O Regulamento Geral de Proteção de Dados (RGPD) é a lei de privacidade e segurança que governa a recolha, processamento e utilização de dados na União Europeia (UE). Embora de origem europeia, o RGPD impõe regras a todas as organizações que operem nos estados-membros. As consequências do não cumprimento são severas, com multas que podem chegar a 4% da faturação anual.
Mas o que significa o RGPD para um pequeno negócio? O que pode e não pode fazer? Descubra como esta legislação o afeta a si.
Em que consiste o RGPD
Com o RGPD, a Europa sinaliza uma posição firme em relação à privacidade e segurança de dados. É uma medida que chega num momento em que cada vez mais pessoas confiam dados pessoais a serviços na cloud e em que as violações de dados ocorrem diariamente.
A regulamentação em si é extensa e abrangente, o que torna a conformidade com o RGPD uma perspetiva assustadora, especialmente para pequenas e médias empresas (PMEs). Para garantir que está do lado certo da lei, siga estes princípios:
- Transparência: O processamento de recolha de dados, bem com a sua finalidade, deve ser transparente para o titular dos dados.
- Limitação da finalidade: Deve processar os dados apenas para os fins especificados quando os recolheu.
- Minimização de dados: Deve recolher e processar apenas a quantidade de dados absolutamente necessária para os fins especificados.
- Atualização: Deve manter os dados pessoais atualizados.
- Limitação de armazenamento: Só pode armazenar dados de identificação pessoal pelo tempo necessário para a finalidade especificada.
- Integridade e confidencialidade: O processamento deve ser feito de forma a garantir a segurança, integridade e confidencialidade adequadas (por exemplo, usando criptografia).
- Responsabilidade: O controlador de dados (quem recolhe) é responsável por demonstrar a conformidade do GDPR com todos estes princípios.
Vejamos na prática em que medida é que estes princípios se aplicam a um pequeno negócio.
O impacto do RGPD nos pequenos negócios
Para ajudar a compreender o impacto do RGPD nas empresas, ajuda pensar em algumas atividades do quotidiano que deverão ser adaptadas para estar em conformidade.
Por exemplo, se guarda ou gere informação pessoais dos clientes, em formato eletrónico ou físico, é afetado pela RGPD. Deve então pedir o consentimento explícito dos clientes para a utilização dos seus dados para fins comerciais, guardar esse registo e manter a sua informação atualizada. Perante uma inspeção, as empresas devem conseguir demonstrar que recolheram consentimento. Ou seja, que o consentimento foi dado de forma livre, informada e explícita. Este consentimento deve ser possível de ser editado, ou revogado em qualquer altura pelo cliente.
Também existem alterações ao processo de recrutamento. Em candidaturas a empregos, por exemplo, os dados recolhidos devem ser os estritamente necessários e deve ser fornecida a identificação do empregador, assim como do responsável pelo tratamento de dados na empresa.
A nível interno, as empresas devem ainda nomear um responsável pela proteção de dados, para analisar de forma transversal todos os departamentos da empresa. Esta figura deve conhecer a origem dos dados pessoais em posse da empresa, e quem tem acesso internamente.
O mesmo se aplica a empresas que partilham dados com terceiros, para tratamento em outsourcing – como o processamento salarial, seguros pessoais, marketing, etc.
Mas as mudanças para os pequenos negócios não ficam por aqui. A nova lei também impõe limites às justificações aceitáveis para armazenamento de dados.
Plataformas de vendas online e fisco: quais são as regras?
O impacto do RGPD nos pequenos negócios
De acordo com a RGPD, a recolha de dados só é permitida num conjunto limitado de circunstâncias e apenas para determinados fins. Por outras palavras, não recolha, armazene, nem venda dados a não ser que o consiga justificar de uma das seguintes formas:
- O titular deu consentimento específico e inequívoco para esse fim. Por exemplo, optaram por receber um e-mail de marketing.
- O processamento é necessário para executar ou preparar a celebração de um contrato do qual o titular dos dados é uma das partes envolvidas. Por exemplo, se precisar dos dados para celebrar um contrato de arrendamento.
- Precisa dos dados para cumprir uma obrigação legal. Por exemplo, se receber uma notificação para comparecer em tribunal.
- Os dados são necessários para realizar uma tarefa de interesse público ou para cumprir alguma função oficial. Por exemplo, se presta serviços a uma empresa municipal.
Depois de determinar a base legal para o processamento de dados, é ainda necessário documentar e notificar o titular dos dados. E se decidir posteriormente alterar a justificação, precisa novamente de um motivo, de o documentar e de voltar a notificar o titular dos dados.
O RGPD em tempos de pandemia
A pandemia acrescentou ainda maior pressão sobre o cumprimento do RGPD. Por um lado, o aumento das vendas online fez crescer a quantidade de dados disponíveis. Por outro, o advento do teletrabalho fez com que muitos colaboradores se vissem diretamente afetados por esta legislação. Para as organizações que lutam contra a pandemia, pela sobrevivência, para servir o número crescente de clientes online, ou para apoiar os colaboradores em teletrabalho, a adequação às exigências RGPD é desafiante.
Mas há bons motivos para aderir ao RGPD o mais depressa possível. O número de ataques informáticos e de roubos de dados tem vindo a crescer em todo o mundo, incluindo em Portugal. O crime informático, por exemplo na forma de ransomware em que os hackers mantém os dados “reféns” e só os libertam a troco de dinheiro, é cada vez mais comum e nem empresas como a Apple estão imunes.
Adequar os procedimentos ao RGPD exige implementar medidas adicionais de segurança que podem servir de proteção contra visitantes mal-intencionados. Numa altura em que os dados valem ouro, esta prioridade é mais importante do que nunca.
Para se proteger de ataques e para estar em conformidade com o RGPD, siga estas dicas:
- Faça uma reavaliação das permissões de acesso aos dados. Quem é que na sua empresa tem acesso a dados dos clientes ou colaboradores? Os colaboradores só devem ter acesso regular aos dados de que precisam nas suas tarefas diárias. Limitar a quantidade de dados que cada indivíduo pode aceder atenua os efeitos dum lapso de segurança.
- Recorra a VPN (Virtual Private Networks) para aceder aos dados a partir de casa. Quando em teletrabalho, é importante utilizar uma rede virtual, também conhecida como VPN, para aceder aos dados da empresa com um nível de encriptação que afaste os piratas informáticos. Estas redes criam uma forma de ligação segura entre a rede de casa e os dados.
- Dê formação aos colaboradores. O erro humano é uma das principais causas de roubo de dados. É importante realizar sessões de treino sobre a nova política e ferramentas com toda a empresa.
- Acompanhe de perto. Para além do treino, audite regularmente a implementação das novas ferramentas, para garantir que foram efetivamente absorvidas por todos.
Não seguir estas recomendações pode ter consequências graves para os negócios, grandes ou pequenos.
Quais são as multas?
As coimas estabelecidas podem chegar a 20 milhões de Euros ou 4% do volume total de negócios anual. A isto acrescem custos em processos judiciais. Para além disso, os problemas de imagem e perda de confiança são incalculáveis e, muitas vezes, irreversíveis.
O OLX é o parceiro de todas as empresas que querem crescer online em segurança e sem burocracias. Para isso, desenvolvemos uma ferramenta de comunicação centralizada, onde pode acompanhar todas as interações com os clientes num único local.
O cumprimento do RGPD está assegurado, uma vez que os utilizadores do OLX dão consentimento ao iniciar uma nova conversa. Para começar a fazer negócios descansado, registe a sua empresa no OLX Pro.
