Conformidade com o RGPD da PandaDoc
Atualizado em 19 de março de 2021
O que é, o que estamos a fazer, e o que pode fazer
O RGPD entrou em vigor em 25 de maio de 2018 e aumentou a supervisão do padrão global de direitos de privacidade. Nós, na PandaDoc, adotámos os requisitos do RGPD e este guia destina-se a ajudar os nossos clientes a compreender a posição da PandaDoc relativamente ao RGPD. Não se destina a ser um tratado completo sobre a colocação do RGPD em prática e deve ser entendido dessa forma.
O que é o RGPD?
O Regulamento Geral da Proteção de Dados (o “RGPD”) é uma lei europeia de proteção de dados e privacidade adotada em 14 de abril de 2016, que entrou oficialmente em vigor a partir de 25 de maio de 2018. Os dois (2) anos de atraso entre a sua adoção e execução destinavam-se a dar às organizações tempo para a preparação antes da execução.
O RGPD é uma tentativa ambiciosa de reforçar, harmonizar e modernizar a legislação da UE em matéria da proteção de dados e reforçar os direitos e liberdades individuais, em conformidade com o entendimento europeu da privacidade enquanto direito humano fundamental. O RGPD regula, entre outros, a forma como os indivíduos e as organizações podem obter, usar, armazenar e eliminar dados pessoais. Substitui uma diretiva anterior da União Europeia em matéria de privacidade conhecida como a Diretiva 95/46/CE (a “Diretiva”), que foi a base da lei europeia da proteção de dados desde 1995 ao início de 2018. Ao contrário do seu antecessor, o RGPD aplica-se, desde logo, a toda a União Europeia (“UE”) e a todos os Estados-Membros sem a necessidade de outras medidas legislativas por parte dos Estados-Membros.
O RGPD entrou em vigor em meados de maio de 2018, e desde então que não existe um “período de carência”. É importante que as organizações afetadas pelo RGPD estejam em conformidade com as suas disposições.
Como funciona o RGPD?
Existem muitos princípios e requisitos introduzidos pelo RGPD, por isso é importante analisar o RGPD na sua totalidade para garantir a plena compreensão dos requisitos e de que forma podem ser aplicados à sua organização. Embora o RGPD mantenha muitos princípios estabelecidos pela Diretiva, introduz várias alterações importantes e ambiciosas. Acreditamos que várias assumem uma particular relevância para a PandaDoc e os seus clientes, entre as quais:
- Alargamento do âmbito: o RGPD aplica-se a todas as organizações estabelecidas na UE ou que tratam dados dos Titulares dos Dados, introduzindo assim o conceito de extra-territorialidade e alargando o âmbito da lei da UE, em matéria da proteção de dados, muito para além das fronteiras da UE.
- Alargamento das definições de dados pessoais e categorias especiais de dados.
- Alargamento dos direitos individuais: os Titulares dos Dados têm vários direitos importantes ao abrigo do RGPD, incluindo o direito a ser esquecido, o direito de oposição, o direito de retificação, o direito de acesso e o direito de portabilidade. A sua organização deve garantir que consegue acomodar estes direitos ao tratar os dados pessoais dos Titulares dos Dados.
- Direito a ser esquecido: um indivíduo pode solicitar que a organização elimine todos os seus dados sem atrasos indevidos.
- Direito de oposição: um indivíduo pode proibir determinados usos de dados.
- Direito à retificação: os indivíduos podem solicitar que os dados incompletos sejam completos ou que os dados incorretos sejam corrigidos.
- Direito de acesso: os indivíduos têm o direito de saber que dados seus estão a ser tratados e de que forma.
- Direito de portabilidade: os indivíduos podem solicitar que os dados pessoais mantidos por uma organização sejam transferidos para outra.
