A APCC (Associação Portuguesa de Contact Centers) promoveu no Hotel Altis, na passada quinta-feira (dia 1 de fevereiro), um Jantar Debate dedicado ao tema do novo Regulamento Geral sobre a Proteção de Dados Pessoais (RGPD), resultante da transposição da mais recente diretiva comunitária, a vigorar a partir do dia 25 de maio.
Com vantagens claras na proteção do consumidor — que passa a poder ter os Direitos ao Acesso, Portabilidade e Esquecimento — as novas regras assumem dois princípios: o privacy by design , que deve garantir a privacidade logo na criação de programas e processos de recolha de dados; o privacy by default, que procurará determinar a utilização do mínimo de dados e, sempre, amplamente justificados no seu propósito.
Formaram o painel de oradores a Dra. Isabel Cruz (Secretária Geral da Comissão Nacional de Proteção de Dados) e o Dr. Daniel Reis (partner da PLMJ), perante uma audiência de Associados de diversos setores de atividade.
O tema principal da intervenção individual de cada um dos oradores foi, naturalmente, o novo Regulamento Geral sobre Proteção de Dados (RGPD), que em muito irá impactar a vida das empresas, por se aplicar a todas as entidades que tratem dados pessoais, quer na qualidade de detentores das bases de dados, quer na qualidade — enquanto subcontratados — de prestadores de serviços, sendo diretamente responsabilizados em caso de infração.
Oradores
Inicialmente a Dra. Isabel Cruz fez uma breve descrição do novo regime (RGPD), onde acrescentou que introduz alterações significativas às regras atuais em matérias de proteção de dados, impondo rigorosas obrigações e severas coimas como punição ao seu incumprimento.
Clarificou que a Comissão Nacional de Proteção de Dados (CNPD) passará a ter um papel somente fiscalizador, deixando de exercer o seu papel de certificador (até aqui era a CNPD quem emitia os documentos de autorização pela conformidade).
Explicou igualmente que as empresas passarão a autorregularem-se, visitando os três pontos de maior relevância: o Direito ao Esquecimento, o Direito à Portabilidade e o Direito ao Acesso.
Esclareceu a necessidade da existência de um Data Protection Officer (DPO) nas empresas, a sua função e principalmente os atos que se deve abster de praticar, à luz do Regulamento.
Reiterou a importância do panorama de coimas a serem aplicadas a partir de maio, podendo estas atingir os 4% do volume de negócios das empresas (caso incumpram), num máximo de 20 milhões de euros.
Concluiu com a necessidade de comunicação à CNPD, num prazo de 72 horas, de qualquer Data Breach, tendo que existir comunicação individual ao conjunto dos possíveis lesados, com os impactos daí decorrentes.
O Dr. Daniel Reis alertou para o nível de incumprimento atual das empresas nacionais —muito alto — tendo estas que tomar medidas internas para regular com elevado grau de complexidade em alguns dos casos, num muito curto espaço de tempo.
Salientou que o grau de complexidade das referidas medidas estará intimamente ligado à complexidade das bases de dados existentes em cada caso, assim como a sensibilidade da informação contida (e.g.: sendo distintos os dados recolhidos num cabeleireiro ou num banco).
Notou que a passagem para um sistema de autorregulação é muito complicada, por princípio, para a maioria das empresas, tornando-se fundamental existir um fundamento legitimo para cada pedido de informação.
Perguntas e Respostas
Perante uma assistência maioritariamente integrada por juristas das empresas Associadas e numa fase de grande conhecimento da nova Diretiva, dirimiram-se algumas questões de forma, assentes sempre em casos práticos, sendo a maioria das questões dirigidas à Dra. Isabel Cruz (por força da ligação à CNPD).
Ao fim de quase uma hora de P&R, resultou maioritariamente:
• A CNPD irá apenas fiscalizar a aplicação do novo Regulamento Geral sobre Proteção de Dados.
• As empresas poderão pedir um parecer de Estudo de Impacto à CNPD sendo que, atualmente, existem já 20 mil pedidos de Controlo Prévio com Estudo de Impacto pendentes.
• A Lei sobrepõe-se sempre à diretiva, pelo que se aguarda com expectativa a intervenção do Legislador, muito provavelmente posterior à data em que a Diretiva entra em vigor (25 de Maio).
• A Diretiva foi redigida em Inglês, sendo que a versão Portuguesa tem alguns erros e incongruências em relação ao documento original que poderão gerar dificuldades na aplicação da mesma.
• Existem ainda assim, dentro da diretiva, pontos sob os quais a própria CNPD tem dificuldade em esclarecer.
A APCC pretendeu, com esta iniciativa, alertar para a relevância do tema bem como contribuir para o esclarecimento dos seus Associados.
Comments