ptenfrdeites

Protecção de dados

O Regulamento Geral de Proteção de Dados (RGPD) será aplicável a 25 de maio de 2018. Tendo sido aprovado em Maio de 2016 para permitir um período de adaptação de 2 anos, muitas organizações não estão ainda preparadas ou nem sequer começaram a implementação das medidas necessárias para se aproximarem da conformidade com os requisitos desta nova legislação.

Sendo certo que será ainda complementado por legislação nacional adicional, esperar pela aprovação desta para começar a implementação das mudanças não parece ser a solução mais adequada tendo em conta todo o trabalho de adaptação necessário.

Clubes, academias e ginásios, a todos se aplicará o novo regime, na medida em que todos tratam dados pessoais, independentemente do tamanho ou forma jurídica que assumam. Como a maioria dos setores de atividade, o setor de fitness cresceu cada vez mais dependente da tecnologia e do armazenamento de dados. Quando um cliente se torna membro, regista uma grande quantidade de dados pessoais, frequentemente incluindo dados sensíveis, algumas informações sobre a saúde e hábitos dos seus clientes e resultados que desejam alcançar. A maioria da informação que é recolhida sobre os utilizadores, visitantes, fornecedores, trabalhadores, candidatos e outros que os frequentam contém dados pessoais.

É crucial identificar exatamente quais dados pessoais tratados, onde e como são armazenados, para que finalidade são tratados e quem pode aceder aos mesmos ou com quem estes são partilhados. Conseguir responder a estas questões permitirá avaliar os riscos associados aos tratamentos existentes e formular um plano de abordagem para a implementação do RGPD, tornando todo o processo mais fácil.

Como tal, sendo ainda cedo para saber como exatamente afetará o setor do fitness, é certo que o RGPD afetará a atividade de todas as empresas e a forma como lidam com dados pessoais. Infelizmente, muitos ginásios têm prestado pouca atenção à segurança dos dados pessoais. Mas assim que o RGPD entre em vigor, dificilmente poderão ignorar o risco associado ao não cumprimento da legislação, atendendo às pesadas sanções associadas: multas até €20 milhões ou 4% do volume de negócios anual (o que for maior), para não falar dos outros riscos associados, não menos importantes, como o eventual pagamento de indemnizações aos titulares dos dados, os custos administrativos e judiciais com a defesa de tais casos e, acima de tudo, o risco reputacional e de imagem, atenta a maior sensibilização dos titulares dos dados quanto a este tema da proteção de dados.

O RGPD traz várias novidades, de entre as quais se destacam mais direitos para os titulares dos dados, regras mais exigentes sobre a obtenção de consentimento para o tratamento e obrigação de notificar violações de dados, com prazos muito curtos (72 horas após o conhecimento), das quais possa "resultar um risco para os direitos e liberdades" dos titulares dos dados.

Um outro direito novo consiste na portabilidade dos dados pessoais. Na prática, significa que um cliente de um ginásio que forneceu dados pessoais possa solicitar que esses dados sejam transferidos para um novo ginásio, mesmo que seja um concorrente. Quaisquer dados não fornecidos pelo indivíduo ao ginásio – o que potencialmente inclui quaisquer planos de exercícios – estarão, em princípio, isentos da regra de portabilidade.

Também nova é a exigência de uma avaliação de impacto sobre a proteção de dados, a ser realizada onde a introdução de um novo tratamento ou tecnologia é suscetível de causar um elevado risco para os direitos e liberdades dos titulares dos dados. À medida que mais operadores introduzem wearables e outros dispositivos conectados, terão que considerar cuidadosamente a necessidade de primeiro realizar um PIA.

Por onde começar? Inicialmente, é crucial identificar exatamente quais dados pessoais tratados, onde e como são armazenados, para que finalidade são tratados e quem pode aceder aos mesmos ou com quem estes são partilhados. Conseguir responder a estas questões permitirá avaliar os riscos associados aos tratamentos existentes e formular um plano de abordagem para a implementação do RGPD, tornando todo o processo mais fácil.

Poderá depois ser necessário rever políticas e procedimentos para certificar que incluem os novos requisitos; rever eventuais transferências de dados para fora da União Europeia, manter os funcionários formados em relação às melhores práticas de proteção de dados e certificar que conhecem as mudanças impostas pelo RGPD, nomear um Encarregado de Proteção de Dados (DPO); verificar os materiais de marketing on-line e off-line (site, folhetos, etc.); assegurar clareza e transparência sobre o que se faz com os dados; rever os contratos com subcontratantes; honrar pedidos de apagamento ou revogações de consentimento que impeçam a continuação desses dados nas bases de dados; avaliar as políticas em relação aos tratamentos de dados de crianças, identificar alterações e atualizações que possam ser necessárias nos sistemas de TI, sendo certo que software ou hardware desatualizados representam sempre riscos de segurança; bem como procedimentos de deteção, reporte e investigação de violações de dados. Todos estes aspetos devem ser submetidos a um rigoroso escrutínio para garantir que se consegue cumprir com os prazos apertados de reação.

Finalmente, é importante ter em conta que o RGPD visa proteger os titulares dos dados, dar-lhes controlo sobre os seus dados pessoais, pelo que o cumprimento do RGPD permitirá criar uma relação de confiança com os clientes.