O novo ano mal começou e já são muitas as notícias sobre empresas multadas por violação do RGPD.

Apesar de a maioria das empresas já estarem sensibilizadas para a aplicação deste regulamento, ainda existem muitas dúvidas acerca da aplicabilidade desta e outras diretivas. A implementação de medidas de segurança de dados deve constar do plano de gestão e risco de uma organização. Apenas assim se poderá garantir a conformidade na gestão de dados pessoais.

Neste artigo, vamos explicar o que é o RGPD, o que são dados pessoais e quais são as principais obrigações das empresas nesta matéria.

O que é o RGPD?

Os dados guardados pelos nossos dispositivos são hoje bastante valiosos no mundo digital. Por essa razão, surgiu a necessidade de desenvolver uma regulamentação para proteger os utilizadores na internet.
O Regulamento Geral sobre a Proteção de Dados (RGPD) da UE surgiu como resposta a essa necessidade, atualizando e modernizando os princípios estabelecidos na diretiva de 1995 relativa à proteção de dados. Trata-se de um regulamento que define os requisitos relativos à recolha, armazenamento, processamento e gestão de dados pessoais nos países da UE.

Este regulamento estabelece:
• os direitos fundamentais das pessoas na era digital
• as obrigações dos responsáveis pelo tratamento de dados
• métodos para garantir o cumprimento
• as sanções aplicáveis aos infratores
Para conhecer todas as regras estipuladas, poderá consultar o diploma completo.

O que podemos considerar como dados pessoais?

De acordo com o diploma RGPD, dados pessoais são qualquer informação relativa a uma pessoa singular identificada ou identificável. Isso significa que qualquer informação que possa ser usada para identificar uma pessoa, direta ou indiretamente, é considerada um dado pessoal.

Exemplos de dados pessoais:
• Nome;
• Morada;
• Número de identificação;
• Data de nascimento;
• Número de telefone;
• Endereço de e-mail;
• Fotografia;
• Dados de saúde;
• Dados financeiros;
• Dados de navegação na internet;
• Dados de localização.

Neste contexto, é importante frisar que o RGPD se aplica a todos os dados pessoais, independentemente do formato em que são armazenados (por exemplo, papel, digital), mas também independentemente de onde são armazenados (por exemplo, dentro ou fora da União Europeia).

Quais as obrigações das empresas e organizações?

As empresas e organizações que tratam dados pessoais estão sujeitas a um conjunto de obrigações previstas no Regulamento Geral sobre a Proteção de Dados (RGPD). Estas obrigações são destinadas a garantir a proteção dos direitos e liberdades dos titulares dos dados, nomeadamente o direito à privacidade.
Entre as várias obrigações das empresas contam-se a obrigação de aplicar medidas de segurança adequadas, prevenindo riscos inerentes ao tratamento e armazenamento de dados privados por parte de responsáveis e subcontratantes.
Existem, ainda, em alguns casos a obrigação de designar um encarregado para a proteção de dados (EPD), para assegurar a conformidade da gestão dos dados, bem como sensibilizar os utilizadores para situações de perigo e risco dos dados. Enquanto as entidades públicas estão sempre obrigadas a designar um EPD, as empresas só estão obrigadas se tratarem dados sensíveis (artigo 9.º e 10.º do RGPD).
No caso de pequenas e médias empresas (PME) não é exigido o registo de atividades de tratamento de dados, ou nomeação de um EPD, beneficiando de uma maior flexibilidade na aplicação de algumas obrigações do RGPD.

Como fica a IA com o RGPD?

A Inteligência Artificial (IA) é definitivamente o tema do momento. Com a popularidade de plataformas como o ChatGPT, Bard, ou Midjourney, a tarefa de regular dados digitais torna-se ainda mais difícil.
A IA utiliza tecnologias digitais para criar sistemas capazes de executar tarefas que até hoje se acreditavam exclusivas da inteligência humana. Não se trata de uma nova tecnologia. Este ramo da engenharia de informação vem sendo explorada há já várias décadas, mas os progressos em termos de capacidade computacional e a disponibilidade de grandes quantidades de dados e de novos programas informáticos conduziram a avanços significativos nos últimos dois anos.
Para fazer face à potencial ameaça da IA, a UE encontra-se a estudar uma legislação especialmente dedicada a esta tecnologia. No entanto, enquanto a primeira proposta legislativa deste tipo não é oficializada, vale a pena considerar os princípios do RGPD para lidar com a inteligência artificial.

Aplicação das regras em matéria de gestão de riscos
Uma das obrigações mais importantes no diploma do RGPD é a de implementar medidas de gestão de riscos para garantir a segurança dos dados pessoais.
A gestão de riscos no âmbito do RGPD implica, em primeiro lugar, a identificação e mapeamento de todos os processos de tratamento de dados realizados pela empresa. Após a identificação dos processos de tratamento de dados, é necessário avaliar os riscos que podem afetar a segurança dos dados.
Uma outra medida de segurança importante passa pela implementação de medidas de controlo adequadas para mitigar os riscos identificados. Isso pode incluir medidas como criptografia de dados, controlo de acessos, capacitação de funcionários, políticas de segurança e procedimentos de resposta a incidentes.
Por fim, a empresa deve monitorizar continuamente a efetividade das medidas de gestão de riscos implementadas e realizar ajustes quando necessário. Monitorizar os dados de segurança, realizar testes de stress e rever regularmente as políticas e procedimentos de segurança são apenas algumas das medidas a implementar.

A correta aplicação do RGPD em matéria de gestão de riscos é fundamental para garantir a segurança dos dados pessoais e proteger os direitos e liberdades das pessoas. Ao implementar medidas de gestão de riscos adequadas, as empresas podem aumentar a confiança dos clientes, reduzir custos e evitar sanções.

Autora: Diana Marques