Regulamento Geral sobre a Proteção de Dados (RGPD)
O Regulamento Geral sobre a Proteção de Dados é o quadro jurídico europeu que regula a recolha, o tratamento e a conservação de dados pessoais. Em vigor desde 25 de maio de 2018, aplica-se a qualquer organização que trate dados de residentes europeus, com coimas que podem atingir 4 % do volume de negócios mundial anual.
O RGPD transformou profundamente a forma como as empresas gerem os dados pessoais na Europa e no resto do mundo. Estabelece seis princípios fundamentais: licitude, lealdade e transparência; limitação das finalidades; minimização dos dados; exatidão; limitação da conservação; e integridade e confidencialidade. Cada organização deve poder demonstrar a sua conformidade a qualquer momento.
Para os profissionais de KYC e conformidade, o RGPD cria um equilíbrio delicado entre a obrigação de verificar a identidade dos clientes (imposta pelas diretivas de combate ao branqueamento de capitais) e a necessidade de proteger os seus dados pessoais. As empresas devem definir bases jurídicas claras para cada tratamento, implementar prazos de conservação proporcionados e garantir os direitos dos titulares dos dados.
As autoridades de proteção de dados (CNPD em Portugal, CNIL em França, BfDI na Alemanha) supervisionam a aplicação do regulamento e podem aplicar sanções consideráveis. Em 2023, a Meta recebeu uma coima recorde de 1,2 mil milhões de euros pela transferência ilegal de dados para os Estados Unidos, ilustrando o alcance extraterritorial do texto.
Regulações
Exemplos concretos
- 1.Um banco online deve obter o consentimento explícito dos seus clientes antes de partilhar os dados KYC com um prestador externo de verificação de identidade, e documentar esta base jurídica no seu registo de atividades de tratamento.
- 2.Uma seguradora recebe um pedido de acesso aos dados de um cliente: deve fornecer uma cópia completa de todas as informações conservadas no prazo de um mês, incluindo os resultados de verificação de identidade.
- 3.Uma fintech deteta uma violação de dados que afeta 5.000 utilizadores: dispõe de 72 horas para notificar a autoridade de controlo e informar as pessoas afetadas se o risco for elevado.