O RGPD aplicado à proteção de dados nas empresas
O Regulamento Geral de Proteção de Dados, mais conhecido pela sigla RGPD (LGPD no Brasil), é, porventura, o instrumento legislativo europeu que maior alarme social causou em Portugal desde a adesão à UE.
Veja o nosso Guia do RGPD para Marketers.
Até dia 25 de maio de 2018 (data de início de aplicação do RGPD) várias pessoas e empresas foram inundados com pedidos de consentimento para o tratamento de dados pessoais, mas em particular pelas empresas, que se viram expostas a multas pesadas.
A possibilidade de penas de prisão e multas que vão até 20 milhões de euros ou 4% do volume de negócios por violação da proteção de dados nas empresas fez disparar todos os alarmes depois da aprovação do Regulamento Geral de Proteção de Dados (RGPD ou GDPR na sigla em inglês General Data Protection Regulation).
Desde a entrada em vigor do RGPD ainda há problemas de aplicação e de interpretação.
Falta incorporar a vertente da proteção de dados em todos os aspetos da vida das organizações, o que não acontece como seria desejável.
Mas as multas, são aplicadas, sendo a mais mediática a multa à Deco Proteste.
Nos últimos dois anos a CNPD averiguou já mais de 2 mil processos, 557 de violação de dados, e os casos de processos transfronteiriços registados ultrapassam os 1.550.
O RGPD em Portugal e a proteção de dados no contexto europeu.
Em Portugal, a atenção está no Conselho Europeu de Protecção de Dados que publicou a versão final das orientações sobre os princípios de Privacidade por Concepção e por Defeito.
Isto inclui uma lista de verificação muito útil a ser conduzida para assegurar o cumprimento das orientações do RGPD, tal como estabelecido no artigo 5º.
As orientações centram-se na obrigação de Protecção de Dados por Concepção e por Defeito (DPbDD), tal como estabelecido.
A obrigação fundamental consagrada no artigo 25º é a implementação efectiva dos princípios de protecção de dados e dos direitos e liberdades das pessoas em causa, por concepção e por defeito. Isto significa que os responsáveis pelo tratamento têm de implementar medidas técnicas e organizacionais adequadas e as salvaguardas necessárias, destinadas a verificar os princípios de protecção de dados na prática e a proteger os direitos e liberdades das pessoas em causa. Além disso, os responsáveis pelo tratamento devem poder demonstrar que as medidas implementadas são eficazes.
O LGPD e a protecção de dados no Brasil
Depois de muitas discussões, adiamentos e adaptações, no Brasil, a Lei Geral de Proteção de Dados foi aprovada.
A legislação sobre proteção de dados pessoais é uma exigência para entrar na Organização para a Cooperação e Desenvolvimento Econômico (OCDE), atualmente com 37 membros.
A Lei Geral de Proteção de Dados Pessoais (LGPD)do Brasil está alinhada com as regulamentações internacionais sobre privacidade.
Adoptada em 137 países (com os respectivos ajustes nacionais) as mais reconhecidas são a California Consumer Privacy Act (CCPA), e a General Data Protection Regulation (GDPR), para toda a Europa.
A lei 🇧🇷 resultante da MPV 959, a LGPD terá efeitos imediatos para todos os artigos, exceto para possibilidade de aplicação das multas.
Todos os negócios e empresas, incluindo o governo e administração pública, devem seguir os princípios, fundamentos e regras previstas na lei.
No imediato, estão os direitos dos titulares ao acesso, oposição/revogação ao tratamento, bem como as obrigações de transparência, eliminação de dados desnecessários e da aplicação do princípio do security and privacy by design.
Sempre que houver captação e tratamento de dados pessoais, ou dados pessoais sensíveis, os utilizadores e empresas têm que ser notificados, (na área digital com email de dupla confirmação “double opt-in”)
Segundo a LGPD, em caso de incidentes (pirataria), as empresas devem passar a notificar os titulares sobre o ocorrido, além de implementarem procedimentos e técnicas de segurança que mitiguem os riscos do negócio.
