27. Feb 2020 | Empreendedorismo

Guia simplificado do RGPD para pequenas empresas

Desde o dia 25 de maio de 2018 entrou em vigor o RGPD – Regulamento Geral sobre a Proteção de Dados. Este foi implementado devido às preocupações existentes com a forma de tratar os dados pessoais.

RGPD para pequenas empresas
O tratamento de dados dos seus clientes deve ser transparente, por isso deverá criar um documento que explique como a sua empresa lida com os dados. (© Pexels)

Todas as empresas, incluindo as mais pequenas, têm que cumprir com as normas estipuladas pelo RGPD e para isso é necessário estar ciente de diversos aspetos.

Este guia vai ajudá-lo a perceber o que tem que fazer para que a sua pequena empresa aja de acordo com este regulamento. Explicar-lhe-emos o que é o RGPD, quem precisa de o cumprir e vamos apresentar-lhe os 10 passos a dar para o implementar.

O que é o RGPD?

O RGPD é um regulamento europeu que visa a privacidade e a proteção dos dados pessoais. Este aplica-se a todas as pessoas no Espaço Económico Europeu (EEE) e na União Europeia (UE).

Quando entrou em vigor, o RGPD substituiu toda a legislação existente anteriormente em matéria de proteção de dados. Também uniformizou a legislação deste âmbito em toda a União Europeia.

Quem precisa de cumprir o RGPD

Segundo informações publicadas no site da Comissão Europeia, o RGPD é aplicável a:

  • uma empresa ou entidade que efetue o tratamento de dados pessoais no âmbito das atividades de uma das suas sucursais estabelecida na UE, independentemente do local onde os dados são tratados; ou
  • uma empresa constituída fora da UE que oferece bens/serviços (pagos ou gratuitos) ou controla o comportamento de pessoas na UE.

Os 10 passos para implementar o RGPD na sua pequena empresa

Para tornar mais fácil a aplicação do RGPD na sua pequena empresa, deixamos-lhe em seguida os 10 passos essenciais para a implementação deste regulamento.

1. Compreenda as suas responsabilidades relativamente ao RGPD

O RGPD introduz dois novos termos para descrever a pessoa, empresa ou organização que está a recolher e a processar dados: os controladores e os processadores de dados. Ambos devem estar em conformidade com o RGPD e são fulcrais para qualquer lista de verificação de conformidade do RGPD para pequenas empresas:

  • Controlador de dados – A pessoa ou empresa que determina o como e o porquê de os dados pessoais serem recolhidos. O controlador de dados deve garantir que a empresa está em total conformidade com o RGPD em termos de transparência, armazenamento, confidencialidade e precisão dos dados recolhidos e armazenados.
  • Processador de dados – A pessoa ou empresa responsável pelo processamento de dados pessoais em nome de um controlador. Isto abrange qualquer pessoa com acesso a informações pessoais e que as utilize de qualquer forma, como na criação e envio de e-mails de marketing. Um processador deve assegurar que os dados sejam processados de acordo com os requisitos do RGPD.

2. Compreender os seus dados

Auditar os dados que mantém sobre clientes, funcionários e fornecedores (antigos e atuais) é um passo vital para criar uma lista de verificação de conformidade com o RGPD para pequenas empresas. Os dados abrangem diversas informações, como nomes e moradas, registos financeiros e dados bancários, registos de emprego do pessoal e datas de nascimento.

Decida a quantidade de dados necessários. O RGPD requer que mantenha apenas os dados necessários e por um período de tempo tão curto quanto possível.

Preste atenção às “categorias especiais de dados pessoais” do RGPD. Estas abrangem informações pessoais como:

  • Afiliação política;
  • Crenças religiosas;
  • Orientação sexual;
  • Filiação sindical;
  • Origem racial e étnica.

Estes são dados que podem discriminar um indivíduo se forem mal utilizados. Precisa do consentimento explícito de um indivíduo para armazenar quaisquer categorias especiais de dados pessoais.

3. Reveja ou defina a sua política de consentimento de dados.

Para obter e armazenar informações pessoais, deve primeiro obter um consentimento claro e explícito dado livremente pelo indivíduo. Isso significa que deve explicar claramente quais as informações pessoais que a sua empresa está a recolher e como elas vão ser usadas.

O indivíduo deve concordar ativamente com isto. Caso contrário, não está autorizado a obter e armazenar estes dados em nenhuma circunstância.

