O RGPD resumido, em português

3 min read

RGDP

A data para entrada em vigor do Regulamento Geral sobre a Proteção de Dados, que habitualmente é referido como RGPD, está quase a chegar mas ainda não tinha conseguido ler na íntegra o regulamento.

Aproveitando duas viagens de avião, lancei-me na tarefa de tentar chegar à página 88, onde M. Schulz e J.A. Hennis-Plasschaert tornam obrigatória a aplicação do regulamento em todos os Estados-Membros.

Como nota prévia, a declaração que este resumo não dispensa o necessário aconselhamento legal.

O que é o RGPD ?

GDPR (General Data Protection Regulation) ou RGPD (Regulamento Geral sobre a Proteção de Dados) diz respeito ao Regulamento 2016/679 do Parlamento Europeu relativo ao tratamento de dados pessoais, que veio revogar a Diretiva 95/46/CE.

Assegura em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

Surge para substituir regulamentos antigos, considerando agora novas tecnologias como redes sociais, smartphones ou inteligência artificial.

Com as organizações a terem quebras de confiança no que diz respeito à forma como lidam com os dados dos clientes, era necessária uma mudança significativa na forma como as organizações abordam a privacidade dos dados pessoais, em que agora os clientes são os donos dos seus dados, não as organizações.

PRINCÍPIOS

O Art 5º do RGPD explicita 6 princípios relativos ao tratamento de dados pessoais:

a) Licitude, lealdade e transpa­rência;

b) Limitação das finalidades;

c) Minimização dos dados;

d) Exatidão;

e) Limitação da conservação;

f) Integridade e confidencialidade;

A este acresce o dever da Responsabilidade do responsável do tratamento de dados.

DIREITOS

Com o RGPD, o titular dos dados pessoais passa a ter o direito de:

  • Ser informado;
  • Acesso;
  • Retificação;
  • A Ser Esquecido;
  • Restrição;
  • Portabilidade Dos Dados;
  • Oposição;
  • Não sujeição a automação de decisão;

O prazo de resposta pelo responsável do tratamento de dados ao exercício destes direitos é no máximo de um mês.

MEDIDAS

Para poder comprovar a conformidade com o RGPD, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a concepção e da proteção de dados por defeito, tais como:

  • as informações ou comunicações relacionadas com o tratamento dos dados pessoais devem ser de fácil acesso e compreensão, formuladas numa linguagem clara e simples;
  • consentimento deve ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca. O silêncio, as opções pré-validadas ou a omissão não deverão, por conseguinte, constituir um consentimento;
  • consentimento abrange todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins, de forma clara e concisa;
  • consentimento pode ser retirado a qualquer momento E deve ser tão fácil de retirar quanto de dar.
  • Os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados. Para isso, é necessário assegurar que o prazo de conservação dos dados seja limitado ao mínimo;
  • Deverão ser adoptados os procedimentos razoáveis para que os dados pessoais possam ser retificados, apagados ou deixarem de ser objeto de tratamento se não forem necessários para a finalidade para a qual foram recolhidos ou tratados;
  • O responsável pelo tratamento de dados deve poder demonstrar que está em conformidade com o RGPD, tendo sido capaz de implementar as políticas e procedimentos adequados, e consegue suportar essa afirmação com registos adequados;
  • Os dados pessoais deverão ser tratados de uma forma que garanta a devida segurança e confidencialidade, incluindo políticas de acesso a dados pessoais e equipamento utilizado para o seu tratamento, ou a utilização dos mesmos, por pessoas não autorizadas;
  • O titular dos dados deverá poder conhecer a identidade do responsável pelo tratamento e as finalidades do tratamento de dados, e quando possível do período durante o qual os dados são tratados, da identidade dos destinatários dos dados pessoais, e quando tiver por base a definição de perfis, das suas consequências;
  • Ter procedimentos que permitam entregar os dados pessoais num formato estruturado, de uso corrente, de leitura automática e interoperável, e a transmiti-los a outro responsável;
  • Assegurar que os os dados pessoais deixam de ser tratados para fins de marketing ou definição de perfis assim que o titular dos dados exercer o seu direito de oposição;
  • confiar atividades de tratamento apenas a subcontratantes que ofereçam garantias­ que cumpram os requisitos do RGPD, podendo considerar-se um código de conduta aprovado ou um procedimento de certificação aprovado para demonstrar o cumprimento das obrigações;

Espero que este breve resumo das notas principais venha ajudar quem desenvolve atividades de marketing, existindo outras áreas que não foram incluidas, tais como o papel dos organismos reguladores ou como cada estado deve transpôr esta legislação.

Reforço que esta informação não deve ser encarada como conselho legal: não sou advogado nem pretendo sê-lo; é apenas uma ajuda para o marketeer que não tem disposição para ler legislação.

Mais informações

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.