O Regulamento Geral de Protecção de Dados(GDPR) entra em vigor no dia 25 de Maio e irá rever completamente a forma como as empresas processam e tratam os dados e dar aos indivíduos um maior controlo sobre quem recolhe e processa os seus dados, para que servem e como estão a ser protegidos.
Apesar do prazo de Maio estar cada vez mais próximo, há ainda uma série de mitos em torno do GDPR que precisam de ser dissipados.
Mitos TOP GDPR
Mito 1: Cada empresa precisa de nomear um RPD
Isto é falso. Apenas determinadas organizações terão de nomear um responsável pela protecção de dados (RPD) ao abrigo da GDPR.
Deve nomear um RPD se:
- é uma autoridade pública
- as suas actividades principais requerem um acompanhamento em grande escala, regular e sistemático dos indivíduos
- as suas actividades principais consistem no tratamento em larga escala de categorias especiais de dados ou de dados relativos a condenações penais e infracções
O RPD deve ser um perito em GDPR e práticas de privacidade, uma vez que é responsável pelo controlo e comunicação do cumprimento da GDPR.
Espera-se que os RPD ajudem a orientar os responsáveis pelo tratamento de dados e os processadores de dados, auditando a conformidade interna e sugerindo recomendações correctivas adequadas sempre que necessário. Espera-se igualmente que os RPD actuem de forma independente no seio da organização.
Mito 2: GDPR só afecta empresas europeias
Isto é falso. Embora o GDPR seja um regulamento europeu, tem implicações mais amplas. Não importa em que parte do mundo se encontra, se a sua empresa estiver sediada fora da UE mas se envolver em transacções comerciais com um indivíduo sediado na Europa, então o GDPR aplicar-se-á.
Da mesma forma, se uma empresa está sediada fora da UE mas tem operações europeias, também tem de cumprir. A GDPR trata de dados pessoais e da localidade da pessoa quando os seus dados são recolhidos. Isto é o que determina a aplicabilidade do regulamento.
Mito 3: O GDPR não se aplicará ao Reino Unido por causa de Brexit
Isto é falso. O GDPR continuará a aplicar-se depois de Brexit. O GDPR foi concebido para regular a forma como as organizações processam e controlam os dados pessoais dos cidadãos da UE, independentemente da sua localização. O Reino Unido não deixará a União Europeia até Abril de 2019, pelo que a lei europeia continuará a aplicar-se no Reino Unido.
Mito 4: As multas são a maior ameaça ao seu negócio
Isto é Falso. Embora as organizações que infringem o GDPR possam ser confrontadas com multas até 4% do volume de negócios global anual ou 20 milhões de euros, há uma série de outros problemas que as empresas não conformes enfrentam.
A GDPR exige que as organizações revelem quaisquer violações de dados pessoais à autoridade de supervisão relevante no prazo de 72 horas após a sua detecção. Se a violação resultar num elevado risco de afectar os direitos e liberdades de um indivíduo, então o indivíduo deve também ser notificado com efeito imediato.
Esta incerteza e perda de dados poderia resultar na saída de clientes e na mudança para concorrentes. A perda de confiança dos consumidores poderia, por sua vez, prejudicar a reputação de uma empresa e resultar numa perda de receitas.
Mito 5: O consentimento é a única forma de processar dados
Isto é falso. Um grande número de organizações parte do princípio de que o consentimento é a única base legal para o processamento de dados pessoais. O consentimento é apenas um dos seis fins legítimos que são necessários para todo o processamento de dados pessoais.
Segundo a GDPR, o "processamento legal" só é possível quando:
- Há consentimento do titular dos dados
- O tratamento é necessário para a execução de um contrato com o titular dos dados
- O processamento é necessário para o cumprimento de uma obrigação legal
- O tratamento é necessário para proteger os interesses vitais de uma pessoa em causa ou de outra pessoa
- O processamento é necessário para o desempenho de uma tarefa de interesse público ou no exercício da autoridade oficial investida no controlador
- O tratamento é necessário para os fins de interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, excepto quando os interesses, direitos ou liberdades da pessoa em causa prevalecem sobre os interesses, direitos ou liberdades da pessoa em causa
Se não tiver a certeza se o seu negócio está no bom caminho para o cumprimento da GDPR, contacte-nos para saber como podemos ajudar. O MetaPrivacy foi especificamente concebido para fornecer a melhor abordagem prática para o cumprimento da privacidade dos dados.