REGULAMENTO GERAL DE PROTEÇÃO DE DADOS DA EUROPA

Apresentação

GDPR – General Data Protection Regulation, ou RGPD – Regulamento Geral de Proteção de Dados: É um regulamento europeu, voltado, sejam para empresas ou pessoas que tratem, armazenem, dados de moradores da união europeia. Estes estarão sujeitos a esta jurisdição determinada pelo regulamento. Devendo então possuir alguns cuidados voltados a seara do Compliance (conformidade) diante do que é exigido.

Dados sensíveis: Qualquer dado que identifique uma pessoa ou empresa, como, nome, endereço, email, CPF, NIF, RG, iIPp, foto, georeferenciamento, etc.

Conceitos pelo RGPD

«Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

Deverão ser considerados dados pessoais relativos à saúde todos os dados relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro. O que precede inclui informações sobre a pessoa singular recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação, conforme referido na Diretiva 2011/24/UE do Parlamento Europeu e do Conselho (9), a essa pessoa singular; qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a partir de dados genéticos e amostras biológicas; e quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro.

Os titulares de dados deverão ter o direito de aceder aos dados pessoais recolhidos que lhes digam respeito e de exercer esse direito com facilidade e a intervalos razoáveis, a fim de conhecer e verificar a tomar conhecimento do tratamento e verificar a sua licitude. Aqui se inclui o seu direito de acederem a dados sobre a sua saúde, por exemplo os dados dos registos médicos com informações como diagnósticos, resultados de exames, avaliações dos médicos e quaisquer intervenções ou tratamentos realizados. Por conseguinte, cada titular de dados deverá ter o direito de conhecer e ser informado, nomeadamente, das finalidades para as quais os dados pessoais são tratados, quando possível do período durante o qual os dados são tratados, da identidade dos destinatários dos dados pessoais, da lógica subjacente ao eventual tratamento automático dos dados pessoais e, pelo menos quando tiver por base a definição de perfis, das suas consequências. Quando possível, o responsável pelo tratamento deverá poder facultar o acesso a um sistema seguro por via eletrónica que possibilite ao titular aceder diretamente aos seus dados pessoais. Esse direito não deverá prejudicar os direitos ou as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o software. Todavia, essas considerações não deverão resultar na recusa de prestação de todas as informações ao titular dos dados. Quando o responsável proceder ao tratamento de grande quantidade de informação relativa ao titular dos dados, deverá poder solicitar que, antes de a informação ser fornecida, o titular especifique a que informações ou a que atividades de tratamento se refere o seu pedido.

A fim de assegurar um tratamento equitativo e transparente no que diz respeito ao titular dos dados, tendo em conta a especificidade das circunstâncias e do contexto em que os dados pessoais são tratados, o responsável pelo tratamento deverá utilizar procedimentos matemáticos e estatísticos adequados à definição de perfis, aplicar medidas técnicas e organizativas que garantam designadamente que os fatores que introduzem imprecisões nos dados pessoais são corrigidos e que o risco de erros é minimizado, e proteger os dados pessoais de modo a que sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados e de forma a prevenir, por exemplo, efeitos discriminatórios contra pessoas singulares em razão da sua origem racial ou étnica, opinião política, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual, ou a impedir que as medidas venham a ter tais efeitos. A decisão e definição de perfis automatizada baseada em categorias especiais de dados pessoais só deverá ser permitida em condições específicas.

O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza económica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas; quando forem avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados.

