Guia prático para aplicação do Regulamento de Protecção de Dados em pequenas e médias empresas

Com a entrada em vigor do novo Regulamento de Proteção de Dados no passado dia 25 de maio de 2018 e no periodo subsequêntes foram muitas as questões suscitadas por cliêntes e colegas sobre o impato desta medida na sua realizade quotidiana. Sendo o objetivo destas novas regras a devolução aos cidadãos europeus do controlo sobre os respetivos dados pessoais é nosso dever tornar acessível informação jurídica sobre o assunto, que em qualquer dos casos, pela sua generalidade não dispensa consulta de advogado ou solicitador. É esse ensaio que fazemos nas próximas linhas, advertindo-se que os exemplos fornecidos devem ser adaptados à realidade das empresas ou instituições, valendo com mera sugestões de tratamento dos dados pessoais.

Dados protegidos. O Regulamento de Proteção de Dados exige às empresas e aos prestadores de serviços que expliquem aos utilizadores de que forma vão utilizar a informação que é recolhida e para que fins, de que forma será processada e qual será o período durante o qual será guardada. Além disso, também passa a existir o direito dos clientes, parceiros e trabalhadores da empresa a serem informado sobre a localização dos dados, podendo pedir às empresas que retifiquem ou apaguem definitivamente as suas informações pessoas – o chamado direito a ser esquecido.

Dados recolhidos de clientes. Entre os dados pessoais recolhidos dos clientes ao longo dos anos ou através de formulários em papel o regulamento quer proteger a morada, localização, informação de saúde, rendimento, perfil cultural ou IP de dispositivo.

O Regulamento Geral da Proteção de Dados (RGPD) não exige reconfirmação para enviar comunicações, mas muitas empresas estão a optar à cautela por enviar e-mail de reconfirmação e alteraram as suas políticas de privacidade dos seus sites, uma vez que entre as obrigações do diploma encontra-se a de controlar as circunstâncias em que foi obtido o consentimento dos titulares.

Estas matérias veem tratadas nos artigos 2º a 4º do Regulamento.

Exemplo de email a enviar a clientes incluídos na base de dados da empresa

Para que possa continuar a receber as nossas informações relacionadas com campanhas, novos produtos e outras informações do seu interesse, necessitamos do seu consentimento livre, específico, informado e explícito. Por esta razão, caso não pretenda receber as nossas comunicações e informações, clique em REMOVER ou contacte o nosso Responsável pela Proteção de Dados através do seguinte endereço de e-mail…..

Exemplo de Política de Privacidade

Nos termos do Regulamento Geral de Proteção de Dados (RGPD), a ….. (nome da empresa) não guardará os dados pessoais do Utilizador, exceto nas seguintes situações:

 Cookies

Uma cookie é um arquivo que é descarregado para o equipamento do utilizador da internet como resultado do seu acesso e navegação em certas páginas, permitindo que se armazene e recupere informações. Essa informação é variada sendo maioritariamente sobre os hábitos de navegação do utilizador e da forma como utilizam e pesquisam as informações constantes na página. O objetivo das cookies é melhorar a navegação na internet, conhecer melhor o utilizador e poder oferecer uma experiência personalizada durante a sua visita a certas páginas. Para obter mais informações, veja a nossa Política de Cookies.

 Formulário de Contacto

A …. (nome da empresa) recolhe e processa a informação que o Utilizador preencheu e consentiu partilhar no âmbito da relação profissional estabelecida. A …. (nome da empresa) não partilhará os dados do Utilizador com outras entidades, mas guarda os seus dados por tempo indeterminado até à conclusão do pedido de contacto. Conforme o RGPD, o Utilizador tem poder solicitar a retificação, cancelar a receção do envio de informação e a eliminação de toda a informação armazenada nas bases de dados da empresa a qualquer momento. Para tal basta enviar um e-mail para o Responsável do Tratamento de Dados … (indicar endereço de email do responsável pelo tratamento).

Conta de Cliente

O Utilizador ao criar uma Conta de Cliente está a consentir a ….. (nome da empresa) tenha o possibilidade de tratar, guardar e utilizar os dados até que sejam dadas instruções para que sejam alterados ou apagados os seus dados. A qualquer momento o Utilizador pode aceder aos seus dados, alterá-los ou apagá-los.

