Este novo quadro legal tem como grande objectivo garantir a privacidade e integridade dos dados dos consumidores da UE e define que todos os cidadãos têm o direito de saber como os seus dados estão a ser usados, bem como o direito de ter os seus dados completamente apagados se tal for solicitado.
Saiba o que vai mudar com a entrada em vigor deste novo regulamento e perceba em que áreas deve actuar para garantir que a sua empresa está em conformidade:
- As multas podem chegar aos 20 milhões de euros ou a 4% do volume de negócios global para as empresas em incumprimento.
- As regras da UE devem ser aplicadas se os dados pessoais forem tratados no estrangeiro por empresas activas no mercado da UE ou se estas organizações registarem o comportamento dos indivíduos na UE.
- A gestão de topo deve conhecer as implicações do novo regulamento e criar um programa de transformação para cumprir o RGPD, envolvendo áreas como o Departamento Jurídico, o Marketing ou as áreas de TI.
- As empresas devem realizar auditorias internas de forma a definir: que tipo de informação recolhem, como a informação é guardada, quem pode aceder à informação e com quem é partilhada.
- O consentimento para a recolha de dados terá de ser explícito pelo titular dos dados pessoais e tem de estar registado.
- Devem ser revistos os contratos de subcontratação de serviços, já que o RGPD também se aplica às empresas subcontratadas estabelecidas na UE.
- Deve ser cumprida a Directiva SRI (Directiva de Segurança das Redes e da Informação), a qual impõe um nível de segurança mínimo para as tecnologias, redes e serviços digitais, prevendo ainda a obrigatoriedade (nomeadamente para Entidades como as do sector da saúde) de comunicar a ocorrência de incidentes com impacto significativo na segurança das redes e dos sistemas de informação. As Entidades integrantes do SNS devem proceder à notificação da violação de dados pessoais, sempre que possível, até 72 horas após terem conhecimento da mesma.
- O delegado de protecção de dados será obrigatório para algumas empresas (por exemplo, no caso de fazerem o tratamento de dados sensíveis). Esta será a pessoa responsável dentro da empresa pelo cumprimento das obrigações do regulamento.
- As empresas terão de adotar os princípios da protecção de dados desde a concepção (privacy by design) e da protecção de dados por defeito (privacy by default).
- As organizações deverão realizar acções de formação sobre segurança de informação dirigidas a todos os colaboradores e criar níveis de permissões que restrinjam o acesso aos dados de acordo com as funções e necessidades de cada colaborador
JÁ VIU QUE A NOSSA GESTÃO DOCUMENTAL AJUDA-O A CUMPRIR ESTA NOVA OBRIGAÇÃO? DISPONÍVEL NA GESTÃO DA CONTABILIDADE E NA GESTÃO DOS RECURSOS HUMANOS.