Em 25 de maio de 2018, o Regulamento Geral sobre a Proteção de Dados (RGPD) tornou-se o principal quadro jurídico para a proteção de dados na UE. Nos termos do RGPD, os cidadãos da UE devem dar o seu consentimento para o tratamento dos seus dados pessoais e os responsáveis pelo tratamento de dados devem cumprir requisitos rigorosos para obter esse consentimento. De facto, as condições para a obtenção do consentimento foram fundamentalmente redefinidas em relação à anterior diretiva relativa à proteção de dados. Além disso, o GDPR exige que os responsáveis pelo tratamento de dados tenham contratos em vigor com todos os seus processadores de dados (ou seja, um serviço externo que processa dados pessoais em nome do responsável pelo tratamento). Em ambos os casos, as assinaturas electrónicas são um meio adequado para cumprir o RGPD.
O RGPD aplica-se a qualquer empresa que forneça bens ou serviços a cidadãos da UE e trate dados pessoais como responsável pelo tratamento de dados ou subcontratante, independentemente da dimensão, localização ou sector de atividade da empresa. Se forem afectadas por uma violação de dados, as organizações que não cumprirem o RGPD serão sujeitas a coimas até 20 milhões de euros ou 4% das receitas anuais, consoante o valor mais elevado.
Consentimento RGPD
O RGPD define consentimento como “qualquer manifestação de vontade, livre, específica, informada e explícita, pela qual a pessoa em causa aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”.
Como mencionado no guia de consentimento da Agência Espanhola de Proteção de Dados (AEDP), os responsáveis pelo tratamento de dados devem rever os seus mecanismos de consentimento para garantir que cumprem os requisitos do RGPD para serem específicos, independentes, claros, proeminentes, habilitados, documentados e facilmente removíveis.
Apresentam-se de seguida nove pontos fundamentais:
- Separado: os pedidos de consentimento devem ser separados de outros termos e condições. O consentimento não deve ser uma condição prévia para se registar num serviço, a menos que seja necessário para esse serviço.
- Opção de opt-in ativa: as caixas de opt-in previamente assinaladas são inválidas. Utilize caixas de verificação não activadas ou métodos de aceitação ativa semelhantes (por exemplo, uma opção binária com peso igual).
- Separado: se for caso disso, prever opções separadas para dar consentimento separado a diferentes tipos de tratamento.
- Nomeado: nomeie a sua organização e qualquer terceiro que dependa do consentimento; mesmo categorias definidas de organizações terceiras não serão aceitáveis ao abrigo do RGPD se a organização não for nomeada.
- Documentado: manter registos que demonstrem o que um indivíduo consentiu, incluindo o que lhe foi dito, quando e como o consentiu.
- Facilidade de retirada: informar as pessoas de que têm o direito de retirar o seu consentimento em qualquer altura e de como o fazer. Deve ser tão fácil de remover como de mimar. Isto significa que as organizações terão de dispor de mecanismos simples e eficazes de retirada do consentimento.
Estes requisitos estabelecem um padrão elevado para o consentimento do RGPD, mas, por sua vez, ajudam a criar confiança, a melhorar a marca e a reputação e a evitar coimas definidas pelo RGPD.
Assinaturas electrónicas de consentimento
Qualquer organização que esteja a avaliar os seus mecanismos de consentimento para cumprir o RGPD deve considerar a utilização de assinaturas electrónicas, especialmente quando lida com dados de alto risco, como informações financeiras pessoais ou registos médicos. As assinaturas electrónicas proporcionam uma solução segura, auditável e fácil de utilizar para cumprir os requisitos de consentimento do RGPD. Esta tecnologia é um método adequado para os responsáveis pelo tratamento de dados tratarem os dados:
- Obter o consentimento.
- Cumprir o requisito de aceitação ativa.
- Demonstrar pormenores sobre a forma como o consentimento foi obtido, incluindo o consentimento, quando e por quem.