4. Requisitos de consentimento mais rigorosos: o consentimento é uma das bases jurídicas fundamentais do RGPD, e as organizações devem garantir que o consentimento é obtido em conformidade com os requisitos do RGPD. A sua organização terá de obter o consentimento dos seus assinantes e contactos para cada utilização dos seus dados pessoais, a menos que possa depender de uma base jurídica distinta. O percurso para o cumprimento é a obtenção de um consentimento explícito. Atenção que:
- O consentimento deve ser específico para as diferentes finalidades.
- O silencio, as caixas pré-preenchidas ou a inatividade não constituem o consentimento; os titulares dos dados devem aceitar explicitamente o armazenamento, uso e tratamento dos seus dados pessoais.
- Deve ser obtido um consentimento em separado para os diferentes processos de tratamento, o que significa que a sua organização deve estar informada sobre a forma como os dados serão usados quando é obtido um consentimento.
5. Requisitos rigorosos de tratamento: os indivíduos têm o direito de receber informações “justas e transparentes” sobre o tratamento dos seus Dados Pessoais, incluindo:
- Os dados de contacto do responsável pelo tratamento.
- Finalidade dos dados: deve ser o mais específico (“limitação da finalidade”) e minimizado (“minimização dos dados”) possível. A sua organização deve considerar cuidadosamente os dados que está a recolher e os motivos associados para poder comprovar ao regulador.
- Período de retenção: deve ser o mais curto possível (“limitação do armazenamento”).
- Base jurídica: uma organização não pode tratar dados pessoais apenas porque deseja fazê-lo. Deve ter uma “base jurídica” para o fazer, como a necessidade de tratamento para o desempenho de um contrato, o consentimento de um indivíduo (ver os requisitos de consentimento acima) ou o tratamento é do “interesse legítimo” da organização.
Quem está sujeito?
Como mencionado acima, o âmbito territorial do RGPD é muito amplo. As duas condições territoriais mais comuns que o RGPD contempla para a execução são, o RGPD aplica-se (1) ao tratamento de dados pessoais no contexto de atividades de definição de um controlador ou processador na União, independentemente de o tratamento ter lugar ou não dentro da União; e (2) ao tratamento (a) a oferta de bens ou serviços , independentemente de ser exigido um pagamento ao titular dos dados , a esses titulares dos dados da União; ou (b) o monitorização do seu comportamento desde que o seu comportamento tenha lugar na União. O último ponto introduz o princípio da “extra-territorialidade” do RGPD, ou seja, o RGPD aplica-se a qualquer organização proceda ao tratamento de dados pessoais dos titulares dos dados, independentemente de onde esteja estabelecido, e de onde decorram as atividades de tratamento. Isto significa que o RGPD pode ser aplicado a qualquer organização, em qualquer sítio do mundo, e que todas as organizações devem fazer uma análise para determinar se estão ou não a realizar o tratamento de dados pessoais de cidadãos da UE. O RGPD também é aplicável a todos os setores e indústrias.
Junto indicamos algumas definições que ajudam a compreender o amplo espectro do RGPD.
O que é um “titular dos dados”?
O RGPD define o Titular dos Dados na sua definição de “Dados Pessoais”, abaixo referido. O Titular dos Dados é uma pessoa singular identificável que pode ser identificada, direta ou indiretamente, particularmente fazendo referência a um identificador, como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores que especificam a identidade física, psicológica, genética, mental, económica, cultural ou social dessa pessoa singular.
O Titular dos Dados não está limitado a Cidadania da UE. O impacto deste facto é evidente na aplicação territorial do RGPD, acima descrita. Uma organização que procede ao tratamento de dados pessoais, no contexto de um estabelecimento na UE, significa o tratamento de dados pessoais de qualquer pessoa singular identificável, independentemente da localização física da pessoa singular, desde que o tratamento seja realizado no contexto do estabelecimento. Uma organização que não esteja estabelecida na UE, mas que ofereça bens ou serviços a um Titular de Dados localizado na UE também está sujeita ao RGPD. Atenção que, neste caso, para além da sua aplicação a uma pessoa singular, também exige que a pessoa singular esteja fisicamente presente na UE.
