Perguntas frequentes sobre o RGPD

JAGGAER-Everywhere

O que é o RGPD?

 

O Regulamento Geral de Proteção de Dados (“RGPD”) é a nova legislação de privacidade da União Europeia, que entrou em vigor a 25 de maio de 2018. Substitui a Diretiva de Proteção de Dados 95/46/CE anterior, com proteções mais abrangentes para a privacidade dos residentes na UE.

Que direitos as empresas devem implementar ao abrigo do RGPD?

O RGPD oferece os seguintes direitos aos residentes da UE:

  • O direito de ser informado sobre a forma como os dados pessoais são utilizados,
  • O direito de acesso a dados pessoais mantidos por uma organização,
  • O direito de solicitar a eliminação ou a correção de dados pessoais incorretos,
  • O direito ao apagamento dos dados pessoais em determinadas circunstâncias (por vezes designado por “direito ao esquecimento”),
  • O direito de restringir o tratamento dos seus dados pessoais ou de se opor a esse tratamento,
  • O direito de restringir ou de se opor ao tratamento automatizado de dados pessoais, e
  • O direito de receber uma cópia dos dados pessoais.

Como posso saber se os dados que a minha organização está a tratar são abrangidos pelo RGPD? O que são “dados pessoais?”

O RGPD regula a recolha, armazenamento, utilização e partilha de “dados pessoais”. Os dados pessoais são definidos de forma muito geral no RGPD como quaisquer dados relacionados com uma pessoa singular identificada ou identificável. Não existe distinção entre as funções privadas, públicas ou profissionais de uma pessoa. Os dados pessoais podem incluir:

Identidade

  • Endereço residencial
  • Endereço de trabalho
  • Número de telefone
  • Número de telemóvel
  • Endereço de e-mail
  • Número do passaporte
  • Cartão de identificação nacional
  • Número de segurança social (ou equivalente)
  • Carta de condução
  • Informações físicas, fisiológicas ou genéticas
  • Informações médicas
  • Identidade cultural

Dados financeiros

  • Dados bancários/números de contas
  • Informações fiscais

Artefactos online

  • Publicações em redes sociais
  • Endereço IP
  • Localização/dados de GPS
  • Cookies

Além disso, o tratamento de determinadas categorias “especiais” de dados pessoais, tais como dados pessoais que revelem a origem racial ou étnica de uma pessoa, ou relacionados com a sua saúde ou orientação sexual, está sujeito a regras mais rigorosas do que o tratamento de dados pessoais comuns.

O que são subcontratantes e responsáveis pelo tratamento?

Um “responsável pelo tratamento” é uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, isoladamente ou em conjunto com outros, determina as finalidades e os meios de tratamento de dados pessoais.

Um “subcontratante” é uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata dados pessoais em nome do responsável pelo tratamento.

O RGPD aplica-se a responsáveis pelo tratamento e subcontratantes. Os responsáveis pelo tratamento só podem utilizar subcontratantes que implementem medidas para cumprir os requisitos do RGPD. Ao abrigo do RGPD, os subcontratantes têm deveres adicionais e são responsáveis pelo não cumprimento ou por agirem fora do âmbito das instruções fornecidas pelo responsável pelo tratamento.

O que é o tratamento?

“Tratamento” significa qualquer operação ou conjunto de operações que sejam executadas em dados pessoais ou em conjuntos de dados pessoais, quer seja ou não por meios automatizados, tais como recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, obtenção, consulta, utilização, divulgação por transmissão, difusão ou, de outra forma, disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

Tenho permissão para transferir dados pessoais para fora da UE?

Sim, a transferência de dados pessoais para fora do Espaço Económico Europeu é permitida, desde que sejam satisfeitas determinadas condições para garantir salvaguardas apropriadas. Poderá ter de estabelecer um mecanismo jurídico específico, como um contrato, ou aderir a um mecanismo de certificação para permitir estas transferências.

Como é que a transferência de dados pessoais para fora da UE é regulamentada?

O RGPD prevê vários mecanismos para facilitar transferências de dados pessoais para fora da UE. Estes mecanismos visam confirmar um nível de proteção adequado ou garantir a implementação de salvaguardas apropriadas quando os dados pessoais são transferidos para um país terceiro. As salvaguardas apropriadas podem ser fornecidas por cláusulas contratuais-tipo. Um nível de proteção adequado também pode ser confirmado por decisões de adequação, tais como a que sustenta o Quadro do Escudo de Privacidade UE-EUA.

Qual é a responsabilidade de uma organização ao abrigo do RGPD em resposta a violações de dados pessoais?

O RGPD impõe obrigações estritas para os subcontratantes e responsáveis pelo tratamento relativamente à notificação de violações de dados pessoais. Os subcontratantes para o tratamento de dados têm de notificar o responsável pelo tratamento de uma violação de dados pessoais sem atrasos injustificados após terem tomado conhecimento da situação. Após ter sido informado da violação, o responsável pelo tratamento tem de notificar a autoridade de proteção de dados pertinente no prazo de 72 horas. Se a violação for suscetível de resultar num risco elevado para os direitos e liberdades de pessoas singulares, os responsáveis pelo tratamento também terão de notificar as pessoas singulares afetadas sem demora injustificada.

