A GDPR (General Data Protection Regulation), nasceu com a Carta dos Direitos Fundamentais da UE, onde estabelece que todos cidadãos da UE (União Européia) tem direito a proteção de dados pessoais.

Segundo o site da Comissão Européia sobre a Proteção de Dados na UE, o pacote de medidas sobre essa proteção, tem por objetivo preparar a Europa para a era digital. Mais de 90% dos europeus querem o mesmo nível de proteção dos dados pessoais em toda a UE, independentemente do lugar onde os dados são tratados.

O regulamento entrou em vigor em maio de 2016 e é aplicável desde 25 de maio de 2018. 

 

COMITÉ EUROPEU DE PROTEÇÃO DE DADOS

O Comité Europeu de Proteção de Dados, é um organismo europeu independente que visa assegurar a aplicação da legislação da proteção de dados em toda a União Europeia, e tem a função de orientar os conceitos-chave da GDPR sobre questões relacionadas com a proteção dos dados pessoais e adotando decisões em litígios entre as autoridades nacionais de supervisão.

 

PARA QUE SERVE A GDPR?

A GDPR estabelece regras relativas ao tratamento dos dados pessoais, por uma pessoa, uma empresa ou uma organização, dos dados relativos a pessoas na UE. Curiosamente não se aplica aos dados pessoais de pessoas falecidas.

Quando uma pessoa utiliza seus dados, por exemplo para o exercício de atividades socioculturais ou financeiras, essa legislação tem de ser respeitada.

 

AUTORIDADES DE PROTEÇÃO DE DADOS (APD)

As APD são autoridades públicas independentes que controlam e aplicam a legislação relativa à proteção de dados. Prestam aconselhamento especializado sobre questões de proteção de dados e tratam das reclamações apresentadas contra violações do regulamento e das leis nacionais. Há uma em cada Estado-Membro da UE.

Em Portugal a APD localiza-se em Lisboa. Website: http://www.cnpd.pt/

 

DIREITO DOS CIDADÃOS

Os cidadãos têm direito a:

Para exercer os seus direitos, pode contactar o responsável pelo tratamento de dados da empresa, ou o Encarregado da Proteção de Dados (DPO – Data Protection Officer).

A empresa/organização deve responder aos pedidos o mais tardar no prazo de um mês. Caso a empresa/organização tenha intenção de recusar o pedido, deve explicar porquê.

Estes direitos são aplicáveis em toda a UE, independentemente do local onde os dados são tratados e onde a empresa está estabelecida. São igualmente aplicáveis a empresas não pertencentes à UE mas que operem na UE.

 

ENCARREGADO DA PROTEÇÃO DE DADOS (DPO)

O responsável pelo tratamento determina as finalidades e os meios pelos quais os dados pessoais são tratados. Se a sua empresa/organização decide o “porquê” e “como” os dados pessoais devem ser tratados, ela é a responsável pelo tratamento dos dados.

Já os trabalhadores que efetuam o tratamento de dados pessoais na sua organização fazem-no para cumprir as suas tarefas, enquanto responsáveis pelo tratamento.

 

GDPR EM WEBSITES

A GDPR tem que ser aplicada em todos websites que coletem algum dado do usuário. Sem excessão.

Se tem um website e pensa que não coleta nenhum dado do usuário por não ter nem mesmo um formulário de captação de emails, engana-se, pois quando um usuário navega em um website – qualquer website – há dados sendo coletado a todo momento.  São coletados pelo gerenciador da página web, pelo provedor de acesso à Internet, pela plataforma de alojamento do website, pelo Google, etc, esses dados são armazenados nessas entidades e em pequenos arquivos em seu dispositivo (computador, tablet, telemóvel), chamados de Cookies.

Nesses casos em que não há captura de emails, precisa coletar o ACEITE do usuário para o tratamento dos Cookies.

Nos casos em que há alguma coleta de email, além do aceite dos Cookies, precisa ter o ACEITE do usuário para a coleta do email dele e especificar a que uso dará e de que forma.

