A navegar na categoria

RGPD

RGPD

Instruções para preparar os pequenos negócios para o RGPD

Falta pouco mais de um mês para entrar em vigor o Regulamento Geral de Proteção de Dados, mas muitas empresas ainda têm dúvidas sobre as implicações do RGPD.

Neste artigo vamos dar algumas sugestões sobre como preparar o seu pequeno negócio para o RGPD. Salientamos, entretanto, que estas indicações não substituem a inscrição num dos nossos webinares ou a procura de apoio especializado sobre o tema.

Vendas e marketing.

Com o RGPD, o consentimento de clientes passa a colocar novas exigências, afetando todos os processos relativos ao tratamento de clientes. É necessário realizar uma revisão dos consentimentos recebidos no passado, verificando se estão de acordo com as novas regras. Caso não estejam, deverão contactar cada cliente para atualizar o consentimento e, se não conseguirem entrar em contacto, deverão apagar esses dados.

Por este motivo, estima-se que as bases de dados tenham uma redução até ¾ com a revisão de consentimento. Pensa-se que os clientes que responderem irão atribuir um maior valor à empresa, por terem demonstrado o desejo de estarem envolvidos.

Diminuição da recolha de dados.

Com o RGPD, deixa de ser possível recolher dados pessoais sem justificação. A utilização de questionários para a recolha de informação sem que o utilizador seja notificado deixa de ser uma prática legal.

Estar preparado para responder aos clientes.

Os utilizadores passam a ter direito a retirar o seu consentimento, a dá-lo apenas a alguns pontos ou a rescindi-lo em qualquer altura. Além de dar resposta a todos estes pedidos, é também necessário documentá-los, comprovando que estão a ser corretamente tratados.

Recursos humanos e pagamentos.

As atividades ligadas aos recursos humanos lidam, naturalmente, com milhares de dados pessoais. Desde o momento em que um currículo é recebido, deve ser registado em que contexto e em que data esses dados curriculares foram obtidos. A empresa tem de recolher o consentimento para deter estes dados durante um período finito de tempo.

Mesmo um pequeno negócio tem de contemplar várias áreas dentro da empresa, modificando procedimentos. Este artigo continua numa segunda parte e aconselhamos a todos os interessados a inscrição no nosso próximo webinar gratuito sobre RGPD, no dia 27 de abril.

 

Declaração de Isenção de Responsabilidade da Sage

A informação contida nestes artigos tem uma finalidade meramente informativa. Não é nem deve ser entendida como aconselhamento jurídico. Não queremos deixar de sublinhar novamente que nada substitui as diligências de averiguação aprofundada e de procura de aconselhamento jurídico pelos próprios clientes, caso não estejam seguros das implicações que o RGPD terá nas suas empresas. Apesar de termos envidado todos os esforços para que a informação fornecida nestes artigos seja correta e atualizada, a Sage não pode garantir o seu caráter exaustivo e exato, uma vez que a informação é facultada do mesmo modo que foi disponibilizada, sem quaisquer garantias expressas ou implícitas. A Sage não aceita qualquer responsabilidade por erros ou omissões e não será responsável por quais quer prejuízos (nomeadamente prejuízo pela perda de clientela ou lucros cessantes) emergentes de contrato, responsabilidade civil ou outro devido à utilização ou confiança depositada nesta informação, ou devido a qualquer ato ou decisões tomadas em virtude da utilização desta informação.

 

RGPD

RGPD: procedimentos que as empresas devem implementar

Falta menos de um mês para entrar em vigor o novo Regulamento Geral de Proteção de Dados. No próximo dia 25 de maio, as empresas devem estar preparadas para cumprirem plenamente o RGPD, aplicando as necessárias transformações em todos os procedimentos relativos ao tratamento de dados pessoais.

Neste artigo vamos dar algumas sugestões de procedimentos de preparação.

Implementar boas práticas.