Dados sensíveis. O regulamento define ainda o conceito de dados sensíveis que estão sujeitos a proibição ou a condições específicas para o seu tratamento. Entre os exemplos de dados sensíveis encontram-se os dados genéticos ou biométricos, a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. Existem, contudo, exceções que resultam do consentimento do próprio ou da necessidade de cumprimento de obrigações (por exemplo laborais ou com a Segurança Social) mas que obrigam à intervenção de um responsável pela proteção de dados.

Esta matéria vem tratada no artigo 9º do Regulamento de Protecção de Dados.

Responsável pelo tratamento de dados. Por via de regra a existência de um Responsável pelo Tratamento do Dados não é exigível numa pequena e média empresa, que não tenha no seu objeto social uma atividade principal o tratamento de dados (por exemplo uma empresa de telecomunicações, um banco, uma seguradora, um hospital) ou não faço um tratamento de dados em massa diretamente ou como subcontratante (dados de doentes, dados de viagens, dados disponibilizados a empresas de publicidade, a consultoras financeiras ou na área da saúde, as bases de dados de clientes de hipermercados, bancos, seguradoras). Em regra, as bases de dados de clientes, parceiros e trabalhadores que implicam o tratamento de dados não obrigam a um Responsável pelo Tratamento de Dados, mas tal é recomendado numa base voluntária.

O Responsável pela Protecção de Dados pode ser um quadro da empresa. No caso de pequenas e médias empresas a escolha do Responsável pela Protecção de Dados pode recair sobre um trabalhador da empresa com funções de responsabilidade junta da gerência ou administração da empresa ou sobre um terceiro contratado. Não é contudo necessário contratar um novo trabalhador apenas atribuir a função a um quadro já existente da empresa desde que não exista “conflito de interesses” (pelo que pensamos que não deve ser ninguém com funções de gerente ou administrador da empresa).

As funções do Responsável pelo tratamento de Dados são (a) a verificação da conformidade dos procedimentos da empresa com o Regulamento da Protecção de Dados, avaliação do impacto da Protecção de dados e resposta aos pedidos de alteração e eliminação dos dados por parte de clientes, parceiros e trabalhadores, e contacto com as autoridades de proteção de dados.

A regras constam dos artigos 37º a 39º do Regulamento de Protecção de Dados.

Registo. O regulamento obriga a manter um registo documentado de todas as atividades de tratamento de dados pessoais. As organizações são obrigadas a demonstrar o cumprimento de todos os requisitos decorrentes da aplicação do regulamento pelo que convém manter um dossier organizado sobre esta matéria, que inclua as autorizações concedidas de tratamento e os pedidos de retificação ou eliminação de dados das bases de dados de cliente, parceiros e colaboradores, bem como o nome e contactos do Responsável pela Protecção de Dados, se aplicável.

Esta matéria vem prevista no artigo 30º do Regulamento de Protecção de Dados.

Dados dos trabalhadores e tratamento de dados por trabalhadores. O regulamento de proteção de dados também protege os trabalhadores. E também importa que os trabalhadores da empresa que tratam dados de clientes estejam sujeitos à regras do Regulamento, até para salvaguardar os parceiros de negócio da empresa. Há duas modalidades que podem ser adotadas e que passam pela revisão dos contratos de trabalhos ou a adoção pela empresa de um Código de Conduta.

Exemplo de aditamento ao Contrato de Trabalho

Entre:

XXXXXXX, com sede no XXXXXXXX, pessoa coletiva n. XXXXXX, matriculada na Conservatória do Registo Comercial de XXXXXX sob o mesmo número, com o capital social de € XXXXX, neste ato representada por XXXXXXXX na qualidade de Gerente com poderes para o ato,

E______, adiante designado como trabalhador

É celebrada a presente adenda ao contrato de trabalho entre as partes outorgado no dia __/__/____, passando o mesmo a incluir as seguintes clausulas:

Cláusula Primeira

(Obrigações do empregador)

Em matéria de tratamento e proteção de dados a Primeira Contraente obriga-se a:

(a) Informar os seus colaboradores sobre a existência de ficheiros e sobre os dados pessoais que lhes digam respeito, respetiva finalidade, bem como sobre a identidade do responsável pelo tratamento, sempre que tal seja solicitado por escrito.

