Proteção de dados

Regras melhores para as pequenas empresas

As regras de proteção de dados mais rigorosas aplicáveis a partir de 25 de maio de 2018 conferem aos cidadãos um maior controlo sobre os seus dados e condições mais equitativas às empresas. Um conjunto de regras para todas as empresas ativas na UE, independentemente da sua localização.
Saiba o que isto significa para a sua PME.

O que são dados pessoais?

  • Nome
  • Morada
  • Localização
  • Identificador em linha
  • Informação de saúde
  • Rendimento
  • Perfil cultural
  • entre outros
Recolhe
Armazena
Utiliza
Dados?
Tem de cumprir as regras.

Faz tratamento de dados para outras empresas?
As regras também são para si.

Porquê mudar as regras?

Trata-se de confiança...

A falta de confiança nas antigas regras de proteção de dados estava a travar a economia digital e, muito possivelmente, a sua empresa.

Apenas15 %

das pessoas sentem que têm controlo absoluto sobre as informações que fornecem na Internet.

E de ajudar as empresas a crescer...

Um conjunto de regras para todas as empresas que efetuam tratamento de dados na UE

Fazer negócios passou
a ser mais fácil e mais justo

O novo sistema reduz os custos e ajuda as empresas a crescer

130 milhões de euros

o que custa às empresas da UE prestar informações a 28 autoridades de proteção de dados diferentes ao abrigo do sistema antigo.

2,3 mil milhões de euros

estimativa dos benefícios económicos da legislação única.

As novas regras deverão aumentar a confiança dos consumidores e das empresas.

O que a sua empresa deve fazer

Proteger os direitos das pessoas que lhe facultam os seus dados

Comunicação

Utilize linguagem simples.
Diga-lhes quem é e porque precisa dos dados.
Diga porque efetua o tratamento dos seus dados, durante quanto tempo serão conservados e quem os irá receber.

Consentimento

O consentimento é um dos fundamentos jurídicos para o tratamento dos dados (juntamente com o contrato, o interesse legítimo, as obrigações jurídicas, etc.).
Se merecer a sua confiança, o consentimento deve ser dado por meio de uma ação clara e afirmativa.

Acesso e portabilidade

Permita que as pessoas acedam aos seus dados e os facultem a outra empresa.

Avisos

Informe as pessoas em caso de violações dos dados que representem um risco para elas.

Apague os dados

Conceda o «direito ao esquecimento». Apague os dados pessoais das pessoas que o solicitem, mas apenas se isso não puser em causa a liberdade de expressão ou a capacidade de pesquisa.

Perfil

Se utiliza a caracterização de perfis para processar pedidos de acordos juridicamente vinculativos, como empréstimos, deve:

  • Informar os seus clientes;
  • Certificar-se de que é uma pessoa, e não uma máquina, que verifica o processo
    caso o pedido seja recusado;
  • Dar ao requerente o direito de contestar a decisão.
Marketing

Dê às pessoas o direito de optarem por não receber marketing direto que utilize os seus dados.

Proteção de dados sensíveis

Tenha salvaguardas extraordinárias para informações sobre saúde, raça, orientação sexual, religião e convicções políticas.

Dados relativos a crianças

Recolhe dados relativos a menores de 16 anos de idade?
Nos termos do RGPD, tem a obrigação de obter consentimento dos pais. Contudo, os Estados-Membros da UE são livres de, a título individual, reduzirem este limiar para entre 13 e 16 anos de idade, pelo que
deve sempre verificar o
limite de idade.

Transferência de dados para fora da UE

Celebre acordos jurídicos para todas as transferências de dados para países que não tenham sido aprovados pelas autoridades da UE.

Assegure a proteção dos dados desde a conceção

Integre salvaguardas de proteção de dados nos seus produtos e serviços desde as primeiras fases de desenvolvimento.

Efetua tratamento de dados para outra empresa?

Certifique-se de que tem um contrato irrefutável com as responsabilidades de cada parte.

Verifique se precisa de um responsável pela proteção de dados

Nem sempre é obrigatório. Depende do tipo e da quantidade de dados que recolhe, se o tratamento de dados é a sua atividade principal e se o faz em grande escala.

  • Efetua tratamento de dados pessoais para selecionar publicidade através de motores de busca com base nos comportamentos das pessoas em linha. Sim
  • Envia um anúncio publicitário por ano aos clientes para promover o seu negócio alimentar local. Não
  • É médico de família e recolhe dados sobre a saúde dos seus doentes. Não
  • Efetua tratamento de dados pessoais sobre genética e saúde para um hospital. Sim

Conserve registos

As PME apenas têm de conservar registos se o tratamento de dados

  • For regular
  • Constituir uma ameaça para os direitos e as liberdades das pessoas
  • Lidar com dados sensíveis ou registos criminais

Os registos devem conter:

  • Nome e contactos da empresa
  • Motivos para o tratamento dos dados
  • Descrição das categorias de titulares dos dados e dos dados pessoais
  • Categorias das organizações que recebem os dados
  • Transferência de dados para outro país ou organização
  • Tempo-limite para a remoção dos dados, se possível
  • Descrição das medidas de segurança utilizadas aquando do tratamento, se possível

Previna-se efetuando avaliações de impacto

As avaliações de impacto podem ser obrigatórias para tratamento de ALTO RISCO.

  • Novas tecnologias

  • Tratamento e avaliação automáticos e sistemáticos de informações pessoais

  • Monitorização em grande escala de uma zona acessível ao público (p. ex., CCTV)

  • Tratamento em grande escala de dados sensíveis, como dados biométricos

O custo do incumprimento

A sua autoridade de proteção de dados local efetua o controlo do cumprimento; o seu trabalho é coordenado a nível da UE.

O custo da infração das regras pode ser elevado.

Advertência

Reprimenda

Suspensão do tratamento de dados

Coima

Até
20
milhões de euros

ou

4 %
do volume de negócios anual global

Precisa de ajuda?

Sobre o regulamento e a proteção de dados

Contacte a sua autoridade nacional de proteção de dados (APD)