O habitual é ser enviado um ‘email’ onde se lê: “Para continuar a receber as nossas mensagens, clique neste botão”. Mas em muitos casos ainda é solicitado no ‘email’ o preenchimento de um formulário que, por vezes, nem sequer cumpre o exigido pelo regulamento.
Muitas dessas “reconfirmações” são enviadas a clientes, atuais ou antigos, que já tinham no passado aceitado receber essas mensagens, e o regulamento não tem qualquer disposição que peça essa reconfirmação, exceto se não havia autorização para esse tratamento ou se estava desconforme com a lei.
Existindo essa confirmação expressa e esclarecida do cliente, e independentemente de quando foi obtida e da existência ou não de relação comercial com o titular dos dados a tratar, a empresa não precisa de fazer nada.
Apesar de o regulamento ter facultado um período de adaptação de dois anos, a maioria das empresas, segundo sondagens recentemente divulgadas, deixou para segundo plano as preocupações com a aplicação do novo regulamento.
Com o aproximar da entrada em vigor do regulamento, a partir de hoje, o medo de avultadas multas previstas no regulamento é que tem levado, especialmente na última semana, a estratégias para reduzir esse risco, entre as quais se incluem o envio de ‘emails’ e até a destruição de dados pessoais de clientes antigos, mas para voltar a recolher esses mesmos dados.
Entre os dados pessoais que o regulamento quer proteger estão a morada, localização, informação de saúde, rendimento, perfil cultural ou IP de dispositivo, sendo impostas regras à recolha, armazenamento ou uso deste tipo de dados, que, não sendo cumpridas, podem ser penalizadas com multas até 20 milhões de euros ou 4% da faturação da empresa.
As regras definidas no RGPD aplicam-se a dados pessoais, tanto em formato digital como em papel, e visam nomeadamente obrigar as empresas a explicar aos clientes a razão de tratar os seus dados pessoais, durante que período e para quem os receber.
O consentimento para tratar dados pessoais tem de estar confirmado por uma declaração, ou outro ato positivo inequívoco, não podendo as empresas presumir esse consentimento e muito menos usar opções pré-selecionadas em ‘sites’.
As empresas que recolhem dados de menores devem também, segundo regulamento, verificar o limite de idade para obter o consentimento dos pais, prevendo a proposta legislativa do Governo (ainda em discussão pelo parlamento) que esse consentimento seja necessário entre os 13 e os 16 anos.
O regulamento prevê também o direito a apagar os dados pessoais das pessoas que o solicitem, o chamado “direito ao esquecimento”, assim como a opção de não receber ‘marketing’ direto com os seus dados e ainda o direito a solicitar que as suas informações sejam transmitidas para outra organização ou para concorrente (direito à portabilidade).
O novo regulamento retira também à Comissão Nacional de Proteção de Dados (CNPD) o controlo prévio do tratamento de dados pessoais, podendo a partir de agora qualquer entidade iniciar um tratamento dados, por sua livre iniciativa, mas desde que verifique se cumpre o regulamento, e a lei nacional, porque não cumprindo fica sujeito a multas.
A notificação obrigatória de violação de dados passa a ser uma das novas obrigações impostas pelo regulamento, que delega nos responsáveis pelo controlo de dados a notificação às autoridades de controlo locais (CNPD, em Portugal) até 72 horas após a tomada de conhecimento do facto, e a notificação de violações graves às pessoas singulares.
Comentários