Responsável pela Proteção de Dados – As empresas cujas atividades principais envolvam monitorização de indivíduos em larga escala devem nomear um Responsável pela Proteção de Dados (DPO). O Responsável poderá ser um membro da empresa ou alguém contratado externamente. Deverão também informar a autoridade supervisora da sua identidade.

Esta pessoa deve elaborar documentação detalhada onde estarão registadas todas as tarefas relacionadas com o tratamento de dados, que demonstre como a organização está apta a cumprir todas as obrigações.

Formação – Fornecer formação a todos dos colaboradores e também aos clientes, garantindo que estão a par das implicações do RGPD. A Sage está a dinamizar uma série de webinars gratuitos sobre este tema.

Revisão da documentação – É necessário proceder a uma revisão da documentação e dos procedimentos internos relativos ao processamento de dados. Neste ponto alertamos para a tramitação de pedidos e para os prazos máximos de resposta referidos no RGPD.

Avaliar a necessidade de recolha – Avaliar o fundamento legal na base da recolha de dados – devendo ser sempre baseada no consentimento e revista de acordo com as novas regras.

Transparência – Deve existir transparência na notificação legal e na utilização de cookies. É importante explicar como irão ser tratados cada um dos dados captados, como podem ser modificados ou excluídos pelos titulares. Preparar um conjunto de mecanismos de resposta ao exercício destes novos direitos dos titulares dos dados.

Violação de dados pessoais – Considerar os potenciais riscos, desde a conceção das operações (privacy by design/privacy by default), e tomar as necessárias medidas preventivas.

Ter procedimentos internos pensados para que, em caso de violação de dados pessoais, a empresa tenha capacidade para averiguar as suas circunstâncias. Por fim, garantir que a Comissão Nacional de Proteção de Dados (CNPD) é notificada nos prazos estabelecidos.

Revisão – Todos os materiais, sejam impressos ou online, devem ser revistos. A linguagem utilizada deve ser clara e acessível, evitando mal-entendidos. Esta revisão deve ser realizada também em todos os contratos, verificando se contêm os elementos exigidos, mesmo em caso de subcontratação de serviços.

Auditoria externa – Recorrer a um serviço de auditoria externa, garantindo que todas as alterações foram realizadas corretamente.

A Sage está empenhada em auxiliar as empresas neste momento de transição, através da certificação dos seus produtos de software e oferecendo formação sobre o tema. Para saberem mais sobre o RGPD, e esclarecerem todas as dúvidas, consultem a nossa página sobre este tema e inscrevam-se no webinar de dia 9 de abril.

 

 

Declaração de Isenção de Responsabilidade da Sage

A informação contida nestes artigos tem uma finalidade meramente informativa. Não é nem deve ser entendida como aconselhamento jurídico. Não queremos deixar de reforçar que nada substitui as diligências de averiguação aprofundada e de procura de aconselhamento jurídico pelos próprios clientes, caso não estejam seguros das implicações que o RGPD terá nas suas empresas. Apesar de termos envidado todos os esforços para que a informação fornecida nestes artigos seja correta e atualizada, a Sage não pode garantir o seu caráter exaustivo e exato, uma vez que a informação é facultada do mesmo modo que foi disponibilizada, sem quaisquer garantias expressas ou implícitas. A Sage não aceita qualquer responsabilidade por erros ou omissões e não será responsável por qualquer prejuízo (nomeadamente, prejuízo pela perda de clientela ou lucros cessantes) emergentes de contrato, responsabilidade civil ou outro devido à utilização ou confiança depositada nesta informação, ou devido a qualquer ato ou decisões tomadas em virtude da utilização desta informação.

 

 

 

 

 

RGPD

RGPD: tudo o que as empresas devem saber

É já no próximo dia 25 de maio que o novo Regulamento Geral de Proteção de Dados entra em vigor. Este regulamento comporta alguns desafios de adaptação para as empresas, em particular as empresas que têm de lidar com o tratamento de dados pessoais no seu trabalho quotidiano.

