Regulamento geral da UE relativo à proteção de dados: Cinco implicações para o setor da impressão

O regulamento geral da UE relativo à proteção de dados (GDPR) entra em vigor em maio de 2018. Se a sua organização gere dados pessoais de cidadãos da UE, deverá até essa data cumprir o regulamento, caso contrário sujeitar-se-á a penalidades que podem ir até 20 milhões de EUR ou 4% do volume de negócios global anual.

Que implicações tem então o novo regulamento para o setor da impressão? Eis cinco pontos de partida importantes:

1. Compreender a diferença entre “Controlador de Dados” e “Processador de Dados”
O primeiro passo para qualquer empresa do setor da impressão é perceber se se classifica como controlador de dados ou processador de dados. Ambas as classificações comportam obrigações ao abrigo do novo regulamento. Um “controlador de dados” determina as finalidades e os meios de processamento de quaisquer dados pessoais (por exemplo, um banco) e um “processador de dados” processa esses dados pessoais em nome do controlador (por exemplo, uma empresa de impressão).

As organizações, independentemente da classificação, poderão ter de nomear um responsável pela proteção de dados (DPO). Colaborando com outros departamentos, as tarefas do DPO incluem a monitorização do cumprimento do GDPR, a prestação de aconselhamento e informações à organização e aos seus funcionários sobre as suas obrigações e a atuação como ponto de contacto das autoridades de fiscalização e das pessoas cujos dados são processados.

2. Registos das atividades processadas
Ao abrigo do novo regulamento, tanto os controladores de dados como os processadores de dados são obrigados a manter registos das atividades de processamento de dados e a disponibilizar esses registos às autoridades de fiscalização, quando solicitado.

Como devem os processadores de dados acompanhar o fluxo de dados? Uma forma poderá ser a realização de exercícios de levantamento que proporcionem uma visão abrangente dos dados que são recolhidos, processados e retidos e que acompanhem o fluxo dos dados entre as unidades de negócio e os processadores secundários ou terceiros. Estes exercícios de levantamento deverão também ser repetidos, caso ocorram mudanças na forma como os dados são recolhidos ou nos sistemas, processos ou procedimentos durante o ciclo de vida dos dados.

3. Direitos individuais
É essencial proceder a uma supervisão e acompanhamento dos dados pessoais a fim de respeitar os direitos individuais, agora reforçados com o GDPR, o que poderá incluir o direito a ser informado, o direito à portabilidade dos dados e o direito à supressão (também designado como “direito a ser esquecido”).

Imaginemos que um indivíduo deseja que os seus dados pessoais sejam suprimidos ou, se adequado, que o processamento dos dados seja interrompido. As empresas de impressão, ou processadores de dados, poderão ter de prestar assistência aos controladores de dados com solicitações de acesso. Para tal, os processadores de dados teriam de localizar dados pessoais específicos para eliminação ou destruição, a pedido de um controlador de dados ou pessoa individual.

4. Segurança e privacidade asseguradas de raiz
O novo período definido no GDPR para notificação de violações dos dados, que concede aos controladores de dados 72 horas para comunicar violações de dados às autoridades de fiscalização, mereceu uma atenção significativa. O GDPR exige ainda que os processadores de dados notifiquem os controladores de dados de qualquer violação de dados pessoais, sem demora injustificada.

Para evitar as coimas e os prejuízos à reputação que uma violação de dados pode acarretar, o setor da impressão deve manter um nível de segurança superior ao existente até aqui. As empresas de impressão devem adotar medidas técnicas e organizativas apropriadas a fim de assegurar um nível de segurança adequado ao risco.

Com o advento da Internet das Coisas e mais dispositivos sem fios com acesso a redes, surgiram novas ameaças no domínio da cibersegurança que têm impacto na tecnologia das impressoras. As impressoras e os dispositivos inteligentes modernos exigem uma abordagem a vários níveis à segurança que inclui a prevenção de intrusão, a deteção de dispositivos, a proteção de documentos e dados e parcerias externas com especialistas em segurança. É imperativo proteger os dados pessoais, designadamente através de encriptação. Quando os dados deixam de ser necessários, devem ser devidamente apagados.

Além disso, as características dos produtos, como o controlo do acesso (assegurando que só os utilizadores autorizados tenham acesso aos dispositivos de impressão) e a impressão segura (apenas libertando documentos para impressão quando o utilizador insere o seu número PIN único) ajudam a resolver as preocupações de segurança.

Como a tarefa de verificar a segurança é cada mais onerosa, é provável que comecem a surgir com mais frequência nos contratos acordos sobre os níveis de serviço (ANS), incluindo o compromisso para com a encriptação dos dados e a autenticação de dois fatores.

5. Consolidação de redes
Muitos projetos de impressão transacional utilizam múltiplos parceiros em campanhas de marketing direto complexas (um agente para encartes, outro para cartas, outro para compilação, etc.), o que reduz o controlo dos conteúdos e aumenta o risco de exposição.

Os requisitos do GDPR poderão resultar num aumento dos negócios dos fabricantes de equipamentos originais de maior dimensão. Os clientes poderão dar preferência à segurança de um balcão único que administre processadores secundários em todas as localizações geográficas e forneça infraestruturas, segurança e reporte automático num ambiente controlado.

Com menos de um ano até o GDPR entrar em vigor, chegou o momento de nos prepararmos para as mudanças significativas que o mesmo introduzirá no setor da impressão. É altura de as organizações de impressão, e não só, avaliarem a sua atividade de processamento de dados, solicitarem aconselhamento especializado e desenvolverem uma abordagem sistemática.

Contacte-nos

Saiba como podemos ajudá-lo a atualizar os seus processos para cumprir o GDPR.

Peça-nos ajuda ›

Aviso

O conteúdo deste artigo é apresentado exclusivamente a título de informação geral e não se destina a ser usado como um substituto de aconselhamento ou pareceres jurídicos específicos. A Xerox declina toda e qualquer responsabilidade por atos ou omissões baseados no conteúdo deste artigo.

A Xerox detém uma equipa central de privacidade transfuncional incumbida de assegurar a sua prontidão operacional na qualidade de cidadão global e fornecedor de serviços. Esperamos poder cumprir plenamente as nossas obrigações de conformidade no âmbito do regulamento geral da UE relativo à proteção de dados.