Portal Nacional dos Municípios e Freguesias


Artigo Patrocinado: Saiba mais aqui

RGPD - NOVO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS ENTROU EM VIGOR DIA 25 DE MAIO

Entrou em vigor no dia 25 de maio de 2018, o Regulamento Geral de Proteção de Dados Este novo regulamento da União Europeia terá impacto sobre como as organizações precisam proteger dados pessoais em escala global. Isso pode incluir projetos de código aberto, incluindo comunidades.

 

Detalhes GDPR

 O Regulamento Geral de Proteção de Dados (GDPR) foi aprovado pelo Parlamento da UE em 14 de abril de 2016 e foi implementado a partir de 25 de maio de 2018. O GDPR substitui a Diretiva de Proteção de Dados 95/46 / EC que foi projetada "para harmonizar a privacidade de dados em toda a Europa, para proteger e capacitar toda a privacidade de dados dos cidadãos da UE e reformular a forma como as organizações em toda a região abordam a privacidade de dados. "

 O objetivo do GDPR é proteger os dados pessoais de indivíduos na UE em um mundo cada vez mais orientado a dados.

 

A quem se destina

Uma das maiores mudanças que vem com o GDPR é um aumento do âmbito territorial. O GDPR aplica-se a todas as organizações que processam os dados pessoais dos titulares de dados residentes na União Europeia, irrelevantes para a sua localização.

Enquanto a maioria dos artigos on-line sobre o GDPR menciona empresas que vendem bens ou serviços, também podemos olhar para esse âmbito territorial com projetos de código aberto em mente. Existem algumas excepções, como uma empresa de software (lucro) utilizando uma comunidade e uma organização sem fins lucrativos, ou seja, um projeto de software de código aberto e a sua comunidade. Uma vez que essas comunidades são administradas numa escala global, é provável que pessoas baseadas na UE participem nessa comunidade.

Quando uma comunidade global tem uma presença online, usando plataformas como um site, fórum, agregador de problemas, etc., é muito provável que eles estejam processando dados pessoais dessas pessoas da UE, como seus nomes, endereços de e-mail e possivelmente até mesmo outros dados. Essas atividades desencadearão a necessidade de cumprir o GDPR.


Mudanças no GDPR e seu impacto

O GDPR traz muitas alterações, reforçando a proteção de dados e a privacidade das pessoas da UE, em comparação com a diretiva anterior. Algumas dessas alterações têm um impacto direto em uma comunidade, conforme descrito anteriormente. Algumas dessas mudanças são:

 

Consentimento

Vamos supor que a comunidade em questão usa um fórum para os seus membros e também tenha um ou mais formulários no seu site para fins de registo. Com o GDPR, não se poderá utilizar uma política de privacidade e termos de condições longos e ilegíveis. Para cada uma dessas finalidades específicas, registando-se no fórum e num desses formulários, será preciso obter o consentimento explícito. Esse consentimento deve ser "dado livremente, específico, informado e não ambíguo".

No caso do tal formulário, pode-se ter uma caixa de seleção, que não deve ser pré-marcada, com texto claro indicando para quais fins os dados pessoais são usados, de preferência vinculados a uma adenda/link da sua política de privacidade e termos de uso existentes.

 

Direito de acesso

As pessoas da UE obtêm direitos expandidos pelo GDPR. Um deles é o direito de perguntar a uma organização se, onde e quais dados pessoais são processados. Mediante solicitação, eles também devem receber uma cópia desses dados, de forma gratuita, e em formato eletrónico, caso essa pessoa em questão (por exemplo, cidadão da UE) assim solicite.

 

Direito de ser esquecido

Outro direito de os cidadãos da UE passarem pelo GDPR é o "direito ao esquecimento", também conhecido como remoção dos dados. Isso significa que, sujeito a certas limitações, a organização terá que apagar seus dados e possivelmente interromper qualquer processamento adicional, inclusive por terceiros da organização.

As três alterações acima implicam que o software da sua plataforma precisará cumprir com certos aspectos do GDPR também. Ele precisará ter recursos específicos, como obter e armazenar as autorizações, extrair dados e fornecer uma cópia em formato eletrónico dos dados a um utilizador e, finalmente, os meios para apagar dados específicos sobre um assunto.

 

Notificação de violação 

Sob o GDPR, uma violação de dados ocorre sempre que os dados pessoais são divugados ou roubados sem a autorização do titular dos dados. Uma vez descoberto, você deve notificar os membros da comunidade afetada no prazo máximo de 72 horas, a menos que a violação de dados pessoais não possa resultar num risco aos direitos e liberdades das pessoas físicas. Esta notificação de violação é obrigatória no âmbito do GDPR.

 

Registo

Como uma organização, a mesma se torna responsável por manter um registo que inclui descrições detalhadas de todos os procedimentos, propósitos, etc. para os quais se processa os dados pessoais. Esse registo funciona como prova da conformidade da organização com a exigência do GDPR em manter um registo de atividades de processamento de dados pessoais e será usado para fins de auditoria.

 

Multas

As organizações que não cumpram com as regras do novo GDPR estão sujeitas a multas que podem atingir até 4% da facturação global anual ou 20 milhões de euros (o que for maior). De acordo com o GDPR, "esta é a multa máxima que pode ser imposta para as infrações mais graves, por exemplo, não ter o consentimento suficiente do cliente para processar os dados ou violar o núcleo dos conceitos de Privacidade por Design".

 

Mais informação sobre o regulamento em:

https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679 - Regulamento Europeu

https://www.cnpd.pt/bin/rgpd/rgpd.htm - Comissão Nacional de Protecção de Dados - Espaço RGPD

https://www.portaldocidadao.pt/web/comissao-nacional-de-protecao-de-dados/comissao-nacional-de-protecao-de-dados - Espaço do Cidadão - Serviços sobre Dados