RGPD - O guia definitivo para clientes LVENGINE

rgpd

Por esta altura, já deve ter ouvido falar sobre o novo regulamento (RGPD) que entra em vigor a 25 de Maio de 2018. Saiba o que é necessário fazer na prática, antes e depois da entrada em vigor do Novo Regulamento, no que diz respeito ao seu site.

O Regulamento Geral de Protecção de Dados (Regulamento Europeu n.º 2016/679) é um regulamento que visa fortalecer e generalizar a protecção de dados para todos os cidadãos na União Europeia.

Se no seu site não houver qualquer recolha de dados pessoais, então, não tem motivos para infringir as normas do RGPD e não precisa de se preocupar. Caso contrário, o RGPD é um processo longo e com várias obrigações com incidência nas seguintes áreas:

  • Respeitar os direitos dos cidadãos
  • Documentação
  • Procedimentos de segurança

Respeitar os direitos dos cidadãos

De modo a cumprir com o RGPD, é necessário garantir os seguintes direitos a todos os utilizadores:

  1. Direito a ser informado
  2. Direito de acesso
  3. Direito ao esquecimento
  4. Direito de rectificação
  5. Direito à portabilidade dos dados
  6. Direito à oposição
  7. Direito à limitação

De modo a facilitar o cumprimento do regulamento, para os nossos clientes, desenvolvemos um novo módulo RGPD integrado para o seu site.

Direito a ser informado

Se recolhe dados pessoais, então, tem o dever de informar os utilizadores no ponto de recolha com um aviso claro de privacidade.

Todo os locais que sejam susceptíveis de recolha de dados pessoais (formulários e registo do utilizador, por exemplo), deverão apresentar um mecanismo que permita ao utilizador registar o seu consentimento: uma checkbox para aceitação, bem como deverá ser apresentado um breve esclarecimento sobre a finalidade dessa recolha de dados, por quanto tempo os mesmos serão guardados, assim como outras informações relevantes, tais como:

  • O motivo pelo qual está a recolher os dados pessoais;
  • Por quanto tempo;
  • Quais as diferentes entidades com quem irá partilhar os dados;
  • Uma página de política de privacidade.

Os seguintes direitos são exercidos através de uma página no site, onde qualquer pessoa poderá fazer exercer o respectivo direito e, ao qual, a sua organização deverá responder dentro de um prazo de 30 dias, a menos que, por um motivo de força maior, poderá estender o prazo, desde que o utilizador seja informado dessa mesma razão.

Direito de acesso

Qualquer cidadão tem o direito à protecção das suas informações pessoais e de as aceder e/ou corrigir sempre que o solicitar;
Se um cidadão pedir para ter acesso aos seus dados pessoais, é necessário confirmar a sua identidade, ou seja, garantir que o pedido é realmente feito por quem diz ser que é.

De modo a confirmar a identidade, o nosso módulo RGPD envia um email com um link de confirmação. Os pedidos só são válidos se forem confirmados. Através do email, é possível dentro da nossa aplicação encontrar todos os dados relacionados com essa pessoa. Para além de consultar esses dados, também podemos gerar um ficheiro com os dados passíveis de serem processados informaticamente e podemos enviar esses dados directamente através do próprio módulo ou manualmente, através de email.

Direito ao apagamento (esquecimento)

Qualquer pessoa pode solicitar que as suas informações sejam esquecidas. Isto significa que, até esse preciso momento, qualquer informação sobre determinada pessoa deverá ser eliminada. No entanto, é muito importante ter em atenção:

  • Que tem de garantir a limpeza dos dados dentro de outros sistemas da sua empresa, ou seja, o nosso módulo limpa os dados no site, mas poderá ter dados noutros sistemas
  • Só deve proceder ao Apagamento dos dados se (entre outros):
    • Os dados pessoais deixaram de ser necessários para a finalidade que indicou aquando da sua recolha ou tratamento;
    • O titular retira o consentimento em que se baseia o tratamento dos dados;
    • Os dados pessoais foram tratados ilicitamente;
    • O titular opõe-se ao tratamento para efeitos de marketing directo.
  • Não deve apagar dados que necessita para (entre outros):
    • O exercício da liberdade de expressão e de informação;
    • O cumprimento de uma obrigação legal;
  • Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

Direito de rectificação

O cidadão tem o direito de rectificar os seus dados. No entanto, é necessário observar os pontos importantes do direito anterior.