O que é considerado como “dados pessoais”?
O RGPD define os Dados Pessoais como qualquer informação relativa a um indivíduo natural identificado ou identificável; ou seja, informações que podem ser usadas por si só ou em conjunto com outros dados, para identificar o Titular dos Dados. Entenda-se a abrangência extremamente ampla desta definição. Os Dados Pessoais agora incluem não só os dados que são comumente considerados de natureza pessoal (por exemplo, números de segurança social, nomes, endereços físicos, endereços de e-mail), mas também dados como endereços IP, dados comportamentais, dados de localização, dados biométricos, informações financeiras e muito mais. Isto significa que, para os utilizadores da PandaDoc, as informações que uma organização recolhe sobre os seus assinantes e os contactos serão consideradas Dados Pessoais ao abrigo do RGPD. Também é importante referir que mesmo os Dados Pessoais que tenham sido “apresentados sob pseudónimo” podem ser considerados como Dados Pessoais se esse pseudónimo puder ser associado a qualquer sujeito em particular, por isso devem ser tomados os devidos cuidados ao avaliar a sua aplicação. A classificação de dados como Dados Pessoais ao abrigo do RGPD requer que as Organizações cumpram determinados deveres e obrigações relacionadas com o que se pode designar por transparência envolvendo a utilização desses Dados Pessoais – e isto inclui a sua segurança.
Categorias Especiais de dados, como informações de saúde ou informações que revelam a origem racial ou étnica da pessoa, exigem uma proteção ainda maior ao abrigo do RGPD. Uma organização não deve armazenar dados desta natureza na sua conta PandaDoc.
O que significa “tratar” os dados?
O tratamento ao abrigo do RGPD é “qualquer operação, ou conjunto de operações, que seja efetuada sobre os dados pessoais, ou conjuntos de dados pessoais, quer por meios automatizados, tais como recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição”. Basicamente, se a sua organização estiver a recolher, gerir ou utilizar os dados pessoais dos Titulares dos Dados, então está a tratar dados pessoais da UE nos termos descrito pelo RGPD. Isto significa que, por exemplo, se a PandaDoc conter o endereço de e-mail, nome ou outros dados pessoais de qualquer Titular dos Dados, a sua organização está a tratar os dados pessoais da UE ao abrigo do RGPD. A aplicação do RGPD, evidentemente, depende do cumprimento dos limiares relativos aos requisitos territoriais, acima descritos.
Atenção que, mesmo que a sua organização entenda que o RGPD não tem implicações no seu negócio, o RGPD e os seus princípios subjacentes podem ser importantes. O direito europeu tende a definir a tendência para a regulação internacional da privacidade, e uma maior consciência da privacidade neste momento pode dar-lhe uma vantagem competitiva mais tarde.
Quem trata os Dados Pessoais ao abrigo do RGPD?
Se uma organização “trata” os dados pessoais, realiza esta ação como Controlador ou Processador, e existem diferentes deveres e obrigações para cada um. O Controlador é a organização que determina os fins e os meios do tratamento dos dados pessoais. O Controlador também determina os dados pessoais específicos que são recolhidos do titular dos dados para o tratamento. O Processador é a organização que trata os dados em nome do controlador. Entenda-se o Processador como um prestador de serviços ou o fornecedor da relação.
O RGPD não alterou as definições determinantes de Controlador e Processador incluídos na Diretiva, mas alargou as responsabilidades de cada entidade. Os Controladores mantêm a responsabilidade principal pela proteção de dados (incluindo, por exemplo, a obrigação de denunciar violações de dados às autoridades da proteção de dados); no entanto, o RGPD também coloca algumas responsabilidades diretas ao Processador. É importante compreender se a sua organização está a atuar como Controlador ou Processador, e familiarizar-se com as suas responsabilidades em conformidade.
