Os dados são o novo petróleo. Informações pessoais como nome, localização ou preferências culturais e políticas revestem-se hoje em dia de particular importância para empresas do mundo digital e “real”. São uma fonte de riqueza. Por exemplo, podem ser transaccionados ou utilizados em campanhas de marketing, mas com o novo Regulamento Geral sobre a Proteção de Dados (RGPD) muitas coisas mudaram, quer para cidadãos, quer para empresas.
De modo a enquadrar esta nova realidade e, simultaneamente, proteger o cidadão, a União Europeia substituiu toda a legislação existente em matéria de proteção de dados pelo novo RGPD de modo a preservar a privacidade e a proteção dos dados pessoais.
Não se pense, contudo, que este novo regulamento é somente para gigantes como o Facebook ou a Amazon. Para além destas, as normas incluídas no RGPD abrangem, igualmente, as pequenas empresas e o modo como estas efetuam o tratamento dos dados pessoais a que têm acesso.
O não cumprimento do RGPD pode dar multa?
Todas, sem excepção, têm que cumprir com as normas estipuladas sob pena de multas que vão desde a simples advertência até 20 milhões de euros ou 4 % do volume de negócios anual global da empresa.
Porque a implementação do RGPD pode levantar mais dúvidas e dificuldades às pequenas empresas, este artigo é para elas. Siga-nos e perceba de que modo pode uma pequena empresa se deve adaptar ao novo regulamento.
Implementação do RGPD numa pequena empresa
• Controlador de dados e processador de dados
A nova regulamentação prevê a introdução de duas novas e fulcrais figuras para descrever a pessoa, empresa ou organização que está a recolher e a processar dados: controlador de dados e processador de dados. Este par, que deve estar em conformidade com o RGPD, é fulcral para qualquer lista de verificação da implementação da nova regulamentação para pequenas empresas.
O controlador de dados será a pessoa ou empresa que tem por missão garantir que a empresa está em total conformidade com o RGPD em termos de transparência, armazenamento, confidencialidade e precisão dos dados recolhidos e armazenados. De igual modo, caberá a esta figura definir o como e o porquê de os dados pessoais serem recolhidos.
Já o processador de dados estará responsável pelo processamento de dados pessoais em nome de um controlador devendo assegurar que os dados sejam processados de acordo com os requisitos do RGPD. Alguém que tenha acesso aos dados e os processe para, por exemplo, o serviço de e-mail marketing de uma empresa enquadra-se neste âmbito.
• Política de Consentimento de Dados
Estar em conformidade com o RGPD implica, de igual forma, utilizar uma linguagem simples na comunicação com os cidadãos de quem é e porque precisa dos seus dados. Deve dizer porque efetua o tratamento dos seus dados, durante quanto tempo serão conservados e quem os irá receber.
Para que esta última parte seja efectivamente cumprida, a empresa deve definir claramente uma política de consentimento de dados. O indivíduo deve concordar ativamente com isto, caso contrário, não está autorizado a obter e armazenar os seus dados em nenhuma circunstância.
A empresa deve ser capaz de demonstrar que obteve o consentimento para os dados que possui. Não ter um registo de consentimento pode resultar numa multa.
• Eliminação de dados antigos e armazenamento de dados
O mesmo acontece com a eliminação de dados antigos. A empresa deve fornecer mecanismos que simplifiquem a eliminação dos dados caso isso seja requerido pelo indivíduo a que os dados dizem respeito. Conceda o “direito ao esquecimento”.
No caso de dados recolhidos numa fase anterior ao RGPD, a empresa deve contactar os indivíduos e pedir-lhes consentimento para a utilização das suas informações pessoais. Em caso de resposta negativa, a empresa deve apagar de imediato todos os dados referentes à pessoa em questão.
Este caso leva-nos a um outro importante ponto: o armazenamento de dados. O RGPD torna essencial a definição de políticas que determinam por quanto tempo os dados podem ser armazenados.
Entre estas linhas mestras devem estar a determinação de por quanto tempo os dados dos clientes serão protegidos, como encriptar os dados e proteger o seu website com SSL, e quem tem acesso aos mesmos.
Todos os dados pessoais armazenados em caixas de entrada de e-mail, bases de dados de clientes, telemóveis e serviços baseados na cloud, como o Dropbox e o Microsoft Office 365, estão abrangidos pelo RGPD.
Verificar quem tem acesso a esses dados, de que modos são transferidos (entre diferentes departamentos, por exemplo) e o desenho de um plano de emergência no caso de uma violação de dados são de extrema importância para o cumprimento da lista de conformidades do novo regulamento.
• Formação, pedidos, fornecedores e avisos de processamento de dados
Apesar de a nova regulamentação não exigir que empresas com menos de 250 trabalhadores tenham alguém responsável pela proteção de dados, um cargo deste tipo pode ser importante para que a empresa cumpra o RGPD.
Outra forma de garantir a implementação do RGPD passa pela formação dos funcionários da empresa sobre tratamento de dados, uma vez que fugas de dados inadvertidas podem resultar numa multa pesada.
Ter uma equipa preparada para lidar com as novas exigências é também útil no caso de um cidadão querer apagar, corrigir ou alterar dados incorrectos. No caso de um pedido deste tipo, a empresa tem um mês após receber o pedido para responder às solicitações dos sujeitos aos quais os dados dizem respeito.
Longe da quase auto-suficiência de grandes empresas como a Google ou o Facebook, as pequenas empresas dependem normalmente de um alargado leque de fornecedores. A empresa deve certificar-se que também estes cumprem o RGPD fazendo-os assinar um formulário de conformidade.
Deste documento deve constar, em detalhe, a tipologia dos dados e a forma como os utilizam e os seus procedimentos de segurança e de armazenamento.
Se a empresa recolhe dados sobre menores de 16 anos, nos termos do RGPD, tem a obrigação de obter consentimento dos pais. Contudo, os Estados-Membros da UE são livres de, a título individual, reduzirem este limiar para entre 13 e 16 anos de idade, pelo que aempresa deve sempre verificar o limite de idade.
Por último, voltamos ao tema da comunicação. A empresa deve criar um documento detalhado que explique como obtém os dados, como os processa e armazena, e a forma como um indivíduo lhes pode aceder. Denominado de Política de Privacidade e Proteção de Dados Pessoais, este documento deve ser exibido num local onde esteja facilmente acessível, tal como no seu website.