Home Artigos Gestão Considerações sobre o RGPD
Gestão

Considerações sobre o RGPD

Publicado em 22 de Maio, 2018
RGPD

Considerações sobre o RGPD, tecidas por quem é de Marketing e escritas para quem se sente, ainda, nesta altura, um pouco perdido. Ahhh, e procurando não falar em “marketinguês” ou “legalês”!

Começar pelo começo: o que é o RGPD?

Além de ser a “palavra quente” nos últimos dias, o RGPD, ou Regulamento Geral de Proteção de Dados, já não é coisa nova. Enquanto directiva, existe há já largos anos (cerca de 20). Enquanto regulamento, está em vigor desde 2016. Como sempre nestas andanças da lei, decorreu então, por dois anos, um prazo de implementação – e é daí que surge a data de 25 de Maio de 2018.

Pois é, o prazo para que todos estejamos em conformidade com o regulamento, termina no próximo dia 25. E, à boa maneira “Tuga”, agora é que andamos todos aflitos e a correr! Bem sei, não somos só nós!… mas também à boa maneira “Tuga”, tudo vai correr bem, vão ver! 😊

A quem se aplica?

É uma coisa transversal, e ninguém fica de fora! Aplica-se a todas as entidades e organizações (portanto, os profissionais liberais também contam), que de alguma forma recolham, tratem, armazenem e utilizem dados de cidadãos da União Europeia.

A sua aplicação deverá levar em linha de conta a natureza, especificidade e dimensão da atividade / negócio, pelo que as questões relativas à conformidade devem, em todos os casos , ser avaliadas de forma individual.

Do que trata?

Se estamos a falar de protecção de dados pessoais e de privacidade dos utilizadores, é natural que a ênfase de todo o regulamento seja no controlo que os cidadãos devem ter sobre a forma como são recolhidos e utilizados os seus dados. Portanto, os pilares são:

  • Direito ao acesso

Temos de garantir ao titular dos dados (ou seja, ao cidadão, porque é ele o seu legitimo dono) o direito a aceder aos seus dados, e complementarmente, a poder alterá-los ou mesmo eliminá-los.

  • Direito ao esquecimento

Qualquer pessoa tem o deito a ser esquecida, ou seja, eliminada de forma total e permanente dos registos da organização.

Portanto, e a menos que haja uma obrigatoriedade legal (como no caso da facturação, em que os elementos contabilísticos têm de ser armazenados por vários anos) ou outra razão que o justifique, devidamente enquadrada no regulamento (como, por exemplo, um manifesto interesse público), todas as entidades devem garantir que cumprem esse pedido do titular dos dados e eliminam permanentemente todos os seus dados.

  • Direito à portabilidade

É como nos telefones, ou na luz lá de casa… todos os utilizadores devem poder “levar consigo” os seus dados e entregá-los a outra entidade.

Parece estranho? Pois. É apenas uma questão de formato. E de nos assegurarmos que, se o utilizador nos solicitar a sua “ficha”, devemos conseguir dar-lha num formato estruturado que consiga depois ser “lido” pela entidade a quem o utilizador a queira entregar.

  • Consentimento Prévio

É aqui que reside o busílis da questão. Como é também natural, não podemos entrar na casa dos outros sem ser convidados. E também não podemos entrar sem bater, para depois perguntar se podemos entrar. Não faz sentido!

Por isso, temos de nos assegurar que todos os utilizadores sabem para que fim estão a fornecer os seus dados, e concordam voluntária e explicitamente com essa utilização.

Portanto, nada de formulários pré-preenchidos! Nem nada de letrinhas pequeninas que dizem que “ao preencher a ficha de inscrição passará a receber a newsletter xpto”! ´

Cada consentimento é dado para um fim específico.

Além do mais, destaque-se também que apenas devem ser recolhidos os elementos necessários para esse fim. Portanto, não faz sentido perguntar o estado civil se o objetivo for a inscrição num evento!

Exemplo: se o utilizador está a preencher uma ficha de inscrição num evento, está a dar os seus dados para participar nesse evento (e pela natureza transacional da própria inscrição não é necessário um campo para consentimento – este é automático). Portanto, se quisermos aproveitar e enviar-lhe depois uma newsletter, essa ficha terá de ter um campo independente que solicite esse consentimento e que tem, obrigatoriamente, de ter as duas opções – “sim, aceito” e “não, não aceito”! E nenhuma delas previamente marcada, ‘tá???

E agora? O que faço àquele Excel cheio de e-mails a quem enviava a minha Newsletter?

Infelizmente, se foram recolhidos sem o consentimento expresso para esse fim, não pode usá-la e deve eliminá-la!

  1. Esta é a regra base. Agora, não vá já a correr carregar na tecla “delete”! Nem bombardeie os seus contactos com o tão típico, criativo e atual email “continue connosco”! (neste último caso, só estará a colocar o dedo na ferida, os emails vão praticamente todos para o lixo, e aí é que não terá mesmo o consentimento de ninguém!)

