Alguno de los términos más buscados
Em caso de violação de dados pessoais – entende-se por violação uma falha na segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso a dados pessoais – a empresa que tem esses dados em seu poder é obrigada a reportar o incidente à Comissão Nacional para a Proteção de Dados (CNPD) num espaço de 72 horas. Nesse relatório, a empresa terá de explicar qual o tipo de violação, a quantidade de dados que foram expostos, as medidas que irá tomar para que não haja outra violação, as soluções para mitigar os possíveis efeitos adversos e as consequências que essa violação pode trazer para os respetivos donos dos dados (as pessoas). Se essa violação trouxer riscos elevados para a liberdade ou para os direitos dos consumidores, a empresa terá ainda de notificar todos os indivíduos que constavam na base de dados que foi alvo desses incidentes. O novo regulamento dá poderes ao regulador para que este passe multas cada vez mais pesadas a todos aqueles que não façam estas notificações.
As penalizações para quem não estiver em conformidade com a nova lei de proteção de dados irão ser muito mais severas. Há vários artigos da lei que regulamentam as penalizações aos infratores. As multas poderão atingir os dez milhões de euros ou 2% da faturação registada pela empresa no ano anterior a ser detetada a infração. Isto para os casos de falhas no cumprimento de exigências técnicas ou organizacionais, como avaliações de impacto de roubo de dados, falha na comunicação de violações das suas bases de dados, ou falta de certificações. Para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados, o não respeito pelo consentimento dado pelo utilizador, a transferência de dados pessoais para outros países ou organizações que não assegurem um determinado nível de proteção de dados, o novo regulamento prevê multas que poderão atingir os 20 milhões de euros ou 4% do volume de negócios da empresa. Será aplicado o maior valor entre os dois parâmetros. Trata-se de uma evolução brutal no custo das multas em relação ao que estava em vigor. Por exemplo: em 2016 a empresa inglesa de telecomunicações Talk Talk teve uma multa recorde de 460 mil euros por, devido a falhas de segurança, ter permitido que lhe fossem roubados os dados pessoais,
incluindo números de contas bancárias, de 157 mil clientes. Se este caso se desse após esta nova lei, a multa teria ascendido aos 80 milhões de euros.
obriga a todas as entidades que envolvam “o uso de processamento de dados pessoais em larga escala, monitorização de bases de dados ou determinadas categorias de dados pessoais” a designar um encarregado de proteção de dados. Será a pessoa responsável pela verificação de todos os procedimentos da empresa de acordo com as normas da RGPD. Terá ainda a responsabilidade de avaliar o risco de impacto de medidas tomadas pelas empresas sempre que as decisões envolvam o processamento de dados. Será também o interlocutor entre a empresa e o regulador, nesta matéria.
Serão impostas restrições à transferência de dados pessoais para fora da União Europeia. As empresas terão de verificar as suas operações para identificar quais as circunstâncias em que enviam dados dos clientes para fora do espaço comunitário e assegurar-se de que essas transferências estão de acordo com as normas estabelecidas no RGPD.
A transparência é um dos pontos-chave deste regulamento e as empresas vão ter de explicar melhor aos seus clientes ou utilizadores dos seus serviços qual a informação que estão a juntar e a processar. Isto irá obrigar muitas entidades que recolhem dados, quer eletronicamente quer por telefone, a rever as suas práticas e a reformular impressos, políticas de privacidade, bem como todos os textos de informação que apresentam aos seusclientes ou utilizadores. A partir de 25 de maio, o cliente terá o direito de saber qual a base legal para o tratamento dos dados e o prazo durante o qual estes irão ser mantidos.
A Google e o Facebook estão a preparar-se para esta nova lei dando aos seus utilizadores mais acesso à informação de que dispõem sobre eles. A rede social de Mark Zuckerberg revelou em janeiro os princípios de privacidade que irão estabelecer a forma como os utilizadores podem controlar a sua privacidade no Facebook. Segundo a Reuters, Zuckerberg já admitiu que não estenderá esta nova política aos países que não pertencem à União Europeia. A Google, por sua vez, solicitou aos seus utilizadores para reverem e atualizarem os seus dados. Atualizou a sua política em relação aos anúncios e alertou para a necessidade de as pessoas alterarem e reverem os seus padrões de privacidade. O motor de busca criou ainda uma página específica para informar sobre as alterações que irão ser impostas pelo RGPD.
A nova lei irá obrigar muitos negócios a rever todas as práticas de processamento de bases de dados. Além de terem de contratar um encarregado de proteção de dados (ou designar um responsável interno), terão de criar um plano de proteção das suas bases de dados, implementar medidas de segurança mais apertadas e fazer avaliações mais regulares dessas medidas. Os especialistas alertam para o facto de muitas empresas terem mecanismos automáticos de processamento de dados que possam ser esquecidos nesta transformação.
*In Visão 12/04/2018