Aplicações instaladas vão deixar claro que tipo sw permissões vão solicitar e as empresas devem avisar como e para qual finalidade vão utilizar os dados.
Sites que instalam cookies e captem informações de navegação devem instalar barras de notificações (cookies consent ou cookies notice)
A fiscalização pela Autoridade Nacional de Proteção de Dados tem início definido para 1º de agosto de 2021. Este “período de carência” não impede ações judiciais de titulares de dados.
No Brasil, apenas 2% das pequenas e médias empresas (PMEs) estão totalmente preparadas para fazer a gestão de dados de clientes e colaboradores da forma prevista pela legislação, de acordo com o estudo recente da BluePex.
LGPD e o RGPD e os 4 amigos em comum
Ferramentas – O grande desafio existente não só está na compreensão das exigências legais, como na área do consentimento referente ao uso dos dados pessoais, bem como ao seu armazenamento. As ferramentas vão agilizar a adequação de empresas e instituições à nova realidade
Reestruturação – Será necessária uma reavaliação de sistemas para cumprir com legislação, sendo necessária uma boa preparação de profissionais e organizações para o novo momento.
Mudança cultural – É necessária formação para ajustar os novos processos, especialmente considerando que diversos setores empresariais são impactados pela legislação, desde Recursos Humanos, Marketing, Tecnologia da Informação até o Financeiro.
Futuro e tendências – A comunidade de empreendedores precisa de caminhos e oportunidades para a retomada económica através dos esforços nas áreas de Tecnologia da Informação e Comunicação. O LGPD e o RGPD são as regras do jogo com especial impacto na área de Marketing, Compras e Operações, Logística, Jurídico, Financeiro, RG e Design.
Os dados que partilhamos e os hábitos para proteção de dados
O debate sobre o Tik Tok é uma chamada de atenção para estarmos atentos aos dados que partilhamos.
Seja um serviço americano, ou de uma empresa chinesa, seja qual for a nacionalidade, é bom ganharmos o hábito de negar pedidos aos nossos dados pessoais.
📱Quando abre uma recém-instalada app no telefone, podem aparecer notificações a pedir permissão para dar acesso aos sensores e dados como a câmera, fotos, álbuns, localização, morada, etc.
Quando isso acontecer, avalie o seguinte:
■ Esta app precisa de acesso aos meus dados ou ao sensor para que funcione corretamente?
■ A app precisa de acesso a este sensor? ou a dados a tempo inteiro ou apenas temporariamente?
■ Eu confio os meus dados a esta empresa?
Às vezes faz sentido garantir acesso.
Uma app como o Google Maps, por exemplo, precisa do conhecimento sobre a localização para que possa descobrir onde está e dar instruções.
Noutros casos, a necessidade é menos clara.
⛽ Uma app gratuita para encontrar postos de gasolina próximos com os preços mais baixos. Normalmente pedem permissão para saber a localização.
Pode permitir ceder a localização porque a app precisa do sensor GPS, no dispositivo. Mas seria mais seguro apenas inserir o código postal para que tenha informações menos precisas sobre o seu paradeiro.
A investigação do Times descobriu que a GasBuddy (postos de gasolina) foi uma entre dezenas de apps que partilhavam dados de localização dos utilizadores com terceiros)
A questão é se as apps precisam de acesso permanente aos nossos dados e sensores.
Na próxima versão da Apple, com o sistema operacional iOS 14, que sai no outono, apps que solicitem a localização vão apresentar a opção para partilhar apenas uma estimativa da localização.
A Google refere que na versão Android 11, o seu sistema operacional móvel as apps que solicitem a localização apresentam a opção de conceder apenas uma vez, o que seria evitar a partilha de localização constante com uma app.
😊 Os profissionais de marketing querem o acesso a estas e outras informações para “costurar” um perfil alvo e apresentar anúncios em diferentes meios – prática comum.
Limite a captação de dados invisíveis com bloqueadores para o efeito.