O que é o RGPD?

Em abril de 2016, o Parlamento Europeu aprovou uma nova legislação que regulamenta, de forma mais abrangente e alargada a todos os países da união Europeia, a forma como os dados pessoais dos cidadãos Europeus podem ser recolhidos, armazenados, transferidos e protegidos. A regulamentação (GDPR – Global Data Protection Regulation) tem como objetivo dar maior controlo aos cidadãos sobre a forma como a sua informação pessoal é utilizada.

O que são dados pessoais?

“PII – Personally Identifiable Information  – Qualquer informação, relativa a uma pessoa singular, identificada ou identificável”

É considerada “identificável” uma pessoa singular que possa ser identificada, direta ou indiretamente, por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização ou identificadores por via eletrónica, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social.

Os dados podem constar em qualquer suporte, seja ele físico, virtual, gráfico, tecnológico ou sonoro. Isto engloba etiquetas, ficheiros, chips/cartões RFID, material impresso/escrito, etc.

Tratamento de dados pessoais

O tratamento de dados pessoais engloba qualquer ação sobre os mesmos e só poderá ser efetuado quando existe consentimento. O consentimento tem que ser:

  • “Livre” – partindo de uma ação proativa do utilizador, sem o limitar no acesso a serviços e com a possibilidade de ser retirado com a mesma facilidade que foi dado;
  • “Informado” – em linguagem simples e direta;
  • “Específico” – Por cada finalidade de tratamento terá que ser dado consentimento (por exemplo: registar para entrar num evento é diferente de registar para receber informações de Marketing);
  • “Expresso” – Não são permitidas opções pré-validadas e a omissão não pode servir de “consentimento”;
  • “Demonstrável” – O responsável pelo tratamento de dados deve poder demonstrar que o consentimento foi dado ou retirado;

O tratamento de dados também é admissível sempre que há um interesse legítimo (ex: cobrança de serviços), por obrigação legal ou no decurso de uma contratação de serviços (pagamento de salários, verificação de reclamações, etc).

Processamento de dados vs. Controlo de dados (data processor vs. data controller)

É fundamental que as organizações envolvidas no processamento de dados pessoais percebam o seu papel e que determinem se estão a agir como “data processor” ou “data controller”. Esta informação é relevante no apuramento de responsabilidades.

A entidade responsável pelo controlo de dados determina o objetivo de utilização dos dados e a forma como os dados serão processados.

Abrangência

O regulamento segue os cidadãos e protege-os em qualquer local do globo. Isto significa que é aplicável a qualquer organização ou evento que recolha ou processe informação pessoal de cidadãos europeus, independentemente da localização do evento, seja ele na União Europeia ou em qualquer outro lugar.

Regresse ao nosso índice RGPD: Os seus eventos estão preparados para o RGPD?

 

Ficou com dúvidas? Fale connosco!


Sergio Pinto

Sergio Pinto

With more than 15 years of experience in IT and telecom industry has passed the last years investigating and developing tech solutions for the events industry.