Faltam cerca de 2 meses para que o novo Regulamento Geral da Proteção de Dados (“RGPD”), que já entrou em vigor, tenha aplicabilidade total.
À medida que a data, de 25 de maio de 2018, se aproxima, temos vindo a notar uma crescente preocupação no mercado com os temas da proteção de dados.
A nível interno, a novidade mais recente chegou no passado dia 22 de março através de um comunicado do Conselho de Ministros no qual se refere que foi aprovada a proposta de lei que assegura a execução, na ordem jurídica nacional, do RGPD. Espera-se que a nova lei seja aprovada, pela Assembleia da República, antes do dia 25 de maio de 2018, para permitir que a aplicação de ambos os instrumentos (regulamento e lei) seja simultânea.
Cumpre, por isso, neste momento, recordar alguns passos essenciais que deverão ser tomados para garantir o cumprimento da nova legislação:
- Realizar um diagnóstico à organização para verificar que dados pessoais trata, com que finalidade, durante quanto tempo, qual o fundamento legal para estar a proceder ao seu tratamento;
- Estabelecer políticas e procedimentos que permitam reagir a qualquer falha de segurança e notificar as autoridades competentes nos prazos estabelecidos;
- Rever impressos, formulários, politicas de privacidade; verificar se a linguagem utilizada é clara, acessível e se são fornecidos aos titulares dos dados, toda a informação exigida;
- Preparar e estabelecer mecanismos de resposta ao exercício dos direitos de acesso, de retificação, de oposição, bem como aos novos direitos ao esquecimento e à portabilidade dos dados;
- Analisar os casos em que há obrigatoriedade de nomeação de um Encarregado de Proteção de Dados, e – caso seja necessário - preparar a designação e funções desse encarregado.
- Avaliar a necessidade de proceder ao registo de todas as atividades de tratamento de dados pessoais;
- Analisar com que fundamento legal está a processar dados; o consentimento poderá ter de ser revisto, para estar em conformidade com os novos requisitos;
- Rever os contratos de subcontratação de serviços realizados no âmbito de tratamento de dados pessoais, para verificar se cumprem com os requisitos exigidos pelo RGPD.
- Verificar onde estão alojados os dados pessoais que trata e se há transferência de dados para fora da União Europeia (nesse caso terá que analisar a legitimidade dessa transferência).
- Garantir que tem regras especificas para provar que todos os requisitos legais referentes ao tratamento de dados estão a ser cumpridos; é fundamental registar todas as ações que a organização tem tomado para cumprir com o novo regulamento.
Face à extensão de todo o trabalho que deverá ser realizado e à aproximação da data em que as novas regras terão aplicabilidade, torna-se necessário que este processo, de avaliação e implementação de medidas necessárias ao cumprimento do RGPD, se inicie o quanto antes.
Pedro Vidigal Monteiro