GDPR e Gestão de Visitantes: Um Guia Prático

Se é proprietário de uma empresa, deve certamente ter ouvido falar da GDPR. É este elaborado regulamento de protecção de dados que entrou em vigor em 2018 e afecta as empresas da União Europeia (e não só). Essencialmente, trata-se de proteger os dados pessoais das pessoas e de garantir que as empresas os recolhem e processam correctamente.

Até agora, já tomou certamente algumas medidas necessárias para proteger a sua rede, mas já pensou na sua gestão de visitantes? Ao mesmo tempo que se mantém a par de quem entra e sai no seu negócio, é muito importante certificar-se de que também está a seguir as regras do GDPR.

Há muitas formas diferentes de gerir os visitantes. Quer esteja a utilizar registos em papel ou um sistema digital, é crucial ter uma estratégia sólida para se certificar de que está a recolher e tratar os dados pessoais dos visitantes de uma forma legal.

Neste artigo abordaremos as seguintes questões:

O Regulamento Geral de Protecção de Dados (GDPR) é a lei mais rigorosa do seu género. Tem tudo a ver com dar aos indivíduos mais controlo sobre os seus dados pessoais e a forma como são processados. Aplica-se a qualquer organização que processe os dados pessoais de indivíduos na União Europeia (UE), independentemente do local onde a organização está localizada.

Para garantir que as empresas estão a cumprir as regras, a GDPR estabeleceu 7 princípios que as organizações devem seguir ao recolher, utilizar e armazenar dados pessoais. Estes princípios são:

Licitude, equidade e transparência

Os dados pessoais devem ser tratados de forma transparente, sem infringir quaisquer leis ou regulamentos. As organizações têm de pedir autorização para utilizar e armazenar dados pessoais. Isto significa explicar às pessoas exactamente para que serão utilizados os seus dados pessoais, e dar-lhes a opção de concordar ou recusar.

Limitação da finalidade

As organizações devem ter uma finalidade clara de recolha de dados pessoais, tais como fins de segurança ou de marketing.

Minimização de dados

As empresas só devem recolher os dados pessoais efectivamente necessários para um fim específico. Por exemplo, se uma organização estiver a recolher dados pessoais para fins de segurança, deverá apenas solicitar as informações de que necessita para garantir a segurança dos seus sistemas e instalações.

Precisão dos dados

Os dados pessoais que uma empresa recolhe e processa devem ser exactos e actualizados.

Limitação de armazenamento

Os dados pessoais não podem ser conservados por mais tempo do que o necessário para o fim específico para o qual foram recolhidos.

Integridade e confidencialidade

As organizações devem tomar medidas apropriadas para proteger os dados que recolhem e tratam. Isto significa que devem dispor de salvaguardas para impedir o acesso não autorizado aos dados pessoais, e para garantir que os dados não sejam perdidos, danificados, ou de outra forma comprometidos. Por exemplo, uma organização poderá utilizar encriptação para proteger os dados pessoais que são transmitidos através da Internet, ou poderá implementar procedimentos de login seguros para impedir o acesso não autorizado aos dados pessoais armazenados nos seus servidores.

Responsabilidade

As organizações devem assumir a responsabilidade pela forma como recolhem, utilizam, e armazenam dados pessoais. Devem ter processos em vigor para assegurar que estão a cumprir o GDPR. Para ajudar na responsabilização, algumas organizações podem nomear um responsável pela protecção de dados (RPD), que é responsável pela supervisão das práticas de protecção de dados.

O GDPR também confere certos direitos aos indivíduos. O mais conhecido é o “direito a ser esquecido”, o que significa que as pessoas podem decidir que os seus dados sejam apagados. Além disso, todas as pessoas têm o direito de aceder aos seus dados pessoais e de saber como estão a ser utilizados, de transferir os seus dados para diferentes serviços e de se opor a que os seus dados sejam utilizados para determinados fins (como o marketing directo). E se alguma vez houver uma violação de dados, as pessoas têm o direito de ser notificadas a esse respeito.

Princípios do GDPR

A GDPR foi introduzida em resposta a preocupações crescentes sobre a forma como os dados pessoais são recolhidos, utilizados e armazenados pelas organizações. Com a Internet e as tecnologias digitais a dominar o mundo, havia uma grande quantidade de dados pessoais a flutuar e as pessoas estavam preocupadas com o que lhe poderia acontecer. Foram manifestadas preocupações quanto ao potencial de utilização indevida, bem como quanto aos riscos de violação de dados e outros incidentes de segurança.

