O Regulamento Geral de Proteção de Dados (RGPD) da União Europeia tem como objetivo proteger as pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, sendo de aplicação direta em todos os estados membros da União, desde o passado dia 25 de maio de 2018.
Este RGPD, que não necessitade transposição para a ordem jurídica portuguesa, para ter plena aplicação no nosso país, apresenta uma panóplia de novidades para as empresas portuguesas que, em bom rigor e na sua grande maioria, desaproveitaram os dois anos de período transitório para se adaptarem gradualmente a esta nova realidade, fazendo com que o esforço de implementação do regulamento seja em muito superior ao que seria de esperar, quer em termos de envolvimento de recursos humanos quer, e não de somenos importância, em termos de custos financeiros.
Não obstante, mais do que uma dor de cabeça, em grande parte motivada pela previsão de coimas que nos casos mais graves, podem ascender aos 20 milhões de euros ou a 4% do volume de negócios anual, o RGPD deve ser vistopelas empresas e organizações do nosso país como uma oportunidade de diferenciação e como um fator de competitividade no mercado. Não valerá a pena continuar a olhar para trás, lamentando o que não foi feito, muitas vezes com prejuízo para o titular dos dados, seja ele um colaborador ou um cliente.
Pese embora a área da Logística não seja, à partida, uma das áreas mais críticas no que respeita ao tratamento de dados pessoais, quer pelo tipo de dados que são tratados, quer pela quantidade, salvo algumas exceções, todas as empresas terão que se adaptar e incluir algumas mudanças basilares no que respeita ao tratamento de dados pessoais, devendo acautelar algumas medidas transversais a todo o setor.
A título de exemplo, elenco algumas questões que devem ser tidas em conta, pela sua relevância:
Candidaturas espontâneas: relativamente a esta questão, será necessário criar um procedimento através do qual o Serviço de Gestão de Recursos Humanos obtém o consentimento dos titulares dos CV para tratamento, indicando a finalidade para o tratamento, bem como o prazo de conservação dos mesmos;
Consentimento de candidatos para tratamento de dados pessoais: No âmbito de um processo de recrutamento, será necessário que as empresas recolham o consentimento dos candidatos para recolha e utilização dos dados pessoais. Antes da aplicação do RGPD, esta questão não se colocava, uma vez que se presumia que o consentimento seria tácito;
Contactar potenciais candidatos: No âmbito de procedimentos de recrutamento, só será possível contactar candidatos com legitimidade para tal, nomeadamente quando os dados tenham sido recolhidos tendo por base o consentimento do titular dos dados para aquela finalidade. Podem naturalmente ser contactados candidatos que respondam a anúncios de recrutamento, ou que se encontrem em plataformas de recrutamento, pese embora devam ser informados da política de privacidade e proteção de dados da empresa, nomeadamente tomando conhecimento de como são tratados os seus dados;
Prazo de conservação de dados pessoais: No momento da recolha de dados pessoais, os titulares devem ser informados do prazo de conservação dos mesmos, ou não sendo possível, dos critérios utilizados para definir esse prazo de conservação. Quer isto dizer que, mesmo nos caso de processos de recrutamento, os dados recolhidos apenas poderão ser conservados enquanto se mantiver a necessidade ou finalidade para a qual foram recolhidos, não podendo ser utilizados para fim diferente desse. A partir desse momento, os dados têm que ser eliminados;
Contratos dos colaboradores: Os contratos dos trabalhadores, nomeadamente aqueles que tratem dados pessoais por conta do responsável pelo tratamento, devem conter cláusulas de confidencialidade, salvaguardando que os trabalhadores se obrigam ao sigilo relativamente aos dados pessoais que são tratados;
Registo de tratamento de dados: De acordo com a regra geral, empresas com 250 trabalhadores ou mais, são obrigadas a conservar um registo de todas as atividades de tratamento sob a sua responsabilidade, tendo que constar desse registo nome e contactos do responsável pelo tratamento e se for caso disso do Data ProtectionOfficer, as finalidades do tratamento, descrição das categorias de titulares de dados e das categorias de dados pessoais, categorias de destinatários a quem os dados foram ou serão divulgados, prazos previstos para apagamento e uma descrição geral das medidas técnicas e organizativas no domínio da segurança;
Tratamento de dados por subcontratantes: O RGPD utiliza a expressão de subcontratante, que para os efeitos ali previstos, é uma pessoa singular ou coletiva, que trate os dados pessoais por conta do responsável pelo tratamento. As empresas devem garantir que nestes casos, os contratos que possuem com as entidades subcontratantes, contemplam cláusulas que garantem que o subcontratante cumpre as suas obrigações em matéria de proteção de dados;
Privacy Impact Assessment ou Avaliação de Impacto sobre a Proteção de Dados: É necessário realizar um PIA sempre que exista uma avaliação sistemática e completa dos aspetos pessoais, incluindo a definição de perfis, sempre que se proceda a tratamento de dados sensíveis em grande escala e ou sempre que exista o controlo sistemático de zonas públicas em grande escala. Esta avaliação deve ser feita quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, pelo que será necessário realizar um PIA, antes de se iniciar o tratamento de dados em questão.
Como podemos verificar, o Regulamento Geral de Proteção de Dados apresenta às empresas uma enorme quantidade de desafios, pese embora muitas destas questões não sejam novas em matéria de proteção de dados, sendo sim desconhecidas do público em geral e nomeadamente do público português, que tem um nível de conhecimento em matéria de proteção de dados muito diminuto, quando comparado com outros países da União Europeia, como a Alemanha, ou mesmo a vizinha Espanha.
As empresas portuguesas devem por isso envidar os melhores esforços, no sentido de caminharem para a conformidade com o RGPD, não devendo no entanto entrar em pânico no caso de pouco terem feito, no sentido dessa conformidade. O meu conselho será que iniciem o seu caminho, uma vez que um passo tardio será sempre melhor que não dar qualquer passo.
Para tal, e entre muitos passos que podem e devem ser dados, será necessário que as empresas tenham consciência do tipo de dados que tratam e qual a finalidade para esse tratamento, quais as portas de entrada de dados pessoais, qual a legitimidade para o tratamento de dados, durante quanto tempo são esses dados conservados, como são conservados e protegidos, garantir que é elaborada uma política de privacidade em matéria de dados pessoais que cumpra os princípios do RGPD e acima de tudo, é importante que as organizações consigam evidenciar perante a autoridade de controlo, que se encontram efetivamente a cumprir com o Regulamento Geral de Proteção de Dados.
Em suma, o Regulamento Geral de Proteção de Dados veio para ficar, e 25 de maio de 2018 foi apenas o ponto de partida para a mudança em matéria de proteção de dados que urgia implementar, no sentido de nos proteger a todos nós, cidadãos da União Europeia, mais e melhor!
Diogo Alcaçarenho Rosa, Managing Partner | DAPROFF Consulting