Qual o valor das multas que podem ser impostas às empresas pelo não cumprimento?

As empresas podem ser multadas em até 20 m € ou 4% do volume de negócios anual global, consoante o que for maior, por incumprimento dos requisitos do RGPD. Também podem ser aplicáveis reparações individuais adicionais.

Onde posso saber mais sobre o RGPD?

As normas e regulamentos do RGPD podem ser encontrados em https://ec.europa.eu/info/law/law-topic/data-protection_en. Além disso, a Associação Internacional dos Profissionais da Proteção da Vida Privada mantém recursos exaustivos sobre o RGPD e a privacidade em geral em https://iapp.org/resources/.  A JAGGAER também recomenda que consulte regularmente o site da sua autoridade nacional ou principal de proteção de dados, conforme aplicável, para obter atualizações e orientação.

Conformidade da JAGGAER com o RGPD

Onde posso encontrar os compromissos contratuais da JAGGAER em relação ao RGPD?

Os clientes podem encontrar os compromissos contratuais da JAGGAER no que respeita ao RGPD na Adenda de tratamento de dados do cliente, disponível aqui.

Como é que a JAGGAER sensibiliza os seus funcionários para a proteção de dados pessoais e a privacidade?

Os funcionários da JAGGAER são informados das suas obrigações de proteção de dados dos clientes aquando da contratação e são obrigados a assinar um acordo de confidencialidade que, entre outras obrigações, requer que os funcionários mantenham a confidencialidade dos dados dos clientes. Além disso, a JAGGAER realiza formação anual de segurança e privacidade para os seus funcionários. A formação de sensibilização para o RGPD foi adicionada como requisito para os nossos funcionários. Os funcionários da JAGGAER também são obrigados a aceitar e aderir ao Código de conduta e ética empresarial da JAGGAER, que aborda especificamente as responsabilidades e o comportamento esperado no que respeita à proteção dos dados dos clientes.

Com que base a JAGGAER facilita a transferência de dados pessoais para fora da UE?

Como empresa global com vastas operações dentro e fora do Espaço Económico Europeu, é frequentemente necessário que a JAGGAER transfira dados entre várias unidades de negócio. A JAGGAER utiliza há muito as cláusulas-tipo da UE como base para a transferência de dados para as suas soluções. As cláusulas-tipo da UE são termos padrão fornecidos pela Comissão Europeia que podem ser utilizados para transferir dados para fora do Espaço Económico Europeu de uma forma que garante a conformidade. A JAGGAER incorporou as cláusulas-tipo da UE na Anexo de tratamento de dados.

Além disso, a JAGGAER dispõe de certificação ao abrigo dos Quadros do Escudo de Privacidade UE-EUA e Suíça-EUA, estabelecidos pelo Departamento de Comércio dos EUA, relativamente à recolha, utilização, tratamento e transferência transfronteiriça de dados pessoais da UE e da Suíça para os Estados Unidos, respetivamente. Ao abrigo destes Quadros do Escudo de Privacidade, a JAGGAER é responsável pelo tratamento de dados pessoais que recebe e, subsequentemente, transfere para terceiros. A JAGGAER cumpre os Princípios do Escudo de Privacidade para todas as transferências subsequentes de dados pessoais provenientes da UE e da Suíça, incluindo as disposições de transferência subsequente de responsabilidade. Para saber mais sobre estes Quadros do Escudo de Privacidade e para ver a certificação da JAGGAER, visite https://www.privacyshield.gov/welcome.

Como é que um cliente (enquanto responsável pelo tratamento de dados pessoais ao abrigo do RGPD) garante que a JAGGAER (enquanto subcontratante para o tratamento de dados pessoais ao abrigo do RGPD) tem salvaguardas técnicas e organizacionais apropriadas para proteger os dados pessoais dos clientes?

Ao abrigo do RGPD, os responsáveis pelo tratamento e os subcontratantes estão obrigados a implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco. A JAGGAER está empenhada em ter procedimentos de segurança e salvaguardas abrangentes em todas as nossas plataformas e unidades de negócio, concebidos para proteger os dados pessoais dos clientes contra (i) destruição, perda ou alteração acidental ou ilícita, e (ii) divulgação ou acesso não autorizados. Tem de ser concedida uma descrição dos nossos direitos de auditoria ao abrigo do RGPD aos responsáveis pelo tratamento nos respetivos contratos com os subcontratantes para o tratamento de dados. A Anexo de tratamento de dados do cliente da JAGGAER inclui direitos de auditoria em benefício dos nossos clientes. As normas e certificações da JAGGAER, incluindo certificações da Organização Internacional de Normalização (“ISO”) e a norma de Controlos da Organização de Serviços (SOC) 2 do Instituto Americano de Contabilistas Públicos (AICPA) podem ser utilizadas pelos clientes para ajudar a realizar as suas avaliações de riscos e ajudar a validar a implementação de salvaguardas técnicas e organizacionais apropriadas.

