O maior escândalo da história da rede social assumiu uma dimensão inimaginável. 50 milhões de perfis de pessoas foram usados indevidamente pelo Facebook, sem estas darem autorização. Além das coimas e punições, o Facebook perdeu quase 80 mil milhões de euros do seu valor de mercado!
E você, que é dono de um estabelecimento comercial, agência de viagens, clínica médica ou outra pequena empresa, está imune a este tipo de ameaça? Caso ela ocorra quais as consequências?
Já pensou quando contrata um novo funcionário, provavelmente preenche uma ficha com os dados pessoais, correto? Nome, morada, data de nascimento, estado civil, número de dependentes, número do cartão cidadão. Estas e muitas outras informações estão presentes na ficha. Depois, você envia esta ficha para o gabinete de contabilidade que processa os salários.
A partir do dia 25 de maio de 2018 este simples processo poderá colocar a sua empresa em grande risco. O Regulamento Geral de Proteção de Dados (RGPD) estabelece regras que qualquer empresa, de qualquer tamanho, deve cumprir relativamente à recolha e processamento de dados pessoais.
Um email, uma ficha de admissão, um formulário e qualquer documento dos seus clientes, pacientes, hóspedes e funcionários é considerado um dado pessoal. Se há recolha, organização, alteração transmissão ou consulta a estes documentos, a sua empresa é considerada a responsável pelo tratamento destes dados.
E o que muda para a sua empresa? Basicamente, deve ter procedimentos que garantam os direitos dos titulares dos dados, atendendo a novas exigências, conforme os princípios do RGPD.
Vamos analisar o exemplo da ficha com os dados do trabalhador. Ao preencher esta ficha, ele deve assinar um termo autorizando a sua empresa a utilizar os dados pessoais para os fins específicos de assinatura do contrato de trabalho e para o processamento dos salários. Assim, a sua empresa será considerada, para o RGPD, como a responsável pelo tratamento destes dados.
Ao enviar esta ficha para o seu gabinete de contabilidade que processa os salários dos seus empregados, o contabilista é considerado, para o RGPD, como um “subcontratante”. Desta forma, ele passa a ter as mesmas responsabilidade que você sobre esses dados pessoais.
Se você ou o seu contabilista não cumprirem os princípios básicos do RGPD, a multa poderá ser de até 4% da sua facturação anual.
Então, o que fazer? As mudanças são grandes e precisam ser analisadas caso a caso. Mas, vou colocar aqui algumas ações gerais importantes e urgentes para você e seu contabilista não pagarem multas. Lembre-se o RGPD vale para dados digitais ou em papel!
- Reveja os seus contratos de serviços que envolvem troca de dados pessoais. Nestes contratos deixe expressa a autorização de uso dos dados, as finalidades, os prazos e as responsabilidades.
- Reveja também os formulários da sua empresa. Seja de trabalhadores, clientes ou fornecedores. Para todos os documentos que contenham dados pessoais, o titular dos dados deve autorizar expressamente o seu uso. Não recolha dados desnecessários. Limite as informações recolhidas ao mínimo necessário.
- Evite utilizar emails para troca de dados pessoais, mesmo com seu contabilista. A menos que você utilize criptografia (o que é raro e complicado), o email é inseguro. Não garante confidencialidade e nem a integridade (o email pode ser manipulado). Evite também guardar os documentos em papel. Afinal, garantir confidencialidade de documentos em papel não é nada fácil, não é? O papel ainda tem um outro problema: garantir a rastreabilidade, ou seja, saber quem (e quando) acedeu, alterou ou eliminou o documento.
- Use um único sistema de arquivo digital para guardar todos os documentos. Se o titular dos dados pessoais solicitar, por exemplo, o direito ao “esquecimento”, você terá que apagar as informações dele em todos os dispositivos: computadores, telemóveis, arquivos em papel, ficheiros, etc. Lembre-se este sistema de arquivo digital precisa garantir segurança, confidencialidade, integridade, disponibilidade e rastreabilidade dos dados. E não o pode deixar a ver navios nos momentos importantes!
- Cuidado com os backups. Faça cópias em tempo real destes documentos digitais. E, guarde estas cópias em locais diferentes e seguros. Perder dados pessoais é tão grave como deixar que eles caiam em mãos de pessoas não autorizadas.
- Use sistemas seguros, de empresas que você confia e que tenham muita experiência em gestão documental. Isto irá ajudá-lo a manter os dados seguros, disponíveis e íntegros, sem que eles sejam acessados por terceiros não autorizados. E mais: com isto você irá dividir a responsabilidade sobre o RGPD com a empresa de gestão documental. É quase que um seguro contra multas.
por Roberto Dias Duarte, publicado originalmente no Jornal de Notícias, Portugal, 6 de abril de 2018.