As grandes mudanças trazidas pela revolução digital, chamaram a atenção da União Europeia para a necessidade de legislação sobre este tema, com o objetivo de criar alguma uniformização sobre o tratamento de dados.

Principais mudanças para as empresas.

As mudanças afetam todos os processos internos que impliquem lidar com dados pessoais. Por este motivo todas os processos empresariais devem ter presente dois conceitos: data protection by design e data protection by default.

Data protection by design, significa que a proteção de dados deve ser uma parte chave em todos os processos e políticas dentro da empresa. Data protection by default, significa que as empresas apenas devem recolher dados estritamente necessários, avaliando a necessidade caso a caso.

Mudanças a nível do consentimento.

As empresas devem conseguir demonstrar que recolheram consentimento de forma positiva. Ou seja, que o consentimento foi dado de forma livre, informada e explicita. Este consentimento deve ser possível de ser editado, ou revogado em qualquer altura pelo cidadão.

Em candidaturas a empregos, os dados a recolhidos devem ser os estritamente necessários e deve ser fornecida a identificação do empregador, assim como do Responsável pelo tratamento de dados no seio da empresa.

Responsável pela proteção de dados.

As empresas devem nomear um responsável pela proteção de dados, que deve analisar de forma transversal todos os departamentos da empresa. Esta figura deve conhecer a origem dos dados pessoais em posse da empresa, e quem tem acesso internamente.

Fugas de dados pessoais.

Passa a ser implementado com o Regulamento Geral de Proteção de Dados a obrigatoriedade de notificar publicamente qualquer quebra de confidencialidade no período de 72h. As penalizações em caso de incumprimento são bastante elevadas, podendo chegar aos 20 milhões ou 4% das operações do grupo, se esse valor for superior.

Existem diferenças nas obrigações entre pequenas e grandes empresas?

Embora não existam diferenças relacionadas com a escala da empresa, as empresas que lidam com poucos dados pessoais, terão menos processos a adaptar. Um pequeno negócio como uma loja trata menos dados pessoais que um banco com milhares de clientes, e como tal os desafios para implementar corretamente RGPD são menores.

O primeiro passo que as empresas devem tomar, passa por um inventário exaustivo sobre todos os dados pessoais que a empresa tem em seu poder. Avaliando se realmente necessita de manter todos aqueles dados em seu poder e se estão seguros.

O levantamento feito pela Sage indica que 44% dos empresários não estão consciente das implicações de RGPD, e a Sage está empenhada em auxiliar no esclarecimento deste tema. Consulte a nossa página sobre RGPD e inscreva-se no webinar que decorre amanhã.

 

Declaração de Isenção de Responsabilidade da Sage

A informação contida nestes artigos tem uma finalidade meramente informativa. Não é nem deve ser entendida como aconselhamento jurídico. Não queremos deixar de reforçar que nada substitui as diligências de averiguação aprofundada e de procura de aconselhamento jurídico pelos próprios clientes, caso não estejam seguros das implicações que o RGPD terá nas suas empresas. Apesar de termos envidado todos os esforços para que a informação fornecida nestes artigos seja correta e atualizada, a Sage não pode garantir o seu caráter exaustivo e exato, uma vez que a informação é facultada do mesmo modo que foi disponibilizada, sem quaisquer garantias expressas ou implícitas. A Sage não aceita qualquer responsabilidade por erros ou omissões e não será responsável por qualquer prejuízo (nomeadamente, prejuízo pela perda de clientela ou lucros cessantes) emergentes de contrato, responsabilidade civil ou outro devido à utilização ou confiança depositada nesta informação, ou devido a qualquer ato ou decisões tomadas em virtude da utilização desta informação.

RGPD Sage Sessions

Sage Sessions – O impacto do RGPD (2ª parte)

Continuamos com a segunda parte do artigo sobre a esclarecedora intervenção de Daniel Reis, sócio partner da PMLJ Advogados sobre o novo Regulamento Geral de Proteção de Dados, que entra em vigor no próximo dia 25 de maio.