Informe-se. Fale com um especialista. Identifique os seus deveres e as especificidades do seu negócio. E, acima de tudo, use o seu bom senso!

Se envia essa newsletter de forma regular, há anos, e sabe a origem de cada contacto dessa Base de Dados… Se foi construída por si, ao longo do tempo, com o consentimento dos seus utilizadores (ainda que não fosse explicito)… Se os seus utilizadores sempre a abriram, e sempre leram a sua newsletter… não entre em pânico, entre na linha! Ou seja, adapte-se para cumprir o regulamento no futuro, mas não esqueça o passado.

Mas se, em vez disso, tem uma Base de Dados que não sabe muito bem de onde veio, guardada numa pasta recôndita do seu PC… esqueça-a! Comece do zero e cumpra o regulamento, porque as consequências podem ser duras. Depois do dia 25, as coisas vão mudar de tal forma que todos os utilizadores se vão sentir legitimados (e estão) a queixar-se! E vão fazê-lo. Sem dúvidas que vão!

E nos websites? O cookies também são dados pessoais?

São. Na realidade são considerados “dados pessoais não sensíveis”, porque não identificam a pessoa enquanto individuo (permitindo dizer directamente que “estas são as preferências do António”), mas permitem rastreá-las e recolher dados comportamentais de navegação que levam à sua identificação como “utilizador alvo” para acções futuras.

À luz do RGPD, não é necessário um consentimento explicito neste capítulo. Mas é obrigatório informar o utilizador sobre a política de recolha de cookies e os fins para que serão utilizados, por forma a que este decida sobre a continuidade da navegação. Devem igualmente ser informadas as formas de eliminar/desactivar a recolha deste tipo de elementos.

Na prática, o que pode acontecer depois de 25 de Maio?

Ora, se existe uma regra (e uma data limite para ter tudo em ordem), tem de haver penalizações para quem não a respeite. É assim num estado de direito! 😊

Se as entidades que recolhem e tratam os dados são responsáveis pela protecção dos mesmos e dos direitos dos utilizadores, terão de poder comprovar, perante o orgãocompentente, a forma como os recolheram, como os processam, como os armazenam. É necessário que todo o processo esteja devidamente documentado.

E, no caso de existirem intermediários no processo, a entidade que “terceirizou” o serviço tem de assegurar-se que o seu parceiro também cumpro o RGPD. Um exemplo? Quando um utilizador cede os seus dados pessoais a um agente de uma empresa de telecomunicações (habitualmente profissionais liberais ou empresas subcontratadas), este passa-os ao operador. Portanto, o operador tem de cumprir o RGPD (é ele que vai processar e tratar os dados pra a contratação) mas tem também de assegurar-se que a entidade que subcontratou também os cumpre.

Todas estas questões, e a necessidade de comprovar a conformidade, colocam-se perante a Comissão Nacional de Proteção de Dados, na medida em que será o organismo competente em matéria de fiscalização do cumprimento.

E é também a este organismo que serão reportadas as eventuais violações do regulamento, que estarão sujeitas a penalizações que, para os pequenos negócios, podem ascender a 2% do seu volume de facturação anual global.

RESUMINDO: O que há a fazer?

  • Fazer um levantamento exaustivo dos dados que recolhe, para que fins, com que consentimento.
  • Como os regista e como os armazena? Estão seguros?
  • Por quanto tempo os guarda? Ainda são necessários?
  • Definir / verificar a sua Politica de Privacidade
  • Documentar todo o processo e garantir que os seus utilizadores têm acesso a controlo sobre os seus dados pessoais e que sabem como o o exercer
  • Se necessário, solicitar a ajuda de um profissional (a TGS Marketing deixa-lhe, desde já, como sugestão o contacto da Dra. Sandra Veloso – DPO and Data Protection Consultant na DPON (https://dataprivacy-on.com/).

E onde encontra mais informação?

Consultando a versão oficial digita do Regulamento:

http://www.privacy-regulation.eu/pt/index.htm

No website da Comissão Nacional de Proteção de Dados: https://www.cnpd.pt/bin/rgpd/rgpd.htm

No website de “ajuda” da Comissão Europeia:

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_pt

Teresa Gaudêncio Santos – TGS Marketing

Este apanhado resulta, em parte,  da Sessão de Esclarecimentos em Directo, promovida  pela TGS Marketing na sua página de Facebook, em parceria com a DPON – Data Privacy, (e aproveitamos, desde já, para pedir as nossas desculpas pelos problemas técnicos que se verificaram com o som da nossa convidada). Achei, por isso que faria sentido escrever-vos este artigo! Afinal, foi quase uma hora de vídeo! 😊

Ver Também

Ética empresarial e transparência nos negócios

Uma situação que experienciei recentemente motivou-me a publicar este desabafo. O meu caso…