Direito à portabilidade dos dados

O utilizador tem o direito a uma cópia dos dados pessoais que lhe digam respeito e cuja recolha foi feita informaticamente. Devem ser fornecidos num formato estruturado, de uso corrente e de leitura automática. O nosso módulo exporta em csv (valores separados por vírgula) que é um formato que permite a interoperabilidade com qualquer sistema e que pode ser aberto pelos utilizadores com qualquer programa de folhas de cálculo (o Excel, por exemplo).

Direito de oposição

Qualquer pessoa pode solicitar que as suas informações não sejam objecto de determinados processamentos ou utilizações. Pode ser realizado através de opt-out.

Consciencialização e Documentação

Informe os seus utilizadores de um modo claro e transparente e garanta que todos os intervenientes dentro da sua organização estão cientes dos dados que são recolhidos, dos processos usados e de como são utilizados:

  1. Informe os visitantes do seu site através de um aviso claro de privacidade no momento de recolha de dados pessoais;
  2. Informe os utilizadores numa página de política de privacidade sobre quais os dados recolhidos, como são utilizados e a duração;
  3. Consciencialize a sua equipa de como e de que forma são guardados os dados pessoais.

Obtenção de consentimento expresso e inequívoco

Com a entrada do novo regulamento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais. Deve também dar o direito ao titular dos dados para retirar esse consentimento.

Tenho consentimentos, mas anteriores ao RGPD. Devo pedir novos consentimentos?

Na maioria dos casos, não há qualquer necessidade de o fazer. No entanto, existe uma excepção:

- Se pediu consentimento para processar os dados a fim de enviar um tipo de conteúdo diferente do que está a enviar agora (por exemplo, caso na inscrição se tenha comprometido a enviar apenas dicas e material de conteúdo e depois, acaba por enviar campanhas de marketing, promoções, etc).

O Regulamento prevê outros motivos legais para o processamento de dados?

Sim, mesmo sem o opt-in tradicional, a lei permite que os dados sejam tratados quando, por exemplo, existe um legítimo interesse por parte do consumidor. Nos moldes do RGPD, um contrato onde já esteja espelhado o âmbito e tratamento dos dados, será suficiente.

Mesmo sem opt-in, encontra-se legal, quando existe:

  • Contrato com o titular dos dados/obrigação legal - Um bom exemplo é a relação entre qualquer empresa e cada um de seus funcionários. Há um contrato entre eles, bem como uma exigência legal para processar dados.
  • Interesse vital - o exemplo de interesse vital seria o óbvio acesso aos registos médicos em relação a uma pessoa envolvida numa emergência médica.
  • Uma missão pública - O exemplo de missão pública seria solicitar dados no interesse público a qualquer empresa privada de energia, água ou gás, que são considerados serviços de utilidade.
  • Legítimos interesses - Um exemplo de um interesse legítimo passa por uma cadeia de lojas de retalho pedir códigos postais aos seus clientes (como faz o IKEA, por exemplo), com o objectivo de abrir uma nova filial numa outra localização geográfica; Outro bom exemplo é a personalização do email marketing e como isso irá melhorar a experiência do utilizador.

Outras aspectos a ter em conta:

  • Se a sua empresa utiliza listas compradas ou adquiridas de formas obscuras, então, isso é ilegal e páre, desde já, de usar as mesmas;
  • Se utiliza sistemas como E-goi, MailChimp ou outros, deverá de igual modo garantir o cumprimento do RGPD nesses sistemas, assistindo: obtenção de consentimento, execução da garantia de direitos, informação e cumprimento de termos e condições desses sistemas.