Ao estabelecer regras e directrizes claras, e ao dar aos indivíduos um maior controlo sobre os seus dados pessoais, o GDPR pretende responder a estas preocupações.

Primeiro, os Estados Unidos não têm uma lei que seja equivalente à GDPR. Contudo, têm um monte de leis federais e estatais que regulam a recolha, utilização e armazenamento de dados pessoais, tais como informações de saúde, relatórios de crédito e dados de crianças. Existem também algumas leis estaduais que tratam da protecção de dados, como a Lei da Privacidade do Consumidor da Califórnia (CCPA).

Mas mesmo que os EUA não tenham uma lei que seja exactamente igual à GDPR, as organizações americanas que fazem negócios na UE ainda precisam de seguir a GDPR - e isto aplica-se a empresas em qualquer parte do mundo. A lei aplica-se a qualquer organização que processe os dados pessoais de indivíduos na UE, independentemente da sua localização.

O que acontece se não se cumprir?

Se uma empresa não cumprir com o GDPR, pode ser atingida com pesadas penalizações. Estas podem incluir multas, ordens para parar o processamento ou apagar dados pessoais, ou mesmo uma suspensão das actividades de processamento de dados.

Várias multas GDPR foram impostas a várias organizações, incluindo empresas de tecnologia, bancos e outras empresas.

Estes são apenas alguns exemplos:

Em 2019, o Google foi multado em 50 milhões de euros pela autoridade francesa de protecção de dados (CNIL) por não ter sido suficientemente clara sobre as suas práticas de protecção de dados.
Em 2020, a British Airways foi multada em 20 milhões de libras pela autoridade britânica de protecção de dados (ICO) por uma violação de dados que expôs os dados pessoais de cerca de 500.000 clientes.
Em 2021, a autoridade britânica de protecção de dados (ICO) multou o grupo hoteleiro Marriott International em £18,4 milhões por uma violação de dados que expôs os dados pessoais de cerca de 339 milhões de hóspedes.

Conclusão: é importante que as organizações levem a sério o GDPR, se não quiserem acabar com uma grande multa.

A conformidade da GDPR é particularmente importante para sistemas de gestão de visitantes porque estes sistemas normalmente recolhem, utilizam e armazenam os dados pessoais dos indivíduos que visitam as instalações de uma organização.

Alguns dos principais requisitos da GDPR que são relevantes para os sistemas de gestão de visitantes são:

Obtenção de consentimento explícito antes da recolha, utilização, ou armazenamento de dados pessoais
Fornecer informação clara e abrangente sobre como os dados serão utilizados
Medidas de implementação para proteger os dados pessoais
O direito dos indivíduos de aceder, corrigir ou apagar os seus dados pessoais
O direito dos indivíduos à portabilidade dos dados, o que lhes permite obter e reutilizar os seus dados pessoais para os seus próprios fins através de diferentes serviços

É importante que os sistemas de gestão de visitantes cumpram estes requisitos a fim de assegurar que os dados pessoais dos indivíduos sejam protegidos e que os direitos dos indivíduos sejam respeitados.

Leia mais
Como começar com o registo digital de visitantes em menos de 30 minutos.
Frio e impessoal? Apenas para grandes empresas? 5 mitos sobre gestão digital de visitantes.

Quer esteja a utilizar um livro de visitas em papel ou uma solução digital de gestão de visitantes, os dados dos visitantes devem ser tratados e armazenados de acordo com a GDPR. Em geral, uma folha de sinalização em papel deitada no seu balcão de recepção pode colocar alguns problemas a este respeito.

Problemas que podem surgir:

Se a folha de entrada for deixada insegura e acessível a indivíduos não autorizados, qualquer pessoa pode ver os dados dos visitantes anteriores no seu diário de bordo.
A recolha apenas de dados relevantes de diferentes tipos de visitantes pode revelar-se difícil quando se utilizam folhas de registo em papel.
Se recolher grandes quantidades de dados pessoais, não é fácil fornecer informações claras e completas aos indivíduos sobre a forma como os seus dados serão utilizados.
É impossível garantir que a informação dos hóspedes é armazenada em segurança: o papel pode ser facilmente roubado, fotografado ou colocado no local errado.
As organizações devem ser capazes de apagar dados específicos dos visitantes mediante pedido. Isso pode ser complicado quando se utilizam registos em papel.

