Blog / Curiosidades

O RGPD à moda portuguesa

 

O objetivo deste artigo não é explicar todas as implicações do Regulamento Geral sobre a Proteção de Dados, mas sim, dissipar algumas dúvidas comuns, assim como dar alguns conselhos úteis.

O "bicho papão" do RGPD

Se "RGPD à moda portuguesa" fosse uma receita de confeção de um prato, seria seguramente um prato amargo para muitos, pois muitas empresas perderam ou destruíram as listas de contactos dos seus clientes e subscritores por má interpretação do RGPD.

O paradigma nacional em volta do RGPD

Seguramente a maior parte de nós acompanhou o movimento de quase de "histeria" nacional em volta da transposição de normativas europeias, quem não recebeu os muitos e-mails copiados "tal e qual" contendo sempre o mesmo texto "Queremos continuar consigo" ... "o seu consentimento livre informado e explícito" ... "Confirme aqui".

Sinceramente, fica a "sensação" de que os portugueses preocupam-se apenas com o não ser castigados com a tal multa gigante, do que ler e interpretar o regulamento, do que com o prevenir, com o fazer e cumprir, tomando medidas verdadeiramente proactivas no sentido de estar em conformidade com o RGPD.

Mas afinal qual o é objetivo?

O RGPD, que já existe há muitos anos, visa promover a auto-regulação na proteção dos dados pessoais, e não complicar, nem muito menos provocar o que vimos acontecer nos últimos dois anos. Ele existe sim, especialmente com as transposições de normativas europeias de 2018, com o propósito claro de proteger os dados pessoais dos cidadãos no mundo digital.

Para começar, a Legislação, para perceber o que está implícito no RGPD, nada como ler :

https://www.cnpd.pt/rgpd

Alguns conselhos sobre ações a executar

Rever os procedimentos internos no manuseamento de dados de clientes, colaboradores, fornecedores, etc., no sentido de garantir que os dados estão seguros.

Quando a atividade da sua empresa, implica um elevado risco do tratamento e processamento de dados pessoais, é obrigatório a realização de uma AIPD às operações de tratamento existentes de forma a mitigar os riscos identificados.

Rever os futuros contratos e se não existirem, inserirem cláusulas em que se comprometem respeitar a privacidade a proteger os dados dos clientes. (Aqui pode ser pertinente elaborarem uma pequena política de privacidade contratual).

Elaborar uma Política de Privacidade ou Aviso Legal, ao nível do website, ondem informam todos os visitantes de que forma vão manusear dados pessoais (se existirem), assim como os direitos dos titulares desses mesmos dados.

Relações comerciais: Não têm de pedir qualquer autorização aos vossos clientes para manusear os dados que eles vos forneceram, trata-se de uma relação comercial, há documentos para emitir todos os meses, pagamentos a fazer, está tudo dito aqui.

As relações de marketing

Sempre que alguém vos contacta e demonstra interesse em algo que vocês vendem, faz o chamado "soft opt-in", o que vos confere a "liberdade" de enviar propostas para o solicitado assim como de produtos e serviços correlacionados. Também poderão usar o e-mail para campanhas desde que o contacto tenha uma forma simples de ser removido por sua iniciativa.

Os já clientes são por si só opt-in implícito pois existe uma relação comercial.

No âmbito do website, os contactos vindos por este meio já fizeram o opt-in, e se foi através de dois passos (subscrição e validação), não necessitam de fazer mais nada. Se não dispoe dessa forma de validar, no mínimo o subscritor deve ter uma checkbox onde escolhe ou não subscrever a vossa newsletter assim como deve sempre ter forma de ler as vossa política de privacidade.

O Marketing por e-mail

Tem uma base de dados de contactos comprada? Lixo! Aconselhamos a usarem apenas contactos que interagiram convosco de alguma forma.

Façam envio de marketing para particulares só com o expresso consentimento, o opt-in.

O encarregado da proteção de dados (EPD)

Em caso geral, as empresas não são obrigadas a ter ou contratar um DPO ou EPD, o encarregado da proteção de dados, apenas aplica-se a um conjunto de casos específicos.

Saiba mais em no Artigo 37º e verifique se está abrangido.

Síntese do que a vossa empresa/organização deve assegurar a titulares de dados

O titular de dados:

- Pode opor-se sem encargos, ao tratamento dos dados pessoais para fins de marketing direto;

- Solicitar alteração dos dados (no caso de afetar contratos, podem implicar encargos imputáveis ao titular, por exemplo, uma escritura);

- Invocar o "direito ao esquecimento" e o direito de apagarem em definitivo os seus dados pessoais, desde que estes não sejam necessários por exemplo, para emitir documentos contabilísticos relacionados com serviços contratados; Normalmente este direito aplica-se a relações não comerciais.

- Solicitar a portabilidade dos dados e a receber uma cópia em formato estruturado dos seus dados, exemplo, dados em ficheiro CSV;

- A ser informado caso ocorra uma violação dos sistemas que permita o acesso não autorizado aos dados pessoais.

Os famosos blocos nos rodapés dos e-mails, muitas vezes com letras minúsculas.

Incluir "testamentos" no rodapé dos e-mails não vai ilibar ninguém de quaisquer violações do RGPD, caso ocorram, para além de ser redundante, pois no envio ou receção de um e-mail de trabalho, a iniciativa foi de quem enviou, logo, implicitamente está a fornecer os dados.

Fazem questão de ter algo no rodapé?

Nesse caso coloquem um simples link para a vossa Politica de privacidade/Aviso legal existente no vosso website. Seguramente o e-mail vai ficar com menos uns Kilobytes, o fluxo de dados na Internet agradece!

Mas querem mesmo incluir no rodapé dos vossos e-mails de trabalho algo no âmbito do RGPD?

Então, porque não incluir a seguinte sugestão, não esquecendo o que está em causa é o manuseamento dos dados sensíveis e não propriamente a legislação reguladora:

Os seus dados estão seguros connosco
Regemo-nos por princípios rigorosos no âmbito da segurança informática assim como no manuseamento de dados pessoais, pelo que garantimos a sua privacidade e que não vamos fornecer os seus dados a terceiros, assim como asseguraremos sempre os seus direitos ao nível de titular dados pessoais.

Simples e direto, não é?
Talvez, depende de si pois não basta dizer, também implica fazer.
Assim sendo, assuma o compromisso!

Para concluir, um sincero conselho

Concentrem-se nas boas práticas, em todas as frentes no manuseamento de dados pessoais, privilegiando o "informarem-se", o "definir e melhorar procedimentos" e o "implementar e fazer", e seguramente estarão em conformidade com o RGPD.