Com este módulo RGPD, a minha empresa fica automaticamente em conformidade?

O módulo apresenta uma série de funcionalidades com o objectivo de o ajudar no processo de conformidade, no entanto, é a sua organização que deve garantir que todos os seus processos estão de acordo com a lei.

O regulamento indica que é da responsabilidade de cada entidade, cumprir com todos os princípios de protecção de dados.

Segurança

A responsabilidade em relação aos dados pessoais que a “LVENGINE acarreta, mas que são processados pelos nossos clientes” é uma das questões que tem gerado mais dúvidas na implementação do Regulamento Geral da Protecção de Dados (RGPD). No âmbito do novo RGPD, levanta-se a seguinte questão: Quais as responsabilidades dessas organizações?

Eu sou um Controlador ou Processador?

De acordo com o artigo 4º do RGPD, estas funções são identificadas do seguinte modo:

  • Controlador (Data controller) - Qualquer organização que recolhe e processa dados pessoais. Se é um cliente LVEngine, é então, um controlador das bases de dados na sua conta.
  • Processador (Data Processor) – Qualquer organização que, tal como a LVEngine, trata e processa os dados pessoais em nome do controlador.

O papel da LVENGINE

A LVENGINE, no seu papel de processador, tem responsabilidades acrescidas na segurança, pois tem de garantir toda uma série de medidas que protejam as base de dados dos nossos clientes.
Apesar de entrar este novo regulamento, que apresenta regulamentos sobre estas matérias, desde sempre que a LVENGINE possui políticas e procedimentos internos no sentido de proteger e assegurar todos os dados dos nossos clientes, bem como da existência de salvaguardas apropriadas contra intrusão ou outros eventos que, de algum modo, possam danificar ou invalidar esses mesmos dados.

  • Os nossos servidores são mantidos num data center localizado em Portugal, que possui medidas de segurança e protecção certificadas;
  • Todos os colaboradores estão cientes e subscrevem um acordo de confidencialidade;
  • Possuímos políticas e sistemas de backup de modo a garantir que não haja perdas ou que os dados possam ser repostos assim que o cliente o entender;
  • Todos os sistemas são permanentemente actualizados e são feitas auditorias de segurança externas;
  • Todos os locais onde há acesso a dados são monitorizados e existem logs.

Resumindo e Concluíndo

Conforme referido, o consentimento deve ser muito claro quanto ao âmbito, tema, tempo e tudo o que faça sentido informar.

Portanto, recomendações finais:

  • Caso tenha intenção de ceder os seus dados a terceiros, seja claro sobre quais as entidades ou empresas com as quais estará a partilhar os seus dados pessoais;
  • Se o seu público-alvo forem menores de idade, não se esqueça de perguntar a idade ou solicitar autorização aos responsáveis legais antes de pedir o consentimento;
  • Certifique-se que guarda toda a informação relativa ao momento em que o consentimento é dado;
  • Actualize os seus termos e condições do serviço, política de privacidade e qualquer outra informação que permita esclarecer os seus utilizadores sobre a forma como os dados são tratados e qual a sua finalidade;
  • Terá de providenciar um mecanismo para que os cidadãos exerçam os seus direitos (de acesso, de esquecimento, de oposição, etc), e não esquecer de verificar todos os sistemas da sua empresa onde possam existir dados pessoais;
  • Em caso de dúvida, peça uma consultoria jurídica para aconselhamento legal.

Ficou com alguma dúvida? Então, não hesite em entrar em contacto connosco.

Partilhar:
Anterior Próximo

Também poderá estar interessado...

Ferramentas LVEngine

Comentários

Socialize com a LVEngine:

Instagram

LVENGINE

LVENGINE

Somos uma empresa constituída por especialistas nas áreas de Desenvolvimento Web, Design e Marketing Digital. O nosso grande objetivo é o de desenvolver a solução perfeita para o cliente, disponibilizando um serviço personalizado, com vista a acrescentar-lhe valor.

Continuar a ler

Categorias de artigos

Arquivo do Blog