A fim de assegurar o cumprimento da GDPR, as empresas podem considerar a implementação de alternativas mais seguras a um registo em papel, tais como sistemas electrónicos de gestão de visitantes que permitam a recolha e armazenamento de dados pessoais de uma forma mais segura e transparente.

Leia mais
Melhorar a segurança e a protecção na sua empresa? Aqui estão 7 formas em que os sistemas de gestão de visitantes podem ajudar.
Acabou o tempo para o diário de visitas em papel: 7 razões para substituir o seu diário de bordo em papel em 2023.

Como pode garantir que o seu VMS está em conformidade?

Há uma série de passos que as organizações podem tomar para assegurar que o seu sistema de gestão de visitantes está em conformidade com a GDPR:

1. Peça o seu consentimento

A GDPR exige que as organizações obtenham o consentimento explícito dos indivíduos antes de tratarem os seus dados pessoais. Assegure-se de que o seu VMS permite aos visitantes confirmar que leram a política de privacidade, ou oferece opções para as quais os dados podem ser armazenados.

2. Fornecer informação

O GDPR declara que os indivíduos têm o direito legal de saber o que pretendem fazer com os seus dados. Como organização, é da sua responsabilidade ser franco e claro sobre como os seus dados serão utilizados, para que finalidade e durante quanto tempo serão armazenados.

3. Recolha apenas o que necessita

Seja selectivo acerca da informação que recolhe: só pode recolher o que realmente precisa. Para agilizar o processo de check-in, tente criar procedimentos específicos para diferentes tipos de convidados. Por exemplo, pode ser necessário recolher detalhes de segurança para pessoas que necessitam de acesso a áreas seguras, mas para a entrega de alimentos, pode ser necessário apenas o nome da empresa.

4. Controlo de quem tem acesso

As organizações devem implementar medidas apropriadas para proteger os dados pessoais. Uma forma de manter os dados dos seus visitantes a salvo de olhares curiosos é através da implementação de controlo de acesso, para que apenas o pessoal autorizado possa aceder aos seus dados.

5. Descodificar informação

Os sistemas de gestão de visitantes baseados em nuvens fornecem uma forma segura de armazenar dados. Utilizam bases de dados encriptadas e transferências web HTTPS para proteger contra o acesso não autorizado.

6. Respeitar os direitos dos indivíduos

Lembre-se, os visitantes podem retirar o seu consentimento em qualquer altura. Como empresa, deve poder remover, anonimizar ou alterar os seus dados mediante pedido. Alguns sistemas de gestão de visitantes permitem-lhe manter um registo da visita mas remover informações de identificação como o nome e a empresa do visitante.

7. Manter um registo das actividades de processamento de dados

Como organização, é obrigado a manter registos das suas actividades de processamento de dados. Que tipo de dados está a recolher? Para que é que os está a utilizar? E com quem os está a partilhar?

Os sistemas de gestão de visitantes são um instrumento importante para as organizações que precisam de manter um registo das pessoas que visitam as suas instalações. Seguindo os passos acima referidos, as organizações podem assegurar que o seu sistema de gestão de visitantes está em conformidade com a GDPR e que estão a proteger os dados pessoais dos seus visitantes de acordo com os requisitos da lei.

Vizito leva a sério a protecção de dados. As seguintes características garantem que a sua empresa estará em conformidade com a GDPR ao recolher os dados dos visitantes:

Obter o consentimento dos seus visitantes
Escolha quem tem acesso aos dados dos visitantes
Configurar diferentes tipos de visitantes, para garantir que apenas recolhe a informação de que necessita
Definir quando a informação do visitante será automaticamente removida
Todos os dados são armazenados em segurança nos servidores Vizito

Para ter uma ideia de como um sistema moderno de gestão de visitantes pode ajudar o seu negócio a crescer, experimente Vizito gratuitamente durante um 14 dias de teste. Converse connosco ou marque uma demonstração para discutir como Vizito pode ajudá-lo a melhorar a sua recepção.

Tem mais perguntas? Estas são as 7 perguntas mais comuns sobre gestão digital de visitantes - e as nossas respostas.