A GDPR (General Data Protection Regulation), nasceu com a Carta dos Direitos Fundamentais da UE, onde estabelece que todos cidadãos da UE (União Européia) tem direito a proteção de dados pessoais.
Segundo o site da Comissão Européia sobre a Proteção de Dados na UE, o pacote de medidas sobre essa proteção, tem por objetivo preparar a Europa para a era digital. Mais de 90% dos europeus querem o mesmo nível de proteção dos dados pessoais em toda a UE, independentemente do lugar onde os dados são tratados.
O regulamento entrou em vigor em maio de 2016 e é aplicável desde 25 de maio de 2018.
COMITÉ EUROPEU DE PROTEÇÃO DE DADOS
O Comité Europeu de Proteção de Dados, é um organismo europeu independente que visa assegurar a aplicação da legislação da proteção de dados em toda a União Europeia, e tem a função de orientar os conceitos-chave da GDPR sobre questões relacionadas com a proteção dos dados pessoais e adotando decisões em litígios entre as autoridades nacionais de supervisão.
PARA QUE SERVE A GDPR?
A GDPR estabelece regras relativas ao tratamento dos dados pessoais, por uma pessoa, uma empresa ou uma organização, dos dados relativos a pessoas na UE. Curiosamente não se aplica aos dados pessoais de pessoas falecidas.
Quando uma pessoa utiliza seus dados, por exemplo para o exercício de atividades socioculturais ou financeiras, essa legislação tem de ser respeitada.
AUTORIDADES DE PROTEÇÃO DE DADOS (APD)
As APD são autoridades públicas independentes que controlam e aplicam a legislação relativa à proteção de dados. Prestam aconselhamento especializado sobre questões de proteção de dados e tratam das reclamações apresentadas contra violações do regulamento e das leis nacionais. Há uma em cada Estado-Membro da UE.
Em Portugal a APD localiza-se em Lisboa. Website: http://www.cnpd.pt/
DIREITO DOS CIDADÃOS
Os cidadãos têm direito a:
- informação sobre o tratamento dos seus dados;
- obter acesso aos dados conservados que lhes digam respeito;
- solicitar a correção de dados pessoais incorretos, inexatos ou incompletos;
- solicitar o apagamento de dados que já não sejam necessários ou caso o seu tratamento seja ilícito;
- opor-se ao tratamento dos seus dados pessoais para efeitos de comercialização;
- solicitar a limitação do tratamento dos seus dados pessoais em casos específicos;
- receber os seus dados pessoais em formato de leitura automática e enviá-los para outro responsável pelo tratamento (portabilidade dos dados);
- solicitar que as decisões tomadas com base em tratamento automatizado que lhes digam respeito sejam tomadas por pessoas singulares e não apenas por computadores. Também tem o direito, neste caso, de manifestar o seu ponto de vista e de contestar a decisão.
Para exercer os seus direitos, pode contactar o responsável pelo tratamento de dados da empresa, ou o Encarregado da Proteção de Dados (DPO – Data Protection Officer).
A empresa/organização deve responder aos pedidos o mais tardar no prazo de um mês. Caso a empresa/organização tenha intenção de recusar o pedido, deve explicar porquê.
Estes direitos são aplicáveis em toda a UE, independentemente do local onde os dados são tratados e onde a empresa está estabelecida. São igualmente aplicáveis a empresas não pertencentes à UE mas que operem na UE.
ENCARREGADO DA PROTEÇÃO DE DADOS (DPO)
O responsável pelo tratamento determina as finalidades e os meios pelos quais os dados pessoais são tratados. Se a sua empresa/organização decide o “porquê” e “como” os dados pessoais devem ser tratados, ela é a responsável pelo tratamento dos dados.
Já os trabalhadores que efetuam o tratamento de dados pessoais na sua organização fazem-no para cumprir as suas tarefas, enquanto responsáveis pelo tratamento.
GDPR EM WEBSITES
A GDPR tem que ser aplicada em todos websites que coletem algum dado do usuário. Sem excessão.
Se tem um website e pensa que não coleta nenhum dado do usuário por não ter nem mesmo um formulário de captação de emails, engana-se, pois quando um usuário navega em um website – qualquer website – há dados sendo coletado a todo momento. São coletados pelo gerenciador da página web, pelo provedor de acesso à Internet, pela plataforma de alojamento do website, pelo Google, etc, esses dados são armazenados nessas entidades e em pequenos arquivos em seu dispositivo (computador, tablet, telemóvel), chamados de Cookies.