No contexto da aplicação PandaDoc e dos nossos serviços relacionados, na maioria das circunstâncias, os nossos clientes atuam como o Controlador. Os nossos clientes, por exemplo, decidem que informações dos seus contactos ou assinantes são carregados ou transferidos para a sua conta PandaDoc. Como é que a PandaDoc trata os Dados Pessoais abaixo descritos.
Como é que a PandaDoc cumpre o RGPD?
A PandaDoc leva o cumprimento do RGPD muito a sério e iniciou a preparação do RGPD muito antes da sua entrada em vigor. Fazendo parte deste processo, revemos (e atualizámos sempre que necessário) todos os nossos processos, procedimentos, sistemas e documentação internos, para garantir que estávamos preparados quando o RGPD entrasse em vigor. O cumprimento não é uma realização estática, obrigando a uma monitorização perante alterações de circunstâncias e requisitos legais.
Uma mudança recente envolve a decisão do Tribunal de Justiça da União Europeia (“CJEU”) que é referida como o acórdão Schrems II. Esta decisão gira em torno da transferência de Dados Pessoais dos Estados-Membros da UE para países terceiros, como os Estados Unidos. O RGPD, tal como a Diretiva, não contém qualquer requisito específico de que os Dados Pessoais dos cidadãos da UE sejam armazenados apenas nos Estados-Membros da UE. Pelo contrário, o RGPD exige que determinadas condições sejam cumpridas antes da transferência de Dados Pessoais para fora da UE, identificando vários fundamentos jurídicos em que as organizações podem confiar para realizar essas transferências de dados. Um fundamento jurídico para a transferência de Dados Pessoais definido no RGPD é uma “decisão de adequação”. Uma decisão de adequação é uma decisão da Comissão Europeia de que existe um nível de proteção adequado para os Dados Pessoais no país, território ou organização para onde estão a ser transferidos. O acórdão Schrems II invalidou a decisão de adequação da transferência de dados transatlânticos para os Estados Unidos, conhecido como o Privacy Shield II (Escudo da Privacidade). Outro impacto que resulta deste acórdão envolve a utilização de “cláusulas contratuais padrão” (SCCs) entre o controlador ou o processador e o controlador, processador ou o destinatário dos dados pessoais do país terceiro ou organização internacional. As SCCs são um fundamento jurídico comumente invocado no título “garantias adequadas”, onde a transferência de dados pessoais só pode ocorrer se estiverem reunidas garantias adequadas e que estão disponíveis direitos executórios do sujeito dos dados e recursos legais eficazes. Em cada circunstância que o Tribunal de Justiça da UE manteve a validade desta salvaguarda, estabeleceu determinadas condições para a sua utilização.
A PandaDoc está comprometida em cumprir as disposições do acórdão Schrems II, bem como outros mandatos jurídicos futuros, e está a acompanhar os desenvolvimentos, particularmente no que diz respeito às publicações de orientação do Conselho Europeu da Proteção de Dados e aos pareceres da Autoridade de Supervisão.
De acordo com a nossa política, estamos preparados para responder a quaisquer solicitações feitas pelos nossos clientes relacionados com os seus direitos individuais alargados ao abrigo do RGPD. De um modo geral, incluem-se:
- Direito a ser esquecido: o utilizador pode encerrar a sua conta PandaDoc a qualquer momento.
- Direito de oposição: o utilizador pode optar ativamente por recusar a inclusão dos seus dados em qualquer projeto de ciência de dados.
- Direito à retificação: o utilizador pode aceder e atualizar as definições da sua conta PandaDoc a qualquer momento para corrigir ou completar as informações da sua conta. O utilizador também pode contactar a PandaDoc a qualquer momento para aceder, corrigir, alterar ou eliminar as informações detidas sobre si.
- Para exercer os seus direitos de privacidade pessoal, escolha a localização aplicável: UE (RGPD e RGPD do Reino Unido) e resto do mundo, Califórnia, EUA, Brasil.
