Regulamento Geral sobre a Proteção de Dados (RGPD)

O Regulamento Geral sobre a Proteção de Dados é uma lei europeia de privacidade aprovada pela Comissão Europeia em 2016 que entrou em vigor a 25 de maio de 2018. O RGPD irá substituir uma diretiva de privacidade anterior da União Europeia, conhecida como Diretiva 95/46/CE, que tem sido a base da lei europeia de proteção de dados desde 1995. O RGPD constitui uma tentativa de reforçar e modernizar a legislação da UE em matéria de proteção de dados e de melhorar os direitos e liberdades individuais, em conformidade com o entendimento europeu da privacidade como um direito humano fundamental. O RGPD regula, entre outras coisas, a forma como os indivíduos e as organizações podem obter, utilizar, armazenar e remover dados pessoais. Resumindo, está a permitir que os cidadãos e residentes da UE controlem os seus dados pessoais, simplificando simultaneamente o ambiente regulamentar para os negócios internacionais que têm lugar na UE.

Os princípios da proteção de dados incluem requisitos como:

• Os dados pessoais recolhidos devem ser processados de forma justa, legal e transparente e apenas devem ser utilizados da forma que a pessoa esperaria de forma razoável.
• Os dados pessoais só devem ser recolhidos para cumprir uma finalidade específica e devem ser utilizados apenas para essa finalidade. As organizações devem especificar a razão pela qual necessitam dos dados pessoais quando os recolhem.
• Os dados pessoais devem ser guardados apenas durante o tempo necessário para cumprir a sua finalidade.
• Os indivíduos abrangidos pelo RGPD têm o direito de aceder aos seus próprios dados pessoais. Poderão também solicitar uma cópia dos seus dados e que estes sejam atualizados, eliminados, restringidos ou transferidos para outra organização.

Que importância tem?

O RGPD acrescenta alguns requisitos novos relativamente à forma como as empresas devem proteger os dados pessoais que recolhem e processam. Aumenta também os riscos de conformidade, aumentando a fiscalização e impondo multas maiores por violação. Além destes factos, é simplesmente o mais correto de fazer. Na TaxDome acreditamos firmemente que a privacidade dos seus dados é extremamente importante e dispomos já de práticas sólidas de segurança e privacidade que vão para além dos requisitos deste novo regulamento.

Alteração de processamento de dados

Disponibilizamos uma alteração ao processamento de dados (DPA) para os nossos clientes que recolhem dados de indivíduos na UE. A nossa DPA oferece termos contratuais que cumprem os requisitos do GDPR e que refletem os nossos compromissos de privacidade e segurança de dados para com os nossos clientes.

Para assegurar que não nos são impostas condições para além do que está refletido no nosso DPA e nas Condições de Serviço, não podemos aceitar assinar os DPA dos clientes. Como somos uma equipa pequena, não podemos efetuar alterações individuais ao nosso DPA, uma vez que não dispomos de uma equipa jurídica. Quaisquer alterações ao DPA padrão exigiriam aconselhamento jurídico e muitas discussões que seriam proibitivas em termos de custos para a nossa equipa.

Se tiver alguma dúvida ou preocupação, informe-nos.

Formação e sensibilização

Formámos uma equipa central de privacidade composta por líderes de cada área do negócio TaxDome, liderada pelo nosso responsável interno pela proteção de dados (DPO). Os representantes deste grupo são os gestores de projeto que irão garantir que todos os requisitos do RGPD são abrangidos, desde o Marketing à Engenharia e às Operações de Pessoal. A equipa reúne-se uma vez por mês para discutir os progressos atuais no sentido da preparação para o RGPD e continuará a fazê-lo. Esta equipa é também responsável pelo desenvolvimento do programa de formação de sensibilização para o RGPD da TaxDome e pela validação de que todos na TaxDome compreendem e se mantêm atualizados sobre o regulamento atual.

Consentimento

Atualizámos a nossa política de cookies para lhe dar total transparência sobre o que está a ser definido quando visita o nosso website e como está a ser utilizado. Na nossa página de política de cookies, poderá também ler sobre as medidas que pode tomar para controlar a forma como o seu browser lida com os cookies.