Se coleta informações mais sensíveis, como Nome, NIF, endereço da morada, número de telefone, e outros, como em uma loja virtual (e-commerce), também precisa ter o ACEITE do usuário para a coleta desses dados e especificar a que uso dará, de que forma e quanto tempo essas informações ficarão retidas na empresa. Perceba que nesse caso, há de se levar em consideração a legislação de cada país, onde exige-se que esses dados fiquem retidos por um certo tempo, para fins fiscais e/ou legais. É justamente esse tempo que as informações deverão ficar retidas, e nem mais um dia, salvo motivo legalmente justificado.

 

POLÍTICA DE PRIVACIDADE

Todo website deve informar aos usuários de que irá utilizar os seus dados pessoais para efeitos de comercialização e/ou comunicação direta e de que eles têm o direito a opor-se a isso, gratuitamente. 

A GDPR garante que sempre que uma pessoa se opõe ao tratamento dos dados pessoais, a empresa/organização deixa de poder efetuar o tratamento dos seus dados pessoais para esse efeito.

Também concede às pessoas o direito de pedirem que os seus dados sejam apagados e as organizações têm a obrigação de o fazer, exceto nos casos seguintes:

  • os dados pessoais que a sua empresa/organização possui são necessários para exercer o direito à liberdade de expressão;
  • quando uma obrigação jurídica o obriga a conservar os dados;
  • por motivos de interesse público (por exemplo, saúde pública, investigação científica ou histórica).
  • caso tenham sido submetidos a um processo de anonimização adequado.

Para tanto há um prazo estipulado de 30 dias para a empresa/organização apagar esses dados.

 

VIOLACÃO DE DADOS

Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados. 

É bom destacar que toda empresa/organização tem que aplicar medidas técnicas de segurança e organizativas adequadas para evitar possíveis violações de dados. Porém se tal ocorrer, e se a violação representar um risco para os direitos e as liberdades das pessoas, a empresa/organização tem a obrigação de notificar a APD – Autoridade de Controlo de seu país, sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação. 

Se a violação de dados representar um elevado risco para as pessoas afetadas, estas devem também ser informadas.

 

ADEQUAR O WEBSITE PARA A GDPR

Para adequar teu website à GDPR são necessários 5 passos:

  1. Segurança de tráfego – SSL: Todos as informações que trafegam dados de usuários devem serem feitas de forma criptografadas por instalação de um Certificado de Segurança Digital.
  2. Composição de uma Política de Privacidade: Texto descrevendo todos os tipos de dados, as formas de captação, os tipo de uso e as maneiras como o usuário pode acessar as suas informações armazenadas e solicitar sua exclusão, caso o deseje.
  3. Canal de comunicação exclusivo pra a GDPR: Canal exclusivo para que o usuário possa solicitar informações, alteração ou exclusão de seus dados pessoais do site.
  4. Mensagem de aceite: Uma mensagem deve ser exibida em todas as páginas para que o usuário aceite os termos de sua Política de Privacidade. Também deve ser exibida de forma específica, quando em uma caixa de coleta de emails ou formulário.
  5. Definição do Encarregado da Proteção de Dados: Já explicados mais acima.

 

Se você tem um website e coleta algum dado de seus visitantes, fique sabendo que a GDPR inputa a responsabilidade das normas a você, proprietário do website e não ao web designer, ou a empresa que o confeccionou. Por isso precisa ter confiança em seu web designer ou empresa contratada, e obviamente, deves sempre consultar um advogado, para os ajustes dos textos da Política de Privacidade e dos Termos de Uso.

Se já é cliente da MCOSTANZI, não se preocupe, estás seguro, pois a aplicação da GDPR nos websites feitos por nós já atende todas as normas vigentes. Somos atentos à legislação e ao teu website, afinal, a tua marca e teu negócio são muito importantes para nós!

Precisa de ajuda para adequar o teu website à legislação? Nós poderemos ajudá-lo. Entre em contato e conheça nosso trabalho.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Subscreva-se

e receba meus artigos diretamente em sua caixa de e-mail. Poderá cancelar o envio a qualquer momento.

Fale comigo

Poderá entrar em contato comigo por e-mail, por telemóvel ou pelo formulário. Responderei assim que possível.