- Direito de portabilidade: o utilizador pode solicitar a transferência dos dados da sua conta para terceiros a qualquer momento.
Como é que a PandaDoc trata os Dados Pessoais?
A PandaDoc, assim como qualquer outro negócio, utiliza sub-processadores terceiros para prestar diversas funcionalidades do negócio, como análises do negócio, infraestrutura na nuvem, notificações por e-mail, pagamentos e suporte ao cliente. Antes de se envolver com qualquer sub-processador terceiro, a PandaDoc realiza as devidas diligências para avaliar a sua disposição defensiva e celebra um acordo que exige que cada sub-processador mantenha as práticas de segurança mínimas aceitáveis. Enumeramos os nossos Sub-processadores numa página em separado. Esta página será sempre atualizada, pelo que deve ser consultada com regularidade.
O utilizador deve cumprir o RGPD?
Conforme descrito acima, o RGPD tem um amplo alcance extra-territorial, pelo que deve ser dada a devida consideração à sua aplicação nos negócios da sua organização. Nunca é demais sublinhar que deve procurar aconselhamento jurídico e orientação profissional relativamente ao âmbito total dos deveres de conformidade das suas organizações ao abrigo do RGPD.
O que acontece se o utilizador não estiver em cumprimento?
O incumprimento do RGPD pode resultar em enormes sanções financeiras. As sanções para o incumprimento podem ir até 20 Milhões de Euros ou 4% do volume de negócios anual global, consoante o que for mais elevado.
Por onde devo começar?
Incluímos a tabela abaixo para ajudar os nossos clientes a pensar no RGPD e nas suas responsabilidades E de que forma é que a PandaDoc entra na equação. Esta lista não é exclusiva, nem detalhada.
| Exigências do RGPD | Referência do RGPD | Agente(s) | Ações tomadas |
|---|---|---|---|
| Base Jurídica | Artigo 6.º, Artigo 11.º | Partilhado | PandaDoc: Estabelece uma base legal para o tratamento de dados pessoais. Titular dos Dados: Se a base legal for o consentimento, o Titular dos Dados autoriza a sua recolha de dados por parte da PandaDoc. |
| Tratamento dos dados pessoais de crianças | Artigo 8.º | PandaDoc | Não distingue os diferentes tipos de dados pessoais e não recolhe intencionalmente os dados pessoais de crianças. |
| Proteção de dados por defeito | Artigo 25.º | Partilhado | PandaDoc: Recolhe os dados pessoais mínimos necessários para a realização de operações comerciais normais. Cliente: Gere conteúdos na plataforma da PandaDoc. |
| Avaliações do Impacto na Proteção de Dados | Artigo 35.º | Partilhado | PandaDoc: Nomeia a equipa responsável para realizar quaisquer Avaliações do Impacto necessárias para a Proteção de Dados. Cliente: Determina o nível do conteúdo partilhado com os parceiros de negócios e pode auxiliar a PandaDoc, enquanto processador. |
| Criptografia | Artigo 32.º | Partilhado | PandaDoc e Cliente (enquanto processador): Cumprem os requisitos de segurança. Os Dados Pessoais são criptografados em trânsito e em repouso, através da criptografia AES de 256 bits. |
| Conselho Europeu da Proteção de Dados | Artigo 68.º | Partilhado | PandaDoc e Cliente (enquanto processador): Acompanhar a atividade do Conselho Europeu da Proteção de Dados |
| Inventário dos dados pessoais | Artigo 30.º | Partilhado | PandaDoc e Cliente (enquanto processador): Ter um registo de cumprimento dos requisitos da atividade de processamento. |
| Direito à eliminação | Artigo 17.º | Partilhado | PandaDoc: Nomeia a equipa responsável para dar resposta à execução deste Direito. Titular dos Dados: Exerce o seu direito de eliminação conforme previsto pela PandaDoc. |