O Regulamento Geral sobre a Proteção de Dados(RGPD) entra em vigor a 25 de maio e irá reformular completamente a forma como as empresas processam e tratam os dados, dando aos indivíduos um maior controlo sobre quem recolhe e processa os seus dados, para que são utilizados e como são protegidos.

Apesar de o prazo de maio estar cada vez mais próximo, ainda há uma série de mitos em torno do RGPD que precisam de ser dissipados.

Principais mitos sobre o RGPD

Mito 1: Todas as empresas precisam de nomear um DPO

Não é verdade. Apenas algumas organizações terão de nomear um responsável pela proteção de dados (RPD) ao abrigo do RGPD.

 Deves nomear um DPO se:

  • és uma autoridade pública
  • as tuas actividades principais exigem um acompanhamento em grande escala, regular e sistemático dos indivíduos
  • as tuas actividades principais consistem no tratamento em grande escala de categorias especiais de dados ou de dados relativos a condenações penais e infracções

O DPO deve ser um especialista em RGPD e práticas de privacidade, uma vez que é responsável pela monitorização e comunicação da conformidade com o RGPD.

Os RPD devem ajudar a orientar os responsáveis pelo tratamento de dados e os subcontratantes, auditando a conformidade interna e sugerindo, se necessário, recomendações corretivas adequadas. Espera-se também que os RPD actuem de forma independente dentro da organização.

Mito 2: O RGPD só afecta as empresas europeias

Isto é falso. Embora o RGPD seja um regulamento europeu, tem implicações mais alargadas. Não importa em que parte do mundo estás localizado, se a tua empresa está sediada fora da UE, mas realiza transacções comerciais com um indivíduo sediado na Europa, então o RGPD será aplicável.

Da mesma forma, se uma empresa estiver sediada fora da UE mas tiver operações na Europa, também tem de cumprir o regulamento. O RGPD diz respeito aos dados pessoais e à localidade da pessoa quando os seus dados são recolhidos. É isto que determina a aplicabilidade do regulamento.

Mito 3: O RGPD não se aplica ao Reino Unido devido ao Brexit

Não é verdade. O RGPD continuará a aplicar-se depois do Brexit. O GDPR foi concebido para regular a forma como as organizações processam e controlam os dados pessoais dos cidadãos da UE, independentemente do local onde se encontram. O Reino Unido não sairá da União Europeia até abril de 2019, pelo que a legislação europeia continuará a aplicar-se no Reino Unido.

Mito 4: As coimas são a maior ameaça para a tua empresa

Isto é falso. Embora as organizações que violam o RGPD possam ser confrontadas com multas até 4% do volume de negócios global anual ou 20 milhões de euros, há uma série de outros problemas que as empresas não conformes enfrentam.

O RGPD exige que as organizações divulguem quaisquer violações de dados pessoais à autoridade de controlo relevante no prazo de 72 horas após a deteção.  Se a violação implicar um risco elevado de afetar os direitos e liberdades de uma pessoa, esta deve também ser notificada com efeito imediato.

Esta incerteza e a perda de dados podem levar os clientes a abandonar a empresa e a mudar para a concorrência. A perda de confiança dos consumidores pode, por sua vez, prejudicar a reputação de uma empresa e resultar numa perda de receitas.

Mito 5: O consentimento é a única forma de tratar os dados

Isto é falso. Um grande número de organizações parte do princípio de que o consentimento é a única base jurídica para o tratamento de dados pessoais. O consentimento é apenas uma das seis finalidades legítimas que são necessárias para todo o tratamento de dados pessoais.

Nos termos do RGPD, o “tratamento lícito” só é possível quando:

  • Existe consentimento da pessoa em causa
  • O tratamento é necessário para a execução de um contrato com a pessoa em causa
  • O tratamento é necessário para o cumprimento de uma obrigação legal
  • O tratamento é necessário para proteger os interesses vitais de um titular de dados ou de outra pessoa
  • O tratamento é necessário para o desempenho de uma missão de interesse público ou para o exercício da autoridade pública de que está investido o responsável pelo tratamento
  • O tratamento é necessário para a prossecução de interesses legítimos do responsável pelo tratamento ou de terceiros, exceto se os interesses, direitos ou liberdades da pessoa em causa prevalecerem sobre os mesmos

Se não tiveres a certeza de que a tua empresa está no caminho certo para cumprir o RGPD, contacta-nos para saberes como podemos ajudar. O MetaPrivacy foi especificamente concebido para fornecer a abordagem de melhores práticas para a conformidade com a privacidade dos dados.