Para cumprir com o RGPD, a sua empresa deve ser capaz de demonstrar que obteve o consentimento para os dados que possui. Não ter um registo de consentimento pode resultar numa multa.

Também deve fornecer maneiras que simplifiquem a eliminação dos dados caso isso seja requerido pelo indivíduo a que os dados dizem respeito.

4. Eliminação de dados antigos

O RGPD exige que todos os clientes existentes nas suas bases de dados deem consentimento para que armazene e conserve os mesmos, ainda que sejam clientes anteriores à entrada em vigor do RGPD. Deve contactá-los para pedir o consentimento. Se não o conseguir fazer ou se eles recusarem o consentimento, deve apagar os dados.

É essencial definir políticas que determinam por quanto tempo os dados podem ser armazenados. Assegure-se que os dados não sejam mantidos por mais tempo do que o necessário.

5. Armazenamento de dados e segurança

Os dados pessoais podem estar em muitos lugares como caixas de entrada de e-mail, bases de dados de clientes, telemóveis e serviços baseados na cloud, como o Dropbox e o Microsoft Office 365. O RGPD abrange todos esses dados, independentemente de onde estejam armazenados.

Crie uma política de processamento e armazenamento de dados. Esta deve determinar onde os dados dos clientes serão protegidos, como encriptar os dados e proteger o seu website com SSL, e quem tem acesso aos mesmos.

Os processadores de dados podem precisar de acesso a determinados dados, como números de telefone ou moradas para correspondência, portanto, deverá definir a forma como esses dados serão acedidos e sob quais circunstâncias.

Também deve criar um plano da forma como os dados são transferidos. Os dados são mais vulneráveis quando são movidos, como entre departamentos ou partilhados com terceiros para fornecer um serviço ao cliente.

Estabeleça um plano de emergência como parte da sua lista de verificação de conformidade com o RGPD em caso de violação de dados.

6. Nomear um responsável pela proteção de dados

As grandes empresas têm de nomear um responsável pela proteção de dados. As empresas com menos de 250 empregados estão isentas desta exigência, a menos que processem grandes quantidades de categorias especiais de dados ou o principal objetivo do negócio seja realizar o processamento de dados em larga escala.

Mesmo que a sua empresa tenha apenas um punhado de funcionários, faz algum sentido nomear uma pessoa para ser responsável pelos dados. Isto significa que alguém na empresa vai garantir que o RGPD é cumprido.

7. Dar formação ao pessoal sobre tratamento de dados

A ignorância não é desculpa aos olhos da lei. Fugas de dados inadvertidas – como a perda de um cartão de memória USB com os dados de clientes para fora do escritório – podem resultar numa multa pesada. Deve ser dada formação em toda a empresa sobre RGPD e sobre políticas de tratamento de dados.

8. Criar um plano para lidar com os pedidos

Qualquer cidadão da UE pode solicitar acesso a todos os dados sobre ele ou ela. Isto inclui quaisquer dados: desde mensagens de e-mail, até aos registos de clientes e notas eletrónicas. Os cidadãos também têm o direito de corrigir quaisquer dados incorretos na posse da empresa e de pedir que os dados sejam apagados na sua totalidade.

Esteja ciente de que só tem um mês após receber o pedido para responder às solicitações dos sujeitos aos quais os dados dizem respeito.

9. Certifique-se de que os fornecedores estão em conformidade com o RGPD.

As pequenas empresas dependem frequentemente de uma rede de fornecedores. Mesmo que o seu negócio esteja em conformidade com o RGPD, deve garantir que os fornecedores também estejam em conformidade com este regulamento.

A maneira mais rápida é pedir aos fornecedores que preencham um formulário de conformidade com o RGPD, que detalhe a forma como lidam com os dados, os seus procedimentos de segurança e de armazenamento, e com que tipo de dados lidam.

Certifique-se de que os formulários se referem especificamente a cada fornecedor. Inclua o direito de os auditar se necessário, através de visitas aos seus estabelecimentos para verificar a conformidade com o regulamento, por exemplo.

10. Criar avisos de processamento de dados

O tratamento de dados deve ser justo e transparente, por isso deverá criar um documento que explique como a sua empresa lida com os dados. Conhecido como Política de Privacidade e Proteção de Dados Pessoais, este documento deve ser exibido num local onde esteja facilmente acessível, tal como no seu website.

Este documento deve detalhar como obtém os dados, como os processa e armazena, e a forma como um indivíduo lhes pode aceder.

Veja também: