O que é o RGPD?

Em abril de 2016, o Parlamento Europeu e o Conselho Europeu aprovaram nova legislação que regulamenta, de forma mais abrangente e alargada a todos os países da união Europeia, a forma como os dados pessoais dos cidadãos podem ser recolhidos, armazenados, transferidos e protegidos no Espaço Económico Europeu. A regulamentação (RGPD – Regulamento Geral de Proteção de Dados) tem como objetivo dar maior controlo aos cidadãos sobre a forma como a sua informação pessoal é utilizada.

O que são dados pessoais?

“PII – Personally Identifiable Information  – Qualquer informação, relativa a uma pessoa singular, identificada ou identificável”

É considerada “identificável” uma pessoa singular que possa ser identificada, direta ou indiretamente, por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização ou identificadores por via eletrónica, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social.

Os dados podem constar em qualquer suporte, seja ele físico, virtual, gráfico, tecnológico ou sonoro. Isto engloba etiquetas, ficheiros, chips/cartões RFID, informação em clould, informação em CRM, imagens de vídeo, bases de dados, panfletos, qualquer material impresso/escrito, etc.

Tratamento de dados pessoais

O tratamento de dados pessoais engloba qualquer ação sobre os mesmos e só poderá ser efetuado quando exista um fundamento legítimo para o fazer.

Apesar de muito se falar nele, o consentimento não é a única base para o tratamento de dados e pode por vezes nem ser exigido. Qualquer que seja o fundamento para o tratamento de dados, ele deve seguir as suas regras próprias e ser sempre documentado.

Em traços gerais, podem tratar-se dados quando:

  • O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
  • O tratamento for necessário para a execução de um contrato no qual o titular dos dados seja parte;
  • O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
  • O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros;

No que toca ao e consentimento, este. O consentimento tem que ser:

  • “Livre” – partindo de uma ação proativa do utilizador, sem o limitar no acesso a serviços e com a possibilidade de ser retirado com a mesma facilidade que foi dado;
  • “Informado” – em linguagem simples e direta;
  • “Específico” – Por cada finalidade de tratamento terá que ser dado consentimento (por exemplo: registar para entrar num evento é diferente de registar para receber informações de Marketing);
  • “Expresso” – Não são permitidas opções pré-validadas e a omissão não pode servir de “consentimento”;
  • “Demonstrável” – O responsável pelo tratamento de dados deve poder demonstrar que o consentimento foi dado ou retirado;

Responsável pelo tratamento vs. Subcontratante (data controller vs. data processor)

É fundamental que as organizações envolvidas no processamento de dados pessoais percebam o seu papel e que determinem se estão a agir como “Responsável pelo Tratatemento” (data controller) ou “Subcontratante”(data processor). Esta informação é relevante no apuramento de responsabilidades.

A entidade responsável pelo tratamento de dados determina o objetivo de utilização dos dados e a forma como os dados serão processados.

O subcontrante trata os dados por conta do responsável de tratamento, de acordo com os meios e finalidades que este definiu. O subcontratante apenas o poderá fazer mediante contrato escrito e com o conhecimento do titular dos dados.

Abrangência

Este regulamento aplica-se a qualquer tratamento de dados efetuado na União Europeia, e é aplicável a qualquer organização que preste serviços na União Europeia ou evento aqui realizado, independentemente da nacionalidade do individuo titular dos dados ou da origem da empresa.
Ou seja, o Regulamento protege também cidadãos não europeus, mas que se encontrem na União Europeia e abrange empresas não-europeias mas que vendam produtos ou prestem serviços.

Regresse ao nosso índice RGPD: Os seus eventos estão preparados para o RGPD?

 

Ficou com dúvidas? Fale connosco!


Sergio Pinto

Sergio Pinto

With more than 15 years of experience in IT and telecom industry has passed the last years investigating and developing tech solutions for the events industry.