1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

2. O disposto no n.o 1 não se aplica se se verificar um dos seguintes casos:

h) Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União ou dos Estados-Membros ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no n.o 3;

CONFORMIDADES ATINGIDAS no RGPD

CONSENTIMENTO

  1. Solicitar o consentimento expresso da pessoa para o tratamento dos dados pessoais de modo inteligível e de fácil acesso e numa linguagem clara e simples.
  2. Caso o titular não deseje ter seus dados armazenados, deve garantir e ter mecanismos de tecnologia ou convencionais para que o titular dos dados tenha o direito de retirar o seu consentimento a qualquer momento, assim indisponibilizando os seus dados em modo geral.
  3. O consentimento deve ser tão fácil de retirar quanto de dar.
  4. Guardar evidências (IP, nome do computador, aceite) do consentimento do titular dos dados.
  5. Respeitar que a coleta de dados pessoais de crianças é realizada, considerando todas as demais exigências, somente será realizada se elas tiverem pelo menos 16 anos. (Identificação de responsáveis)
  6. Garantir que caso a criança tenha menos de 16 anos, o tratamento só acontecerá na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança. (consentimento pelos responsáveis)
  7. Atender ao titular de dados, caso este solicite, a comunicação prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.
  8. Informar ao titular dos dados, quando do recolhimento dos dados diretamente com este titular (cadastro), as seguintes informações: a identidade e os contatos do responsável pelo tratamento, os contatos do encarregado da proteção de dados e as finalidades do tratamento a que os dados pessoais se destinam, e o fundamento jurídico para o tratamento.
  9. Comunicar ao titular dos dados: o prazo de conservação dos dados pessoais, a existência do direito de solicitar a sua retificação ou o seu apagamento, o direito de apresentar reclamação a uma autoridade de controle (da Europa).
  10. Garantir que o titular dos dados possa saber:
    1. As finalidades do tratamento dos dados;
    2. Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados,
    3. O prazo previsto de conservação dos dados pessoais.
    4. A existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a limitação do tratamento dos dados pessoais.
    5. O direito de apresentar reclamação a uma autoridade de controle;
    6. Informações sobre a origem desses dados;
    7. A definição de perfis e as consequências previstas de tal tratamento.

TRATAMENTO

  1. Utilizar os dados exclusivamente para as finalidades determinadas na solicitação acima.
  2. Utilizar os dados para finalidades legítimas.
  3. Atualizar os dados sempre que solicitar um novo consentimento para tratamento. Garantindo a exatidão dos dados.
  4. Tratar dados pessoais tanto no ambiente físico, quanto digital.
  5. Dados não podem ser acessados por terceiros não autorizados.
  6. Dados não podem ser perdidos, excluídos, indisponibilizados, destruídos acidentalmente.
  7. Apenas os dados pessoais devem ser recolhidos com uma finalidade posterior.
  8. Não tratar dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. Tratar tais dados pessoais exclusivamente para as situações previstas na legislação. (Artigo 9)
  9. Para ao titular, as informações devem ser de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças.
  10. O titular poderá solicitar todas as informações coletadas, assim como poderá ser solicitado o seu não tratamento.
  11. Fornecer ao titular dos dados, os dados pessoais que lhe digam respeito em um formato estruturado de uso corrente e de leitura automática. Permitir que o titular dos dados exporte os dados para si ou para terceiros, xml e imagens. Garantir que o titular dos dados tem o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados foram fornecidos o possa impedir.
  12. Ter capacidade para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento.

ENCRIPTAÇÃO / PSEUDONIMO

  1. Conservar os dados de forma encriptada, só permitindo a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados.
  2. Utilizar, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento.
  3. Garantir que cada responsável pelo tratamento de dados mantem um registo de todas as atividades de tratamento sob a sua responsabilidade.
  4. Utilizar pseudonimização e a cifragem dos dados pessoais;

APAGAMENTO

  1. Informar que o titular dos dados lhes solicitou o apagamento dos dados pessoais aos responsáveis dos diversos ambientes técnicos, quando tiver tornado públicos os dados pessoais e for obrigado a apagá-los, tomando medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação.
  2. Garantir o direito do titular dos dados o tratamento de apagamento dos seus dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:
    1. Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
    2. O titular retira o seu consentimento;
    3. Os dados pessoais foram tratados ilicitamente;
    4. Em função de uma ordem judicial.

