoais entre fornecedores de serviços. Com a portabilidade de dados, o cidadão passa a poder exigir a uma empresa os dados que lhe dizem respeito num formato que permitirá a migração para outra empresa.

⇒ Direito a saber quando os dados pessoais foram invadidos

As empresas estão obrigadas a notificar a autoridade de supervisão nacional quando existe uma violação dos dados que ponha os indivíduos em risco (em 72 horas). Devem igualmente comunicar aos indivíduos afectados para que estes possam tomar as medidas apropriadas.

⇒ Direito a “ser esquecido”

Quando um indivíduo não quer mais que a sua informação seja processada, e não havendo razões legítimas para a reter, a informação será apagada. Trata-se de proteger a privacidade dos indivíduos, e não de apagar eventos passados ou restringir a liberdade à imprensa. Em ecommerce, será necessário tornar fácil ao utilizador de remover o consentimento de processamento dos seus dados ou apagar a sua conta.

⇒ Proteção dos dados “por design” e por definição

Proteção de dados “por design” significa que cada novo serviço ou negócio que faça uso de dados pessoais está obrigado a tomar em consideração a protecção desses dados. As empresas necessitam de ser capazes de mostrar/provar que têm segurança apropriada. Em termos práticos isto significa que os departamentos de tecnologias de informação (TI) devem ter em conta a privacidade dos dados no “design” da tecnologia do produto ou serviço.

Medidas de protecção “por design” podem incluir técnicas tais como pseudonimização ou encriptação.

Por outro lado, o controlador dos dados necessitará de se certificar que, por definição, apenas os dados pessoais absolutamente necessários para determinada acção específica são processados. Em termos práticos isto significa que as configurações de privacidade devem estar, por defeito, no nível mais alto de segurança (privacidade) para o utilizador. Isto implica também que os dados pessoais nunca sejam automaticamente disponibilizados a terceiros sem a intervenção dos indivíduos.

É de sublinhar que existe, adicionalmente, um elemento temporal relativamente a este princípio, já que os dados pessoais devem, por definição, apenas ser mantidos pelo espaço de tempo necessário para providenciar o produto ou serviço.

⇒ Execução mais forte das regras

O novo regulamento prevê penalizações severas para as empresas em incumprimento. Embora seja desconhecido exactamente que tipo de sanções serão aplicadas a cada caso, as autoridades de protecção de dados (CNPD) vão poder multar empresas que estejam em desacordo com o GDPR até 20 milhões de euros ou 4% do seu volume de negócios.

Novo Regulamento geral de proteção de dados

Coimas

O regulamento estabelece um quadro de aplicação uniforme assente em dois escalões (em função da gravidade) :

Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

Necessidade de eleger um Data Protection Officer (DPO)

Em alguns casos poderá ser obrigatório eleger um responsável pela proteção de dados. O regulamento prevê a obrigatoriedade de eleger um DPO nos três cenários seguintes:

  • O processamento de dados é levado a cabo por uma autoridade pública;
  • As actividades nucleares da organização consistam em operações que exigem o processamento regular e sistemático de dados pessoais numa grande escala;
  • As actividades nucleares da organização consistam em processar uma grande quantidade de informação sensível ou ofensas criminosas.

Em suma, a obrigatoriedade de ter um DPO depende da escala e âmbito das actividades de processamento de dados levadas a cabo pela empresa, pelo que é necessário que verifique a necessidade de o fazer.

Implicações para o marketing e para o ecommerce

O email marketing é, para a maioria dos negócios de ecommerce, uma parte essencial da estratégia. O GDPR vem exigir que a obtenção de consentimento por parte do utilizador, para receber qualquer tipo de comunicação ou para processamento de dados pessoais por parte da empresa, seja muito mais claro e específico. De forma a encontrar-se em conformidade com o regulamento, a obtenção de consentimento terá de ser:

  • Desagregada dos termos e condições;
  • “Opt-in”, de forma a que as caixas de consentimento não estejam automaticamente preenchidas;
  • Granular, de forma a que o consentimento para diferentes actividades de marketing receba obrigatoriamente consentimentos separados;
  • Designado, de forma a que todos os terceiros sejam especificamente mencionados.

Adicionalmente, é importante perceber que o GDPR vem encarregar as empresas de provarem que foi reunido consentimento suficiente. Isto significa que as empresas terão de mostrar evidências razoáveis que cumpriram com o GDPR, se lhes for pedido. Assim estão obrigadas a, entre outras medidas, armazenar todos os formulários de consentimento obtidos.

A informação armazenada deve ter em conta as principais questões:

  • Que informação foi recolhida?
  • Quem a recolheu?
  • Como foi recolhida?
  • Porque é que foi recolhida?
  • Como será usada?
  • Com quem será partilhada?
  • Qual o efeito sobre os indivíduos a quem os dados foram recolhidos?
  • O fim para o qual os dados foram usados poderá causar desconforto/indignação aos indivíduos?

A obtenção de consentimento, aplica-se, no entanto, a qualquer processamento de dados pessoais do utilizador além do marketing, tal como:

  • envio de email de confirmação de encomenda
  • envio de email de notificação do estado da encomenda
  • transmissão de informações às empresas transportadoras
  • transmissão de dados ao Gateway de pagamento
  • envio de newsletters
  • programas de fidelização
  • área de cliente
  • entre outros

Com a aplicação plena da nova alteração legislativa, o que está em causa é uma maior e mais eficiente proteção da informação pessoal dos cidadãos (com ênfase na forma como este são tratados e alojados em servidores informáticos).

O objetivo é o de regular uniformemente a forma como pessoas, empresas e organizações gerem os dados pessoais dos cidadãos na União Europeia e ainda na Islândia, Liechtenstein, Noruega e Suíça.

Veja este vídeo da Comissão Europeia que, em tom cómico, explica por que deve ter cuidado com o que partilha online.

Novo Regulamento geral de proteção de dados (GDPR) da União Europeia
4,7 (94,35%) 46 votos

Comentar

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*