Este Regulamento foi preparado e debatido durante 4 anos, até ser finalmente aprovado pelo Parlamento Europeu a 14 de Abril de 2016. O grande objetivo deste novo regulamento é uniformizar as leis de Privacidade de Dados na Europa e reformular a forma como as organizações europeias - ou que atuem na União Europeia - abordam o tratamento de dados dos cidadãos.

O  Regulamento Geral de Proteção de Dados introduz novas obrigações e requisitos para o tratamento de dados pessoais, obrigando a alterações relevantes e com impacto para todo o tipo de organizações, públicas e privadas.

Se a sua empresa lida de alguma forma com dados pessoais e não se tem vindo a preparar para a entrada em vigor deste Regulamento pode enfrentar coimas muito avultadas, assentes em dois escalões, dependendo da gravidade da infração:

• Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

• Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

O Regulamento introduz dois novos direitos basilares aos titulares dos dados:

• Direito de Portabilidade dos dados: O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, assim como o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, se o tratamento se basear no consentimento ou for realizado por meios automatizados.

• Direito ao Esquecimento: O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, de acordo com os motivos previstos no n.º 1 do artigo 17.

Mantêm-se ainda os direitos anteriormente presentes na lei em vigor, como o Direito de Acesso do titular dos dados, o Direito de Retificação, Direito à limitação do Tratamento, Direito de Oposição, e o Direito às Decisões individuais Automatizadas.

As empresas devem adotar procedimentos internos e ao nível da subcontratação para lidar com casos de violações de dados pessoais, e comunicar à Comissão Nacional de Proteção de Dados violações de dados pessoais, existindo um prazo de 72 horas após ter conhecimento da violação para a comunicar à CNPD.

O novo Regulamento introduz ainda uma nova figura: o encarregado de proteção de dados. Ao contrário do que inicialmente se pensou, este cargo não é obrigatório para todas as empresas, mas sim para organismos públicos, organizações que  tratem dados pessoais em grande escala e de forma sistemática. (ex: Bancos) ou empresas que lidem com categorias especiais de dados pessoais em grande escala. (ex: origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, dados genéticos, entre outros).

Por fim, o GDPR coloca alguns desafios às empresas com comércio eletrónico e/ou que recorram ao email Marketing, uma vez que exige a obtenção de consentimento por parte do utilizador, para receber qualquer tipo de comunicação ou para processamento de dados pessoais por parte da empresa. De forma a encontrar-se em conformidade com o regulamento, a obtenção de consentimento terá de ser:

• Desagregada dos termos e condições;

• “Opt-in”, de forma a que as caixas de consentimento não estejam automaticamente preenchidas;

• Granular, de forma a que o consentimento para diferentes atividades de marketing receba obrigatoriamente consentimentos separados;

• Designado, de forma a que todos os terceiros sejam especificamente mencionados.

A sua empresa atua de acordo com o Regulamento Geral de Proteção de Dados que entra hoje em vigor? Se não, contacte a Zalox e saiba como o podemos ajudar.