O RGPD simplificado
O Regulamento Geral de Proteção de Dados (RGPD) irá entrar em vigor no dia 25 de Maio de 2018.
Razões pelas quais foi criado o regulamento?
O RGPD tem como maior desiderato uniformizar o regime de tratamento de dados no espaço da União Europeia, considerado como requisito essencial para o bom funcionamento do Mercado Único e com a consequente proteção da privacidade dos titulares de dados e criação de uma cultura de respeito pelos dados pessoais.
Conceito de dados pessoais ?
Consideram-se dados pessoais toda a informação relativa a uma pessoa singular identificada ou identificável. Consideram-se dados pessoais toda a informação relativa à identificação do seu titular ou que possam levar à sua identificação de forma direta ou indireta, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural, religiosa ou social.
O que significa estar em conformidade com o RGPD?
O regulamento veio alterar a forma como as empresas lidam e tratam os dados pessoais de titulares singulares, ou seja pessoas vivas identificadas ou identificáveis. Neste sentido, as empresas terão de adequar os procedimentos internos por forma a correrem menos risco de uma violação de dados. Por exemplo, se hoje em dia a sua empresa tem por hábito enviar por email, que é considerado um meio inseguro e falível, dados pessoais ou dados sensíveis, este processo necessita ser revisto e adaptado ao regulamento.
Distinção entre segurança informática, sigilo profissional e RGPD ?
No que diz respeito à segurança informática ou segurança da informação, a base para uma implementação assenta sobre a segurança, controlo e registo de acessos às instalações ou zonas sensíveis das instalações, no acesso à rede ou dispositivos do negócio, internamente (Log-on nos computadores) ou a partir do exterior (da internet a um recurso interno) e de acessos a recursos da rede ou de dispositivos isolados. Também a utilização de passwords ou outros métodos de acesso de segurança e é premente a formação adequada dos operadores.
Por exemplo, escrever a password num “post-it” e/ou partilhá-la com os colegas de trabalho é quebra de uma regra básica de segurança e não quebra de uma regra imposta pelo RGPD. Caso exista uma fuga de informação por causa deste comportamento, então estaremos sim a falar de uma não conformidade abrangida pelo RGPD.
Já o sigilo profissional consubstancia um dos deveres do Contabilista Certificado enquanto membro de uma Ordem que se rege por um Estatuto que consagra as regras do exercício da profissão. Este será um dever prévio e anterior ao respeito pelo RGPD que não podendo ser com este confundido, dele faz parte integrante. De facto, as questões de ética são anteriores e sobrepõem-se a qualquer outro princípio.
O RGPD é uma lei composta por um conjunto de regulamentos que confere aos residentes europeus um maior controlo sobre os seus dados pessoais e requer que as empresas mantenham um nível de segurança apropriada para a proteção destes mesmos dados.
O RGPD aplica-se à minha empresa?
O Regulamento Geral de Proteção de Dados aplica-se a todas e quaisquer empresas que tratam dados pessoais, independentemente das áreas, ou do tipo de dados que são processados.
A aplicação da lei numa empresa passa pelos seguintes passos:
Levantamento: identificação dos dados pessoais que são processados na empresa e da legitimidade para proceder ao seu tratamento;
Proteção: estabelecimento de controlos de segurança e rastreabilidade, ao nível da segurança informática e da segurança física dos dados;
Controlo: monitorização dos acessos e operações de tratamento dos dados;
Relatório: documentação das solicitações por parte dos titulares dos dados e do procedimento de resposta.
O contabilista certificado e o RGPD?
Para o CC por conta de outrem, o CC Em prática individual, o CC como empresário, o RGPD deve ser encarado como uma norma que implica a adoção de procedimentos, documentos e condutas internas com o objetivo de minimizar a existência de violações de dados.
O que é o DPO?
O Encarregado de Proteção de Dados (DPO) vai integrar o ‘job description’ de muitas empresas e de muitas organizações. Ele vai ter o papel de controlador dos processos de segurança da informação para garantir a proteção dos dados com que a empresa lida diariamente. Embora não seja obrigatório para todas as empresas, a existência de um DPO ou de um serviço externo que garanta essa função é recomendável. A importância de um cargo como este é alta de acordo com o RGPD, sendo que será uma pessoa que irá reportar aos mais altos cargos das empresas.
Notificações de violação de segurança
Qualquer violação dos dados (desde a eliminação acidental por um colaborador, até a um ataque informático como um vírus), deverá ser reportada à entidade de controlo no prazo máximo de 72h, bem como aos próprios titulares dos dados.
O que muda com o RGPD?
Pode-se dizer que muda drasticamente a forma como as empresas lidam com dados pessoais. Mudam as culturas empresariais, e muda a forma como todos aqueles que estão habituados a um mesmo processo ou mentalidade há muitos anos, passarão a lidar com dados pessoais; mudam os sistemas informáticos , que são obrigados a adaptar-se à nova realidade.
O que é preciso fazer?
É essencial fazer uma avaliação dos seus Processos atuais, dos Sistemas Informáticos, e reformulá-los de acordo com o RGPD. Além disso é também preciso formar e sensibilizar os colaboradores da sua empresa. Não existem sistemas informáticos que colocam a sua empresa em total conformidade com o RGPD ( a 100%). Alguns sistemas, ou softwares, certamente ajudarão, mas a sua visão deve ser transversal, e tendo sempre em conta as 3 vertentes: Processos, Pessoas e Tecnologia.
Links úteis:
https://www.occ.pt/fotos/editor2/manualrgpd_maio2018.pdf
EU Data Protection Rules
COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS
Centro Nacional de CiberSegurança