O novo RGPD – Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation) tem efeito a partir do dia 25 de Maio de 2018 e irá ter um impacto significativo na forma como cada empresa e organização processa os dados pessoais dos cidadãos europeus.
Este regulamento introduz novas responsabilidades para as empresas no que diz respeito ao processamento de dados pessoais, permitindo dessa forma aos cidadãos da União Europeia a proteção da sua privacidade e controlo sob a forma como os seus dados são processados, substituindo assim a Diretiva 95/46/CE relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
O RGPD será aplicado de forma homogénea em todos os países membros da União Europeia, possibilitando um melhor entendimento dos cidadãos relativamente aos seus direitos de privacidade.
Todas as pessoas singulares e coletivas que efetuem o tratamento de dados pessoais de cidadãos europeus necessitam de aplicar e cumprir este regulamento, pelo que este não terá que ser aplicado apenas por Empresas, mas também empresários em nome individual ou qualquer pessoa singular que faça o tratamento de dados de uma outra pessoa singular.
Dados Pessoais (Personal Data) é qualquer informação relativa a uma pessoa singular que permita identificar de forma direta ou indireta o titular dos respetivos dados, como por exemplo o seu Nome, Número de Identificação Nacional, Dados de Localização, Identificador Único, Endereço de E-mail, entre outros.
Tratamento ou Processamento (Processing) de dados é qualquer tipo de processo que possa ser efetuado sobre os dados pessoais de uma pessoa, como por exemplo a recolha, registo, manutenção, alteração, armazenamento, recuperação, consulta, difusão ou divulgação, comparação, apagamento ou destruição desses mesmos dados.
Titular dos Dados (Data Subject) é a pessoa singular a quem os Dados Pessoais que vão ser tratados dizem respeito.
Responsável pelo Tratamento (Data Controller) é a pessoa ou entidade que irá determinar a forma como os dados pessoais de uma pessoa singular serão tratados.
Subcontratante (Data Processor) é uma pessoa singular ou pessoa coletiva que irá efetuar tratamento de dados pessoais de uma pessoa singular em representação do Responsável pelo Tratamento, como por exemplo um fornecedor de serviços de verificação da validade dos dados, uma agência que forneça a gestão de campanhas de Marketing ou um fornecedor de Alojamento Web que permita o armazenamento de um site ou loja online com dados de clientes.
Autoridade de Controlo (Supervisory Authority) é uma autoridade pública independente de controlo criada pelo Estado-Membro que irá ser responsável pela fiscalização da aplicação do RGPD, sendo no caso de Portugal a CNPD (Comissão Nacional de Proteção de Dados.
Mais detalhes e definições relativamente aos termos utilizados no regulamento podem ser encontrados no Artigo 4º do RGPD.
Se utiliza os nossos serviços para armazenar ou processar dados pessoais de pessoas singulares residentes na Europa, como por exemplo listas de dados de clientes de uma loja online, subscritores de um serviço fornecido pelo seu site, utilizadores registados no seu site (mesmo que sejam pessoas que não lhe estejam a fazer qualquer pagamento), estará a representar o papel de Data Controller, ou seja, Responsável pelo Tratamento dos dados.
Como Responsável pelo Tratamento dos dados, o RGPD exige-lhe não só que cumpra com o regulamento mas também que se certifique de que, qualquer serviço que utilize por parte de um Subcontratante em que seja feito o tratamento de dados de uma pessoa singular, esteja também em conformidade com os termos do regulamento.
Ou seja, quando utiliza qualquer serviço fornecido por um Subcontratante em que irá utilizar o mesmo para o tratamento de dados pessoais, deverá certificar-se de que este cumpre todos os requisitos do Regulamento Geral de Proteção de Dados e exige um vínculo presente que certifique essa situação.
Como seu fornecedor de soluções de Alojamento Web, onde pode armazenar informações contendo dados pessoais de pessoas singulares e outras informações sensíveis, é nosso compromisso garantir que todos os procedimentos de processamento são efetuados de forma transparente, segura e em conformidade com o novo Regulamento Geral de Proteção de Dados.
