Proteção de dados

Regras melhores para as pequenas empresas

As regras de proteção de dados mais rigorosas aplicáveis a partir de 25 de maio de 2018 conferem aos cidadãos um maior controlo sobre os seus dados e condições mais equitativas às empresas. Um conjunto de regras para todas as empresas ativas na UE, independentemente da sua localização.
Saiba o que isto significa para a sua PME.

O que são dados pessoais?

  • Nome
  • Morada
  • Localização
  • Identificador em linha
  • Informação de saúde
  • Rendimento
  • Perfil cultural
  • entre outros
Recolhe
Armazena
Utiliza
Dados?
Tem de cumprir as regras.

Faz tratamento de dados para outras empresas?
As regras também são para si.

Porquê mudar as regras?

Trata-se de confiança...

A falta de confiança nas antigas regras de proteção de dados estava a travar a economia digital e, muito possivelmente, a sua empresa.

Apenas15 %

das pessoas sentem que têm controlo absoluto sobre as informações que fornecem na Internet.

E de ajudar as empresas a crescer...

Um conjunto de regras para todas as empresas que efetuam tratamento de dados na UE

Fazer negócios passou
a ser mais fácil e mais justo


As novas regras aumentam confiança dos consumidores e das empresas.

O que a sua empresa deve fazer

Proteger os direitos das pessoas que lhe facultam os seus dados

Comunicação

Utilize linguagem simples.
Diga-lhes quem é e porque precisa dos dados.
Diga porque efetua o tratamento dos seus dados, durante quanto tempo serão conservados e quem os irá receber.

Consentimento

O consentimento é um dos fundamentos legais para o processamento de dados (juntamente com contratos, interesses legítimos, obrigações legais, etc).
Se confiar nele, o consentimento deverá ser dado através de uma forma clara e afirmativa.

Acesso e portabilidade

Permita que as pessoas acedam aos seus dados e os facultem a outra empresa.

Avisos

Informe as pessoas em caso de violações dos dados que representem um risco para elas.

Apague os dados

Conceda o «direito ao esquecimento». Apague os dados pessoais das pessoas que o solicitem, mas apenas se isso não puser em causa a liberdade de expressão ou a capacidade de pesquisa.

Perfil

Se utiliza a caracterização de perfis para processar pedidos de acordos juridicamente vinculativos, como empréstimos, deve:

  • Informar os seus clientes;
  • Certificar-se de que é uma pessoa, e não uma máquina, que verifica o processo
    caso o pedido seja recusado;
  • Dar ao requerente o direito de contestar a decisão;
  • Garantir uma base legal adequada para proceder a tal caracterização de perfis.
Marketing

Dê às pessoas o direito de optarem por não receber marketing direto que utilize os seus dados.

Proteção de dados sensíveis

Tenha salvaguardas extraordinárias para informações sobre saúde, raça, orientação sexual, religião e convicções políticas.

Dados relativos a crianças

Recolhe dados relativos a menores de 16 anos de idade?
Nos termos do RGPD, tem a obrigação de obter consentimento dos pais. Contudo, os Estados-Membros da UE são livres de, a título individual, reduzirem este limiar para entre 13 e 16 anos de idade, pelo que
deve sempre verificar o
limite de idade.

Transferência de dados para fora da UE

Verifique a disponibilidade de ferramentas de transferência, tais como cláusulas contratuais modelo se não existir qualquer decisão de adequação para o país de destino.

Assegure a proteção dos dados desde a conceção

Integre salvaguardas de proteção de dados nos seus produtos e serviços desde as primeiras fases de desenvolvimento.

Efetua tratamento de dados para outra empresa?

Certifique-se de que tem um contrato irrefutável com as responsabilidades de cada parte.

Verifique se precisa de um responsável pela proteção de dados

Nem sempre é obrigatório. Depende do tipo e da quantidade de dados que recolhe, se o tratamento de dados é a sua atividade principal e se o faz em grande escala.

  • Efetua tratamento de dados pessoais para selecionar publicidade através de motores de busca com base nos comportamentos das pessoas em linha. Sim
  • Envia um anúncio publicitário por ano aos clientes para promover o seu negócio alimentar local. Não
  • É médico de família e recolhe dados sobre a saúde dos seus doentes. Não
  • Efetua tratamento de dados pessoais sobre genética e saúde para um hospital. Sim

Conserve registos

Deve manter registos do processamento de dados que incluam:

  • Nome e contactos da empresa
  • Motivos para o tratamento dos dados
  • Descrição das categorias de titulares dos dados e dos dados pessoais
  • Categorias das organizações que recebem os dados
  • Transferência de dados para outro país ou organização
  • Tempo-limite para a remoção dos dados, se possível
  • Descrição das medidas de segurança utilizadas aquando do tratamento, se possível

Previna-se efetuando avaliações de impacto

As avaliações de impacto podem ser obrigatórias para tratamento de ALTO RISCO.

  • Novas tecnologias

  • Tratamento e avaliação automáticos e sistemáticos de informações pessoais

  • Monitorização em grande escala de uma zona acessível ao público (p. ex., CCTV)

  • Tratamento em grande escala de dados sensíveis, como dados biométricos

O custo do incumprimento

A sua autoridade de proteção de dados local efetua o controlo do cumprimento; o seu trabalho é coordenado a nível da UE.

O custo da infração das regras pode ser elevado.

Advertência

Reprimenda

Suspensão do tratamento de dados

Coima

Até
20
milhões de euros

ou

4 %
do volume de negócios anual global

Precisa de ajuda?

Sobre o regulamento e a proteção de dados

Contacte a sua autoridade nacional de proteção de dados (APD)