Aplicação diferenciada entre grandes empresas e PME?

Uma das questões mais comuns, é se existe uma diferenciação no regulamento em relação a grandes empresas e PME. Embora não exista uma diferença relativa à escala da empresa, existe diferenças que se baseiam no risco.

As empresas que lidam com menos dados pessoais, colocam menos dados sensíveis em risco e como tal, têm menos procedimentos a adaptar. Um pequeno cabeleireiro que tem acesso a alguns dados dos seus clientes, terá menos dados a proteger, que um banco que processa os dados de milhares de clientes.

Dimensão jurídica.

As empresas estão divididas em silos verticais, em que as diferentes áreas estão separadas. A não ser pela administração e estratégia, não existe uma visão horizontal. Áreas distintas como Recursos Humanos, IT, ou Marketing tratam dados pessoais, e é necessário acompanhar estes procedimentos em detalhe, em cada departamento.

Regras de consentimento.

Até agora o consentimento tem sido pedido pela negativa, e esta forma passa a ser ilegal. Também estamos habituados a pedir consentimento num texto que agrega diferentes pontos. Com o RGPD, os consentimentos devem ser separados, e se não é difícil fazer a distinção no texto, o desafio consiste em garantir que o sistema informático consegue distinguir estas diferentes respostas, e que terá procedimentos que permitam a revogação a qualquer momento.

Encarregado de Proteção de Dados.

Com o RGPD surge a figura do encarregado de proteção de dados, responsável em cada empresa pelo cumprimento do regulamento. Passa a existir a obrigação de notificar publicamente, sempre que exista algum roubo ou quebra de sigilo relativo a dados pessoais no poder da empresa.

Se antes eram principalmente as empresas ligadas a IT e na área da saúde que se preocupavam com este tema, agora todas as empresas se devem preocupar com a implementação destas regras. para saber mais sobre este tema, consulte a nossa página e inscreva-se no webinar gratuito.

Para ler a primeira parte do artigo, consulte este link.

 

Declaração de Isenção de Responsabilidade da Sage

A informação contida nestes artigos tem uma finalidade meramente informativa. Não é nem deve ser entendida como aconselhamento jurídico. Não queremos deixar de reforçar que nada substitui as diligências de averiguação aprofundada e de procura de aconselhamento jurídico pelos próprios clientes, caso não estejam seguros das implicações que o RGPD terá nas suas empresas. Apesar de termos envidado todos os esforços para que a informação fornecida nestes artigos seja correta e atualizada, a Sage não pode garantir o seu caráter exaustivo e exato, uma vez que a informação é facultada do mesmo modo que foi disponibilizada, sem quaisquer garantias expressas ou implícitas. A Sage não aceita qualquer responsabilidade por erros ou omissões e não será responsável por qualquer prejuízo (nomeadamente, prejuízo pela perda de clientela ou lucros cessantes) emergentes de contrato, responsabilidade civil ou outro devido à utilização ou confiança depositada nesta informação, ou devido a qualquer ato ou decisões tomadas em virtude da utilização desta informação.

 

RGPD Sage Sessions

Sage Sessions – Daniel Reis explica o impacto do Regime Geral de Proteção de Dados

Daniel Reis, sócio partner PLMJ Advogados, esteve na Sage Sessions de Lisboa para uma apresentação sobre o novo Regulamento Geral de Proteção de Dados. Foi um momento profundamente esclarecedor, sobre um dos temas do momento.

O RGPD foi aprovado em 2016 e a data da sua implementação aproxima-se, no dia 25 de maio deste ano todas as empresas devem estar preparadas. Este período de adaptação de quase dois anos, é invulgarmente longo em termos legislativos, mas foi criado devido às alterações serem significativas, dando tempo às empresas para se prepararem.

Este regulamento veio revogar uma diretiva, dando mais eficácia. Um regulamento é diretamente aplicável, enquanto que uma diretiva necessita do poder legislativo para ser implementada. Com o regulamento continua a existir um espaço para diferenças locais dentro de cada país.