(b) Retificar e atualizar no prazo de 30 dias os dados constantes dos seus ficheiros, bases ou bancos de dados a ele respeitantes, bem como a verificar a efetiva retificação dos dados sempre que estes sejam reutilizados, quando lhe seja solicitado pelos seus trabalhadores.

(c) Respeitar e dar seguimento aos pedidos de eliminação de dados dos seus ficheiros e bases de dados dos trabalhadores que solicitarem e se opuserem ao tratamento.

(d) Não transmitir dados a terceiros, sem que que o seu titular o solicite e autorize.

(e) Manter um encarregado pela proteção de dados.

Cláusula Segunda

(Obrigações dos trabalhadores)

O Segundo Contraente encontra-se obrigado a guardar segredo no tratamento dos dados pessoais de clientes, parceiros e colegas, nomeadamente de não poder revelar ou utilizar os mesmos, a não ser em casos em que a lei obrigue, nomeadamente quando as entidades públicas exijam a transmissão de dados.

Cláusula Terceira

(Dados Pessoais)

1- Sem prejuízos dos direitos e obrigações estabelecidos neste contrato, o Segundo Contraente obriga-se a aceitar o tratamento dos seus dados pessoais, designadamente os que constem do seu contrato de trabalho e outros possam ser relevantes para o exercício da sua atividade, por parte da Primeira Contraente, permitindo, desde já, que estes sejam divulgados para as empresas parceiras e aos seus superiores.

2 – A Primeira Contraente obriga-se e compromete-se a facultar os dados – identidade e contactos do responsável pelo tratamento, finalidades do tratamento, o seu fundamento jurídico e os seus destinatários – que se encontrem inerentes a esse mesmo tratamento, bem como a eliminá-los com a maior brevidade possível, sempre que os mesmos deixem de ser necessários

Cláusula Quarta

(Transmissão dos Dados Pessoais)

Os Segundo Contraente consente e admite como sendo estritamente necessária a transmissão dos seus dados pessoais aos parceiros da primeira, sempre que tal seja necessário para que sejam adjudicados aos serviços dos mesmos.

Cláusula Quinta

(Breach of Safety)

As partes encontram-se obrigadas a comunicar ao responsável pelo tratamento de dados e à Comissão Nacional de Proteção de Dados, a existência de uma violação dos dados pessoais, que seja suscetível de implicar um elevado risco, no prazo máximo de XXXXX horas.

Cláusula Sexta

(Incumprimentos)

O Segundo contraente é responsável disciplinarmente pela violação ou transmissão ilegal

dos dados dos clientes, parceiros e colegas que a XXXXXXX (nome da empresa) possua na sua base de dados.

2.Essa responsabilidade será aferida através de procedimento disciplinar que poderá culminar

com uma das sanções previstas no Código do Trabalho.

3.Para além da sanção que venha a ser aplicada, a Primeira Contraente poderá imputar ao funcionário que transmitiu ilegalmente os dados, que o mesmo assuma as coimas que a CNPD venha a aplicar ou indeminizações no âmbito de relações contratuais com clientes e parceiros.

O remanescente do contrato de trabalho manter-se-á inalterado, com a exceção da correção da numeração das cláusulas.

Este aditamento é assinado em duplicado, destinando-se um exemplar a cada um dos Outorgantes, composto por 2 (Duas) folhas, sendo a última assinada e as demais rubricadas por cada um dos Contraentes.

Exemplo de Código de Conduta

CÓDIGO DE CONDUTA

Os Códigos de Conduta são um importante instrumento de autorregulação, que facilita o cumprimento das normas e promove uma maior transparência de práticas e procedimentos. Com a entrada em vigor do Regulamento Geral de Proteção de Dados ( RGPD ) impõe-se igualmente que as empresas e os seus trabalhadores tenham especiais cuidados quanto ao tratamento do dados pessoais. Neste quadro e nos termos do art.º 40º do Regulamento Geral de Protecção de Dados (RGPD) e da legislação laboral em vigor estabelece-se o seguinte:

1.º Cláusula – Obrigações da XXXXXX (nome da empresa)

Em matéria de tratamento e proteção de dados a XXXXXX (nome da empresa) obriga-se a:

(a) Informar os seus colaboradores sobre a existência de ficheiros e sobre os dados pessoais que lhes digam respeito, respetiva finalidade, bem como sobre a identidade do responsável pelo tratamento, sempre que tal seja solicitado por escrito.