Inventário de dados

Analisámos e identificámos todas as áreas da TaxDome onde estamos a recolher e a processar dados de clientes; categorizando e elaborando um inventário de tudo, desde cookies a conversas de apoio técnico. Utilizando esta matriz, validámos a nossa base legal para a recolha e processamento de dados pessoais e verificámos que estamos a aplicar as devidas salvaguardas de segurança e privacidade em toda a nossa infra-estrutura e ecossistema de software. A nossa Política de Privacidade identifica o que estamos a fazer com os dados que recolhemos e como gerimos o consentimento.

Atualizações dos contratos dos nossos fornecedores terceirizados

Analisámos a nossa lista de fornecedores terceirizados e realizámos uma análise aprofundada da sua conformidade com o RGPD. Já tínhamos DPAs em vigor com a maioria dos nossos fornecedores que disponibilizam uma versão assinada, enquanto outros adoptaram a mesma abordagem que nós e aceitaram automaticamente o DPA como parte dos Termos de Serviço.

Termos de serviço e política de privacidade claros e concisos

Na TaxDome somos transparentes internamente e acreditamos que essa transparência se estende aos nossos clientes. Com os nossos Termos de Serviço e Política de Privacidade, atualizados, descrevemos abertamente quais os dados pessoais que recolhemos, processamos, por que motivo, como os utilizamos, com quem os partilhamos e por quanto tempo os armazenamos. Esforçamo-nos sempre por manter a linguagem dos nossos Termos de Serviço e Política de Privacidade o mais clara possível e atualizámos estes comunicados para descrever a forma como respeitamos e protegemos os seus dados pessoais. Esperamos que as considere concisas, transparentes, inteligíveis e facilmente acessíveis.

Direitos individuais do titular dos dados — Acesso, portabilidade e eliminação de dados

Estamos empenhados em ajudar os nossos clientes a cumprir os requisitos de direitos do titular dos dados do GDPR. A TaxDome processa ou armazena todos os dados pessoais em fornecedores totalmente controlados e em conformidade com a DPA. Armazenamos todas as conversas e dados pessoais por um período máximo de 6 anos, excepto se a sua conta for eliminada. Nesse caso, eliminamos todos os dados de acordo com os nossos Termos de Serviço e Política de Privacidade, no entanto, não os guardaremos por mais de 60 dias.

Estamos cientes de que, se trabalha com clientes da UE, tem de lhes proporcionar a possibilidade de aceder, atualizar, recuperar e eliminar os dados pessoais. Nós ajudamo-lo! Desde o início que nos definimos como um serviço autónomo e sempre lhe concedemos acesso aos seus dados e aos dados dos seus clientes. Poderá procurar e eliminar qualquer conversa de utilizador através da nossa interface de apoio. A nossa equipa de apoio ao cliente está à sua disposição para responder a quaisquer questões que possa ter.

Avaliação de Risco (avaliações de impacto da proteção de dados)

Ter um processo de avaliação de impacto de proteção de dados gerenciado (DPIA) é um requisito para o GPDR. Um processo DPIA constitui simplesmente uma forma de nos ajudar a identificar e minimizar os riscos da proteção de dados de um projeto. A equipa de engenharia da TaxDome sempre se submeteu a diligências de segurança e privacidade ao tomar decisões sobre as ferramentas e a implementação, pelo que este requisito não é difícil para nós. Sempre que introduzimos uma alteração na forma como lidamos com dados pessoais, passamos algum tempo a discutir o potencial impacto nos clientes TaxDome e os possíveis riscos de privacidade e segurança para os dados pessoais. Se for identificado algum risco, por mais pequeno que seja, as nossas equipas de produto e de engenharia irão colaborar numa solução que irá mitigar o risco de privacidade e segurança dos dados para qualquer indivíduo que interaja com a plataforma TaxDome. Continuaremos a executar este processo de avaliação de risco à medida que expandimos as ofertas da TaxDome.

Gestão de violações

Já dispomos de um plano de gestão e comunicação de violações para apoiar os requisitos da HIPAA tendo atualizado este processo existente para cumprir os regulamentos do RGPD relativos ao processo de escalonamento e aos requisitos de notificação dos titulares dos dados.

Estamos à vossa disposição

Temos vindo a trabalhar com os nossos clientes para responder a quaisquer questões e resolver quaisquer preocupações relativamente à forma como protegemos os seus dados pessoais e nos preparamos para o RGPD. Se tiver alguma dúvida, não hesite em contactar-nos.