A 25 de maio de 2018, vai entrar em vigor o novo regulamento geral de proteção de dados (RGPD) pessoais.
Esta legislação aplica-se a todas as organizações estabelecidas em território da União Europeia e àquelas que, estando localizadas fora da UE, tratem dados de titulares aí residentes, desde que comercializem os seus produtos/serviços (a título oneroso ou gratuito) ou monitorizem comportamentos que ocorram dentro da UE.
Estão excluídas desta obrigatoriedade, por exemplo, as forças de segurança pública, uma vez que estão sujeitas a uma legislação específica.
A grande maioria das organizações em Portugal está ainda muito longe de estar preparada para as exigências decorrentes do novo regulamento. Segundo o estudo «Survey Europeu de Cyber Risk 2016» da Marsh, cerca de 51% das empresas portuguesas considera a fuga de informação de clientes como uma das maiores ameaças num cenário de perda cibernética e 69% assume que tem um conhecimento limitado sobre os riscos. Por outro lado, apenas 53% admite ter um plano de contingência para responder aos ataques.
Recorde-se que o novo regulamento coloca o ónus de responsabilidade do tratamento e da conformidade dos dados pessoas nas organizações, públicas e privadas – até agora da competência da Comissão Nacional de Proteção de Dados (CNPD).
O RGPD prevê ainda novas obrigações com um impacto considerável nas suas operações, nomeadamente um registo com todas as operações de dados pessoais, que até aqui não era obrigatório.
Outra das grandes novidades é o agravamento substancial das multas pelo incumprimento do novo regulamento, que poderão ir até aos 20 milhões de euros.
A figura do Encarregado de Proteção de Dados (DPO) é uma das mais relevantes inovações do novo regulamento. Um significativo número de organizações será obrigado a nomear um DPO e assegurar que este tem condições para o exercício das suas funções, como sejam: o apoio ativo da administração; tempo suficiente para o cumprimento das suas tarefas; recursos financeiros, infraestruturas (instalações, equipamentos) e pessoal, quando apropriado; comunicação oficial da designação a todos os funcionários e autoridade de controlo; acesso a outros serviços dentro da organização para que possam receber suporte, opiniões ou informações essenciais desses outros serviços, bem como formação contínua.
Neste momento encontra-se a decorrer o período transitório de dois anos para a sua aplicação integral, pelo que as organizações dispõem deste período para se adaptarem às novas regras. Por se tratar de um Regulamento, é diretamente aplicável aos 28 Estados-membros, sem necessidade de qualquer transposição para cada jurisdição garantindo, assim, a verdadeira harmonização legislativa ao nível da Proteção de Dados.
Face a esta realidade, o momento de colocar a privacidade e a proteção de dados nas agendas das organizações não pode ser mais adiado e deve ser aproveitada a oportunidade para corrigir as fragilidades existentes.
O que é essencial é que as organizações estejam absolutamente cientes da sua realidade interna e do que devem fazer para cumprir a lei. Começar por uma auditoria de segurança e procurar profissionais conhecedores das condições legais determinadas pelo RGPD e, em particular, dos aspetos técnicos a considerar para as implementar, é o melhor caminho.
Saiba aqui como a Vexillum pode ajudar a sua empresa a implementar as mudanças necessárias para estar em conformidade com o RGPD.