Conheça 10 atividades corporativas a considerar com o novo Regulamento Geral de Proteção de Dados (R
No próximo dia 25 de maio de 2018, o Regulamento Geral de Proteção de Dados (RGPD) entra em vigor na UE, controlando o modo como as empresas devem gerir dados pessoais. Pequenas e grandes empresas devem estar preparadas para esta mudança o mais atempadamente possível. Como tal, e a menos de um mês da entrada em vigor, aqui ficam 10 atividades corporativas que devem ser consideradas com mais atenção a partir de 25 de maio.
Celebrar o aniversário de um Colaborador
Uma data de aniversário é parte dos dados pessoais próprios. De acordo com o RGPD, não pode ser partilhado sem o consentimento expresso da pessoa em questão. Portanto, vale a pena verificar se tem a permissão de todos para preparar um calendário de aniversários partilhado com toda a empresa.
Enviar cartões de Natal corporativos
Se está a planear enviar cartões de natal para os seus clientes, pode parar já por aí. Se vai necessitar de incluir a morada da habitação de cada pessoa, então está a utilizar dados pessoais e portanto, mais uma vez, de acordo com o RGPD não é permitido, a não ser que tenha o consentimento antecipado das pessoas em questão. Se não tiver o consentimento expresso para contactar cada cliente, então deve estabelecer uma base legitima diferente para cada comunicação corporativa que enviar.
Partilhar fotografias do filho recém-nascido de um Colaborador
Pense bem antes de partilhar fotografias de filhos recém-nascidos com Colaboradores internacionais. Todas essas novidades podem ter de permanecer invisíveis para os colegas no estrangeiro. A informação pessoal só pode ser transferida internacionalmente se o país for considerado pela UE como proporcionador de um nível adequado de proteção de dados ou por cumprir um mecanismo de certificação aprovado como o EU-US Privacy Shield. Claro, se a partilha de uma fotografia de um bebé é considerada uma atividade meramente pessoal, pode então ser discutido de forma a não ser abrangido pelo âmbito do RGPD.
Catering específico para alergias em eventos de trabalho
Tem colegas com alergias Alimentares? Receamos que essas informações sejam classificadas como pessoais. Portanto, antes de telefonar para um restaurante ou fornecedor de catering, assegure que tem a permissão de todos Colaboradores envolvidos para partilhar essas informações com terceiros.
Reencaminhar um CV de um candidato para uma segunda opinião
Não está seguro acerca de um potencial candidato para um cargo na sua organização? – mais uma vez, são dados pessoais. É claro que pode sempre argumentar dizendo que seria sensato partilhar o CV de um candidato com outros colegas numa perspetiva de conhecimento apenas. No entanto, uma forma simples de conseguir uma segunda opinião de um CV é torna-lo anónimo, remover o nome, o endereço, o número de telefone e qualquer outra informação pessoal identificável. Esta prática está a tornar-se uma tendência crescente entre as empresas como parte de uma abordagem para remover preconceitos de género e raça durante os processos de recrutamento.
Assinalar a ‘caixinha’ de adesão a uma lista de e-mails
O formulário de registo do seu website tem uma caixa pré-selecionada para os clientes receberem informação de marketing por parte de terceiros? Pode querer reconsiderar isso. De acordo com o RGPD, caixas pré-selecionadas, inatividade e silêncio não serão suficientes como consentimento. Aconselhamo-lo também a ler atentamente os seus termos de privacidade online, uma vez que um pedido de consentimento de uma empresa para utilizar informação pessoal deve estar legível e em linguagem clara e acessível.
Debater política no escritório
As opiniões políticas são parte de uma categoria especial de informação pessoal – dados pessoais sensíveis – e as organizações não podem registar ou processar dados relativos a este tipo de informação. Portanto, se está a planear um webcast empresarial sobre as próximas eleições, uma prática que recomendamos fortemente é o orador antecipar qualquer comentário com a frase “Eu consinto expressamente em partilhar esta informação sobre as minhas opiniões políticas”.
Baixa médica
A informação sobre o estado de saúde também faz parte de uma categoria especial de informação pessoal. Portanto, se precisa de meter baixa durante uma manhã para analisar uma condição médica específica, não pode voltar para casa e esperar que a mensagem seja transmitida, a não ser que tenha consentido que essa informação seja partilhada a quem de direito. Por outro lado, o indivíduo pode partilhar pessoalmente essa informação à entidade empregadora.
Auditoria de dados
De acordo com o RGPD, as empresas devem ter uma pessoa responsável pelas questões da proteção de dados e, em alguns casos, podem ter de designar formalmente um Delegado de Proteção de Dados antes de realizar um processamento de dados pessoais interno. A pessoa designada fica responsável por aumentar a sensibilização para as normas de proteção de dados numa organização, formando os colaboradores e controlando as auditorias a processos de informação.
Gerir uma violação de dados
Se a sua empresa sofrer uma violação de informação, deve considerar informar rapidamente os envolvidos. De acordo com o RGPD, se os dados pessoais forem acidentalmente ou ilegalmente perdidos, destruídos, modificados ou danificados, é necessário reportá-lo à autoridade supervisora dentro de três dias. E não é apenas a autoridade competente que necessita de ser notificada, todas as pessoas afetadas devem ser também informadas, uma vez que é possível que a situação resulte num risco elevado de prejuízo financeiro, fraude ou roubo de identidade.