CONFORMIDADE

  1. Garantir a conformidade enquanto os dados estiverem armazenados.
  2. Manter os dados pessoais em nível de sigilo confidencial.
  3. Garantir que aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o GDPR. (Inserir no Site e no aplicativo que está de acordo com o RGPD)
  4. Realizar sistematicamente avaliação de impacto das operações de tratamento de proteção de dados pessoais. Avaliar o risco para os direitos e liberdades das pessoas.
  5. Código de Conduta de acordo com o Regulamento.
  6. Exercer supervisão contínua para garantir o cumprimento das disposições do código de conduta na organização e nos parceiros que tratam dados pessoais.
  7. Acompanhar e aprender como o relatório anual de atividades, que a Comissão de Controle do Estado Membro divulga, contendo uma lista dos tipos de violação notificadas e dos tipos de medidas tomadas.
  8. Acompanhar e aprender como o relatório anual de atividades, que o Comitê Europeu para a Proteção de Dados que divulga um relatório anual sobre a proteção das pessoas singulares no que diz respeito ao tratamento na União e, quando for relevante, em países terceiros e organizações internacionais.
  9. Cooperar quando solicitado com as autoridades de controle e com a Comissão Europeia de Proteção de Dados Pessoais.
  10. Garantir que a organização segue normas específicas instituídas pelos organismos nacionais competentes, a uma obrigação de sigilo profissional ou a outras obrigações de sigilo equivalentes.
  11. Acompanhar os relatórios que a Comissão de Proteção de Dados apresenta ao Parlamento Europeu avaliando ou revisando o GDPR.
  12. Acompanhar a Comissão de Proteção de Dados que apresenta propostas legislativas com vista à alteração de outros atos jurídicos da União sobre a proteção dos dados pessoais. Manter a conformidade com as novas regras.
  13. Considerar e conscientizar o Corpo Diretivo que a organização, caso não cumpra as regras do GDPR, pode sofrer multas que podem chegar a vinte milhões de euros ou até 4% do faturamento bruto do ano anterior.

SEGURANÇA

  1. Ter capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo adequado e aceitável pelas boas práticas no caso de um incidente físico ou técnico; (Plano de Contingência)
  2. Ter um processo para testar, examinar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento de dados pessoais.
  3. Avaliar o nível de segurança adequado, considerando os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, armazenados ou sujeitos a qualquer outro tipo de tratamento.
  4. Comunicar à autoridade de controle qualquer violação de dados pessoais em até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. (No Brasil, BO, ou Notícia Crime)
  5. Comunicar ao titular dos dados sem demora injustificável, qualquer violação dos dados pessoais que implicar em um elevado risco para os direitos e liberdades das pessoas.

DPO (Data protection Officer)

  1. Ter um representante perante as autoridades da União Europeia, caso a organização não esteja estabelecida na União Europeia.
  2. Garantir a existência de acordo, que quando do tratamento em comum com outro, ou mais, responsáveis pelo tratamento de dados, determinem conjuntamente as finalidades e os meios desse tratamento, explicitando que ambos são responsáveis conjuntos pelo tratamento.
  3. Assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade.
  4. Ter um encarregado da proteção de dados com qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções. (CIO)
  5. Envolver o encarregado de proteção de dados de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais.
  6. Disponibilizar recursos necessários para o encarregado de proteção de dados desempenhe adequadamente suas funções, mantenha o conhecimento e tenha acesso às operações de tratamento de dados. (Documentação de cada processo)
  7. Garantir que o encarregado de proteção de dados informe diretamente à direção da organização, não recebe instruções relativas ao exercício das suas funções e não pode ser destituído nem penalizado pelo fato de exercer suas funções.
  8. Garantir que os titulares dos dados podem contatar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais.
  9. Garantir que o encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções.
  10. Garantir que o encarregado de proteção de dados no desempenho das suas funções, tem em devida consideração aos riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.
  11. Garantir que quando da existência de certificação de proteção de dados pessoais, a organização buscará esta certificação. A certificação ajudará a explicitar que a organização está em conformidade com a legislação. (Certificação DPO)