A tecnologia de assinatura eletrónica permite obter o consentimento do cliente a partir de qualquer dispositivo. Ao suportar diferentes métodos de assinatura, como o click-to-sign e o click-to-start, as assinaturas electrónicas tornam a experiência do utilizador tão simples como clicar, tocar numa caixa de assinatura num documento ou escrever uma assinatura à mão num dispositivo com ecrã tátil.
É importante reconhecer que uma assinatura eletrónica é muito mais do que um método digital de captura de uma assinatura. Por detrás do ecrã está um serviço de assinatura eletrónica que capta um rasto de auditoria completa com um registo do que o signatário consentiuincluindo quando e como foi assinado.
Nos termos do RGPD, é importante poder demonstrar a conformidade após o facto. Se a sua organização não registou todas as acções relacionadas com o consentimento e não mantém registos fiáveis, corre o risco de não conseguir demonstrar a conformidade. Procure uma solução de assinatura eletrónica que registe um vestígio auditável do que foi assinado, bem como o processo exato utilizado para obter as assinaturas. Isto ajudará as equipas jurídicas e de conformidade, proporcionando visibilidade direta sobre quando e como foi realizado um processo de assinatura.
Se o consentimento tiver de ser obtido em conjunto com outros documentos, como termos e condições, uma solução de assinatura eletrónica permite separar a assinatura dos documentos e cumprir o requisito de separação do RGPD. O serviço de assinatura eletrónica também permite opções separadas nos documentos digitais, para que possa obter consentimentos separados para diferentes tipos de tratamento de dados pessoais. E, por último, quando uma organização muda de responsável pelo tratamento de dados, uma solução de assinatura eletrónica facilita o pedido de renovação do consentimento, se necessário.
O contrato do RGPD entre o responsável pelo tratamento e os subcontratantes
Quando um responsável pelo tratamento de dados recorre a um fornecedor para o tratamento de dados pessoais, O RGPD exige um contrato com termos específicos entre o responsável pelo tratamento e o processador de dados. O objetivo destes termos é garantir que este processador cumpra o RGPD e que o responsável pelo tratamento demonstre a sua conformidade com o RGPD.
A importância do contrato e o conteúdo exigido de tal contrato são descritos no Guia da AEPD para o GDPR da seguinte forma:
- “Os contratos entre responsáveis pelo tratamento e subcontratantes garantem que ambos compreendem as suas obrigações e responsabilidades. Ajudam-nos a cumprir o RGPD e ajudam os responsáveis pelo tratamento de dados a demonstrar a sua conformidade com o RGPD. A utilização de contratos pelos responsáveis pelo tratamento e subcontratantes pode também aumentar a confiança dos titulares dos dados no tratamento dos seus dados pessoais.”
- “Os contratos devem definir o objeto e a duração do tratamento, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de pessoas em causa, bem como as obrigações e os direitos do responsável pelo tratamento de dados”.
A tecnologia de assinatura eletrónica é amplamente utilizada para assinar contratos com clientes e parceiros em vários sectores e deve ser considerada para assinar contratos entre o responsável pelo tratamento e os parceiros do processador. Uma vez que pode ser necessário o consentimento de vários parceiros, procure uma solução de assinatura eletrónica que ofereça capacidades de envio em massa para automatizar o processo de envio de formulários de consentimento para um grande número de destinatários.
Conclusão
Uma das pedras angulares da sua conformidade com o RGPD é ter medidas adequadas para captar, registar e gerir o consentimento do cliente. As soluções de assinatura eletrónica, como o OneSpan Sign, fornecem um meio de cumprir os requisitos de consentimento e o requisito de contratos assinados com processadores de dados. Como subproduto da sua conformidade com o RGPD, também pode ajudar a avançar outros projectos de assinatura eletrónica na carteira de projectos da sua organização. Por isso, certifique-se de que escolhe a melhor solução da sua classe, capaz de se adaptar às suas crescentes necessidades de assinatura eletrónica, hoje e amanhã.
Artigo extraído de Security Boulevard.