O novo Regulamento Geral da Proteção de Dados, que entra em vigor a 25 de maio, abrange todas as empresas e organizações. Quem não cumprir arrisca multas pesadas, até 20 milhões de euros ou 4% da faturação para grandes empresas.
O tema esteve em debate na Tarde da Renascença, com Clara Guerra, porta-voz da Comissão Nacional de Proteção de Dados (CNPD), e Pedro Aniceto, especialista e consultor em tecnologia.
Até agora, as empresas tinham que pedir uma autorização à CNPD para utilizar e fazer tratamentos de dados pessoais, dos trabalhadores, dos fornecedores ou clientes, por exemplo.
A partir de 25 de maio, têm que ser as empresas a fazer essa avaliação internamente, com análises de risco e impacto, e encontrar medidas que minimizem esses riscos, explica Clara Guerra.
Nestas declarações à Renascença, a porta voz da CNPD assegura que no dia 26 de maio não vai começar a caça à multa por incumprimento do novo regulamento. A comissão não vai estar de “pau na mão” porque até nem sequer tem meios para tal, sublinha.
“A comissão nunca se pautou pela caça à malta e não vai começar no dia 26. Uma das coisas que a comissão tem que fazer é esperar pela consolidação do quadro legal nacional que não está completo. Falta uma lei nacional e execução do regulamento que não existe. Temos aqui alguma confusão nos próximos tempos e precisamos de internamente termos meios para nos reorganizarmos para esta nova realidade. Mais do que as empresas, nós vamos passar de um modelo de supervisão prévio para um modelo de supervisão posterior”, tranquiliza Clara Guerra.
A porta-voz da CNPD considera que, a partir de agora, tem que haver um consentimento explícito e distinto para os dados poderem ser usados em marketing ou comunicados a terceiras entidades. Hoje em dia muitas empresas não estão a cumprir a lei, refere.
Sobre o facto do Facebook estar a pedir a revisão das definições de privacidade aos utilizadores, Clara Guerra diz que isso nada tem a ver com esta mudança europeia na proteção de dados, até porque o Facebook está longe de cumprir a legislação europeia em vigor.
Pedro Aniceto, especialista e consultor em tecnologia, explica o que as pessoas devem fazer em relação à gestão de listas de endereços de emails.
“Neste momento, não devo acrescentar nada à minha base de dados que não tenha uma autorização expressa de envio. Peço a uma pessoa que me dê autorização para eu passar a enviar-lhe emails e ela responde inequivocamente que sim. Se não responder, eu sou responsável pela inclusão dos seus dados. Se amanhã a pessoa protestar que está a receber emails que não autorizou, tem uma comissão a quem se queixar e cabe-me a mim, como responsável por esses dados, se foi ou não foi”, explica Pedro Aniceto.