O que significa exatamente “cumprir” e estar de acordo com o RGPD?
Desde 2018, foram radicalmente alteradas as regras de proteção de dados pessoais e respetivas obrigações para as empresas na forma como tratam os seus dados (inclusivamente dos seus próprios trabalhadores).
Todos os negócios e projetos devem, desde o momento zero, ter em mente a legislação de proteção de dados:
- RGPD – Regulamento Geral de Proteção de Dados, e
- A nova Lei de Proteção de Dados (lei 58/2019 de 8 de agosto)
Em resumo, e por princípio, a legislação de proteção de dados privilegia os direitos dos indivíduos, enquanto titulares dos dados pessoais, e estabelece uma série de obrigações para a empresas, que podem incorrer em pesadas coimas se as incumprirem.
Listamos abaixo algumas das principais obrigações que deverá ter em conta na organização de um evento que decorrem do cumprimento da legislação:
- Saber qual é o fundamento e finalidade do tratamento dos dados: se precisar de solicitar ou aceder a dados pessoais, ou tratar dados por outra forma, terá que saber se precisa de solicitar consentimento prévio ao titular dos dados ou se o está a fazê-lo com base num contrato. Terá também que ter presente exatamente o “porquê” do tratamento e informar em detalhe o titular dos dados sobre as operações de tratamento que fará e que medidas adota para os manter em segurança.
- Consentimento: é exigido aos organizadores de eventos que obtenham e armazenem o consentimento de cada um dos participantes, definindo também que este deve ser obtido de forma clara e objetiva. Como falado no artigo “O que é o RGPD? Informações básicas sobre tratamento de dados.”, o consentimento deve partir de uma decisão livre e informada do utilizador.
- Notificação de violação da proteção de dados (breach notification): o RGPD define uma notificação obrigatória, a utilizadores e autoridades, sempre que ocorrer uma falha de segurança, perda de dados ou acesso ilegítimo de um terceiro, que terá que ser feita num prazo máximo de 72 horas. Dependendo dos casos, terá que ser notificada Comissão Nacional de Proteção de Dados e/ou o(s) próprio(s) titulares dos dados.
- Direito de Acesso: Os organizadores terão que estar sempre preparados para fornecer cópias dos registos dos participantes nos eventos. Caso um participante solicite acesso aos seus dados, o mesmo deverá ser-lhe disponibilizado num prazo máximo de 30 dias.
- Direito ao esquecimento (right to be forgotten): os titulares dos dados a que tenha em qualquer momento, não só pedir para que os seus dados sejam apagados, mas também que deixem de ser partilhados com qualquer entidade terceira (hotéis, venues, patrocinadores, etc.)
- Transferência de dados (data portability) – é dada a possibilidade aos indivíduos de solicitar uma cópia dos seus dados pessoais previamente submetidos e/ou de os transferir para uma outra organização (que poderá ser um concorrente). A informação terá que ser fornecida num formato comummente utilizado de forma a que a nova organização consiga utilizá-lo de forma imediata.
- Privacy by Design e Privacy by Default– é exigido que a segurança de dados e a legalidade do tratamento dos dados esteja integrada em todos os produtos e processos desde o princípio. Isto aplica-se a sistemas tecnológicos que ajudem a armazenar e organizar informação pessoal dos attendees, mas não só. Outros sistemas na empresa, como o CRM, sistemas de faturação etc., terão também que cumprir este requisito.
Regresse ao nosso índice RGPD: Os seus eventos estão preparados para o RGPD?
Ficou com dúvidas? Fale connosco!