Nesses casos em que não há captura de emails, precisa coletar o ACEITE do usuário para o tratamento dos Cookies.
Nos casos em que há alguma coleta de email, além do aceite dos Cookies, precisa ter o ACEITE do usuário para a coleta do email dele e especificar a que uso dará e de que forma.
Se coleta informações mais sensíveis, como Nome, NIF, endereço da morada, número de telefone, e outros, como em uma loja virtual (e-commerce), também precisa ter o ACEITE do usuário para a coleta desses dados e especificar a que uso dará, de que forma e quanto tempo essas informações ficarão retidas na empresa. Perceba que nesse caso, há de se levar em consideração a legislação de cada país, onde exige-se que esses dados fiquem retidos por um certo tempo, para fins fiscais e/ou legais. É justamente esse tempo que as informações deverão ficar retidas, e nem mais um dia, salvo motivo legalmente justificado.
POLÍTICA DE PRIVACIDADE
Todo website deve informar aos usuários de que irá utilizar os seus dados pessoais para efeitos de comercialização e/ou comunicação direta e de que eles têm o direito a opor-se a isso, gratuitamente.
A GDPR garante que sempre que uma pessoa se opõe ao tratamento dos dados pessoais, a empresa/organização deixa de poder efetuar o tratamento dos seus dados pessoais para esse efeito.
Também concede às pessoas o direito de pedirem que os seus dados sejam apagados e as organizações têm a obrigação de o fazer, exceto nos casos seguintes:
- os dados pessoais que a sua empresa/organização possui são necessários para exercer o direito à liberdade de expressão;
- quando uma obrigação jurídica o obriga a conservar os dados;
- por motivos de interesse público (por exemplo, saúde pública, investigação científica ou histórica).
- caso tenham sido submetidos a um processo de anonimização adequado.
Para tanto há um prazo estipulado de 30 dias para a empresa/organização apagar esses dados.
VIOLACÃO DE DADOS
Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados.
É bom destacar que toda empresa/organização tem que aplicar medidas técnicas de segurança e organizativas adequadas para evitar possíveis violações de dados. Porém se tal ocorrer, e se a violação representar um risco para os direitos e as liberdades das pessoas, a empresa/organização tem a obrigação de notificar a APD – Autoridade de Controlo de seu país, sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação.
Se a violação de dados representar um elevado risco para as pessoas afetadas, estas devem também ser informadas.
ADEQUAR O WEBSITE PARA A GDPR
Para adequar teu website à GDPR são necessários 5 passos:
- Segurança de tráfego – SSL: Todos as informações que trafegam dados de usuários devem serem feitas de forma criptografadas por instalação de um Certificado de Segurança Digital.
- Composição de uma Política de Privacidade: Texto descrevendo todos os tipos de dados, as formas de captação, os tipo de uso e as maneiras como o usuário pode acessar as suas informações armazenadas e solicitar sua exclusão, caso o deseje.
- Canal de comunicação exclusivo pra a GDPR: Canal exclusivo para que o usuário possa solicitar informações, alteração ou exclusão de seus dados pessoais do site.
- Mensagem de aceite: Uma mensagem deve ser exibida em todas as páginas para que o usuário aceite os termos de sua Política de Privacidade. Também deve ser exibida de forma específica, quando em uma caixa de coleta de emails ou formulário.
- Definição do Encarregado da Proteção de Dados: Já explicados mais acima.
Se você tem um website e coleta algum dado de seus visitantes, fique sabendo que a GDPR inputa a responsabilidade das normas a você, proprietário do website e não ao web designer, ou a empresa que o confeccionou. Por isso precisa ter confiança em seu web designer ou empresa contratada, e obviamente, deves sempre consultar um advogado, para os ajustes dos textos da Política de Privacidade e dos Termos de Uso.
Se já é cliente da MCOSTANZI, não se preocupe, estás seguro, pois a aplicação da GDPR nos websites feitos por nós já atende todas as normas vigentes. Somos atentos à legislação e ao teu website, afinal, a tua marca e teu negócio são muito importantes para nós!
Precisa de ajuda para adequar o teu website à legislação? Nós poderemos ajudá-lo. Entre em contato e conheça nosso trabalho.