A maioria das exigências feitas pelo RGPD no que diz respeito à segurança e métodos de tratamento de dados fazem já parte da implementação técnica dos nossos serviços e dos procedimentos internos seguidos pela nossa empresa.
Esta declaração reforça o nosso interesse e esforço em implementar as medidas do RGPD de forma a estar em conformidade com o mesmo no momento em que este entrar em vigor no dia 25 de Maio de 2018.
Para assegurar o cumprimento do regulamento, iremos até ao prazo de implementação do RGPD:
Proceder à implementação e atualização de Políticas Externas/Internas (Exemplo: Política de Privacidade, Política de Proteção de Dados, Política de Retenção de Dados, Política e Procedimentos de Segurança, Política de Controlo de Acessos) atendendo as novas exigências do RGPD;
Adoção de códigos de conduta e instruções internas com respeito a Proteção e Privacidade dos Dados Pessoais;
Garantir aos nossos clientes o Direito ao Esquecimento, Direito à portabilidade e Direito a Retificação dos seus dados pessoais;
Redigir um Acordo de Proteção de Dados (DPA – Data Protection Agreement) com os nossos clientes/revendedores que indique os moldes em que é feito o tratamento de dados e comprove a nossa conformidade com o RGPD;
Fornecer formação aos nossos colaboradores relacionada com o RGPD, técnicas de segurança avançadas e medidas de Proteção de Dados em geral;
Efetuar o levantamento de todos os procedimentos e configurações de serviços e sistemas de forma a assegurar que estes estejam em conformidade com o RGPD;
Identificar que dados são transmitidos e certificar-nos que os nossos parceiros e fornecedores (Exemplo: Registrars, Registries, Certificate Authorities) com quem existe troca de informação de Dados Pessoais necessária ao fornecimento dos serviços cumprem os requisitos do RGPD;
Celebrar um Acordo de Proteção de Dados (DPA) com os fornecedores e subcontratantes com quem exige difusão de fluxo de dados pessoais;
Definir procedimentos de notificação de violação de dados pessoais à Autoridade de Controlo, Responsáveis pelo Tratamento e Titulares dos Dados;
Proceder a uma Avaliação de Impacto de Privacidade (Data Protection Impact Assessment);
Sujeitar todos os procedimentos que exijam o fornecimento de dados pessoais a uma política de proteção de dados desde a concepção e por defeito;
Quando submete dados através dos nossos serviços, servidores que suportam os mesmos serviços ou através das plataformas externas à MigraPixel, o cliente é o dono e responsável dos mesmos, independentemente de estes estarem armazenados em ambiente de Alojamento Web Partilhado ou em ambiente de Alojamento Web Dedicado sejam.
Ao efetuar o envio de dados pessoais para a nossa infraestrutura, está a assumir o papel de Responsável pelo Tratamento (Data Controller) e a MigraPixel o papel de Subcontratante (Data Processor).
O tipo de tratamento feito pela MigraPixel dos dados que envia para os servidores é no entanto limitado, na medida em apenas fazemos o tratamento conforme estipulado nos termos de fornecimento do serviço, como armazenamento dos dados e cópias de segurança, não sendo feito qualquer processamento adicional dos dados em proveito próprio da MigraPixel.
Não é também partilhada qualquer informação com terceiros, a menos que essa informação seja necessária para o fornecimento de um serviço (Exemplo: Registo de Domínio, Emissão de Certificado SSL, Processamento de Pagamento de Serviços, etc) ou solicitada por uma entidade judicial autorizada, sendo seguidos todos os procedimentos de políticas internas em igual conformidade com a lei de forma a garantir que o pedido é legítimo e a entidade tem autoridade para a execução do mesmo.
Todos os nossos colaboradores recebem regularmente e documentação interna com vista a prepararem-se e estarem por dentro das políticas e boas práticas referentes à proteção e privacidade de dados.
De forma a garantir a conformidade com o RGPD, a MigraPixel promove internamente um código de conduta de forma a definir de que forma são tratados os dados armazenados nos nossos Serviços.