(b) Retificar e atualizar no prazo de 30 dias os dados constantes dos seus ficheiros, bases ou bancos de dados a ele respeitantes, bem como a verificar a efetiva retificação dos dados sempre que estes sejam reutilizados, quando lhe seja solicitado pelos seus trabalhadores.

(c) Respeitar e dar seguimento aos pedidos de eliminação de dados dos seus ficheiros e bases de dados dos trabalhadores que solicitarem e se opuserem ao tratamento.

(d) Não transmitir dados a terceiros, sem que que o seu titular o solicite e autorize.

(e) Manter um encarregado pela proteção de dados.

2.ª Cláusula – Obrigações dos Colaboradores

Os trabalhadores da XXXXXXXX encontram-se obrigados:

A cumprir com as disposições constantes do presente Código de Conduta, com as disposições normativas que regulem não apenas a atividade exercida pela empresa como também as politicas e procedimentos internos da empresa.

A conhecer e cumprir as normas acima identificadas.

A, sempre que tal seja necessário, buscar apoio, orientação dos seus imediatos superiores hierárquicos.

A guardar segredo no tratamento dos dados pessoais de clientes, parceiros e colegas, nomeadamente de não poder revelar ou utilizar os mesmos, a não ser em casos em que a lei obrigue, nomeadamente quando as entidades públicas exijam a transmissão de dados,

A relatar quaisquer factos que possam configurar o incumprimento ou risco de incumprimento das políticas internas e externas da empresa e as normas do presente Código.

3.ª Cláusula – Dados Pessoais

1- Sem prejuízos dos direitos e obrigações estabelecidos neste Código os Colaboradores da XXXXXXX consentem no tratamento dos seus dados pessoais, designadamente os que constem do seu contrato de trabalho e outros possam ser relevantes para o exercício da sua atividade, por parte da mesma, permitindo, desde já, que estes sejam divulgados para as empresas parceiras e aos seus superiores.

2 – A XXXXXXXX obriga-se e compromete-se a facultar os dados – identidade e contactos do responsável pelo tratamento, finalidades do tratamento, o seu fundamento jurídico e os seus destinatários – que se encontrem inerentes a esse mesmo tratamento, bem como a eliminá-los com a maior brevidade possível, sempre que os mesmos deixem de ser necessários

4.º Cláusula – Transmissão dos Dados Pessoais

Os Colaboradores da XXXXXXX consentem e admitem como sendo estritamente necessária a transmissão dos seus dados pessoais aos parceiros da primeira, sempre que tal seja necessário para que sejam adjudicados aos serviços dos mesmos.

5.ª Cláusula – Breach of Safety

Todas as Partes integrantes do presente Código encontram-se obrigadas a comunicar ao responsável pelo tratamento e à Comissão Nacional de Proteção de Dados, a existência de uma violação dos dados pessoais, que seja suscetível de implicar um elevado risco, no prazo máximo de XXXX horas.

6.ª CLÁUSULA – Incumprimentos

1.Todos os colaboradores são responsáveis disciplinarmente pela violação ou transmissão ilegal

dos dados dos clientes, parceiros e colegas que a XXXXXXX possua na sua base de dados.

2.Essa responsabilidade será aferida através de procedimento disciplinar que poderá culminar

com uma das sanções previstas no Código do Trabalho.

3.Para além da sanção que venha a ser aplicada, a XXXXXXXX poderá imputar ao funcionário que transmitiu ilegalmente os dados, que o mesmo assuma as coimas que a CNPD venha a aplicar ou indeminizações no âmbito de relações contratuais com clientes e parceiros.

Elaborado em colaboração com a Dra. Helena Oliveira

Deixe uma resposta

O seu endereço de email não será publicado.