Três objetivos fundamentais.

Esta lei comunitária tem três objetivos fundamentais, sendo o primeiro a revogação da diretiva anterior, alcançando uma maior harmonização entre os estados membros da União Europeia. A legislação portuguesa sobre este tema datava de 1995, anterior à revolução digital.

O segundo objetivo é tentar acompanhar a realidade com a legislação, tarefa difícil na área tecnológica. E por último, procura-se reforçar os direitos dos cidadãos, dando-lhes o direito de controlarem os seus dados. A divulgação do caso de Edward Snowden serviu de encorajamento aos legisladores, sendo dos poucos casos em que um regulamento na União Europeia ultrapassou uma proposta inicial.

Temas principais.

Não existem grandes alterações a nível dos temas, a definição do que é um dado pessoal, que dados se podem recolher, ou com quem se podem partilhar, não sofreu alterações. No caso de Portugal, há que ter em conta o elevando nível de incumprimento nesta área.

Particularidades do caso português.

Em Portugal podemos destacar três aspetos particulares, num quadro de incumprimento elevado. As empresas recolhem mais dados do que os que necessitam, e nunca procedem à sua destruição. Por sua vez, as consequências na forma de coimas têm valores baixos, e o regulador tem poucos meios para realizar fiscalização.

Estes dois fatores associados geram um baixo nível de maturidade da parte das empresas ao lidar com esta questão.

As coimas no quadro anterior atingiam o seu máximo cumulativo 60 mil euros, enquanto com o novo RGPD, atingem os 20 milhões, ou se for superior, 4% do volume de negócios do grupo empresarial por o período de um ano. No caso de algumas empresas estamos a falar de centenas de milhares ou de milhões de euros.

Um novo principio de responsabilidade.

Uma das principais alterações aplica-se ao principio de responsabilidade, com uma nova exigência de obrigação de demonstração de cumprimento. Falamos de sistemas de compliance, em que as empresas devem recorrer a auditorias e formação.

Antes tudo o que as empresas tinham de fazer, era preencher um formulário simples e pagar uma taxa. Neste momento existe uma forma de autorregulação, em que cada empresa deve conhecer profundamente o tratamento de dados que efetua, e compreender o impacto na vida dos cidadãos.

Deve também proceder à tomada de medidas de segurança e documentar todos os procedimentos. É o chamado privacy by default /privacy by design. Desde de que um produto ou serviço é criado, que no caso de envolver o tratamento de dados, deve ter todas estas questões contempladas. Este artigo terá uma segunda parte, na qual continuaremos a resumir a intervenção de Daniel Reis na Sage Sessions de Lisboa.

Para saber mais sobre RGPD consulte a nossa página e inscreva-se no webinar gratuito.

Para ler a segunda parte do artigo, consulte este link.

 

 

 

Declaração de Isenção de Responsabilidade da Sage

A informação contida nestes artigos tem uma finalidade meramente informativa. Não é nem deve ser entendida como aconselhamento jurídico. Não queremos deixar de reforçar que nada substitui as diligências de averiguação aprofundada e de procura de aconselhamento jurídico pelos próprios clientes, caso não estejam seguros das implicações que o RGPD terá nas suas empresas. Apesar de termos envidado todos os esforços para que a informação fornecida nestes artigos seja correta e atualizada, a Sage não pode garantir o seu caráter exaustivo e exato, uma vez que a informação é facultada do mesmo modo que foi disponibilizada, sem quaisquer garantias expressas ou implícitas. A Sage não aceita qualquer responsabilidade por erros ou omissões e não será responsável por qualquer prejuízo (nomeadamente, prejuízo pela perda de clientela ou lucros cessantes) emergentes de contrato, responsabilidade civil ou outro devido à utilização ou confiança depositada nesta informação, ou devido a qualquer ato ou decisões tomadas em virtude da utilização desta informação.