Aproxima-se a passos largos o dia 25 de Maio de 2018, data em que termina o período de transição da nova lei de protecção de dados pessoais. Este novo quadro traz mudanças significativas que afectarão o funcionamento de alguns procedimentos nas organizações, conforme o tratamento que é dado aos dados pessoais armazenados. Neste cenário é importantíssimo que empresas e entidades públicas tenham já definida a reestruturação necessária para aplicação deste novo regulamento. Assim é essencial conhecer as novas regras, verificar o nível actual de cumprimento e reestruturar de forma a permitir a adopção rápida das novas directivas. De forma a facilitar este processo, a Comissão Nacional de Protecção de Dados lançou 10 medidas para a aplicação do novo Regulamento Europeu de Protecção de dados. Assim, a CNPD considera essencial os seguintes pontos: 1. Informação aos titulares dos dados O regulamento obriga a informar acerca da base legal para o tratamento de dados, prazo de conservação dos mesmos e transferência dos mesmos. Todas as políticas de privacidade e textos que prestem informação aos titulares de dados têm de ser revistos. 2. Exercício dos direitos dos titulares dos dados O regulamento obriga a garantir o exercício dos direitos dos titulares dos dados. Desta forma, os pedidos de exercício desse direito passam a ser monitorizados e documentados com prazos máximos de resposta, direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre a retificação ou apagamento ou limitação de tratamento solicitados pelos titulares. 3. Consentimento dos titulares dos dados Todo o procedimento de consentimento dos titulares é afectado. As exigências são mais específicas e o seu não cumprimento obriga à obtenção de novas autorizações por parte dos titulares. 4. Natureza dos dados É definido em que contexto os dados sensíveis estão sujeitos a condições específicas no seu tratamento e conforme a dimensão pode do interesse à empresa contratar ou nomear um Encarregado de Protecção de Dados. 5. Documentação e registo O regulamento obriga a permanência de um registo documentado de todas actividades no tratamento de dados pessoais. 6. Subcontratação Obriga a que o subcontratante garanta que detém todas as autorizações dos responsáveis pelo tratamento de dados. Regulamenta de uma forma geral o tratamento dos seus dados derramado por diversas entidades e onde frequentemente os respectivos titulares não tinham conhecimento. 7. Encarregado de Proteção de Dados (DPO – Data Protection Officer) É introduzida a figura não obrigatória do Encarregado de Proteção de Dados que terá um papel de controlador dos processos de segurança para garantir a proteção de dados no dia-a-dia da empresa. 8. Processos de Segurança e Tratamento de Dados Necessidade de um maior controlo do risco associado à possibilidade de roubo de informação. Deverá ser garantido por diversas medidas, garantindo a confidencialidade e integridade dos dados, prevenindo outras situações que levem ao seu acesso não autorizado. 9. Proteção de dados desde a conceção Para projectos futuros de tratamento de dados, o regulamento frisa a necessidade de avaliação com antecedência e rigor de forma a adoptar melhores medidas preventivas e de segurança. 10. Notificação de violações de segurança O regulamento obriga a que todas as violações de segurança que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados. Para mais informações poderá consultar o site da cnpd.pt