Que compromissos de proteção de dados a JAGGAER assume?

As nossas Adendas de tratamento de dados, que foram atualizadas para garantir a conformidade com o RGPD, descrevem os compromissos de privacidade da JAGGAER para com os nossos clientes e os compromissos de privacidade dos subcontratantes ulteriores que acedem aos dados pessoais dos nossos clientes. Os nossos clientes podem ver e celebrar uma Adenda de tratamento de dados com a JAGGAER aqui. Quaisquer dados que um cliente ou os respetivos utilizadores introduzam nas nossas aplicações de software serão apenas tratados de acordo com as instruções do cliente, conforme descrito na nossa Adenda de tratamento de dados.

Como é que a JAGGAER garante que os subcontratantes ulteriores contratados pela JAGGAER estão em conformidade com o RGPD, incluindo as salvaguardas técnicas e organizacionais apropriadas para proteger os dados pessoais dos clientes?

Embora a JAGGAER e as respetivas empresas afiliadas realizem diretamente a maioria das atividades de tratamento de dados necessárias para fornecer as aplicações de software e serviços da JAGGAER, contratamos alguns fornecedores de serviços terceiros para ajudar no suporte das nossas ofertas. Cada fornecedor de serviços passa por um processo de seleção rigoroso para garantir que possui os conhecimentos técnicos necessários e que pode fornecer o nível de segurança e privacidade adequados. Os fornecedores de serviços que tratam dados em nome da JAGGAER são obrigados a celebrar Adendas de tratamento de dados com a JAGGAER para garantir que estão sujeitos ao mesmo nível de proteção que os acordos que a JAGGAER celebra com os seus clientes e que estão em conformidade com o RGPD.

A que subcontratantes ulteriores a JAGGAER recorre?

Está disponível aqui uma lista de fornecedores de serviços da JAGGAER que podem tratar dados pessoais do cliente fornecidos pelos clientes que utilizam as nossas aplicações de software (“subcontratantes ulteriores”). Os clientes serão notificados de quaisquer novos subcontratantes ulteriores e terão oportunidade de se opor, conforme exigido pelo RGPD.

De que forma a JAGGAER permite aos responsáveis pelo tratamento garantir os direitos dos titulares dos dados?

Os clientes podem utilizar os direitos administrativos e as funcionalidades disponíveis nas aplicações de software da JAGGAER para ajudar a aceder, retificar, restringir o tratamento ou eliminar quaisquer dados que eles ou os seus utilizadores coloquem nas nossas aplicações de software, sujeitos à conservação pela JAGGAER de dados de utilizadores conforme necessário ou permitido pela lei aplicável para fins de arquivo ou conservação de registos.

Quais os compromissos contratuais e operacionais que a JAGGAER faz para garantir que os clientes são imediatamente notificados de qualquer incidente que envolva dados pessoais, em conformidade com o RGPD?

Como um dos fornecedores originais de soluções de gestão de despesas baseadas na nuvem, há cerca de 20 anos que a JAGGAER assume compromissos nos respetivos contratos com clientes relativamente à notificação de incidentes. A JAGGAER mantém operações de segurança de dados que garantem um tempo de resposta bem dentro do período previsto no RGPD.

Que experiência traz a JAGGAER no que respeita à privacidade e proteção de dados?

A JAGGAER emprega profissionais de segurança na Europa e nos Estados Unidos que incluem alguns dos principais especialistas mundiais em segurança de informações, aplicações e redes. Esta equipa está incumbida de manter os nossos programas de segurança, desenvolver processos de análise de segurança, criar infraestruturas de segurança e implementar as nossas políticas de segurança e privacidade.

Além disso, a JAGGAER emprega uma equipa de privacidade composta por profissionais experientes tanto nos EUA como na Europa. A JAGGAER também tem parcerias com especialistas em privacidade e conformidade em todo o mundo, incluindo o nosso parceiro jurídico de privacidade, a K&L Gates LLP, cujos advogados a UE consultou ao desenvolver o Regulamento Geral da Proteção de Dados da UE (RGPD), e o nosso parceiro de conformidade legal, a Baker & McKenzie LLP, regularmente classificada como a marca mais forte entre sociedades de advogados no Acritas Global Elite Law Firm Brand Index. A nossa equipa de privacidade e conformidade está incumbida de manter os programas de privacidade e conformidade da JAGGAER, implementar as nossas políticas de privacidade e trabalhar regularmente com os clientes para garantir que satisfazemos as necessidades de privacidade e conformidade dos nossos clientes.

Quem poderá um cliente ou titular de dados contactar para quaisquer questões ou comentários sobre os dados pessoais mantidos pela JAGGAER, ao abrigo do RGPD ou em termos de privacidade em geral?

Os clientes e titulares de dados podem contactar a equipa de privacidade de dados da JAGGAER, localizada na UE e nos EUA, através do Portal de consulta sobre privacidade de dados. Além disso, os clientes e os titulares dos dados podem contactar diretamente o Encarregado da proteção de dados através do endereço DPO@jaggaer.com.