A grande novidade acaba por ser o modelo de regulação. Enquanto, até aqui, as empresas que precisavam de recolher e tratar dados tinham de pedir autorização à CNPD, agora o caso muda de figura. Não é precisa autorização, mas existem regras. E é preciso ter-se a capacidade, enquanto organização, de provar que se está em conformidade. Chama-se a isso um modelo de “autorregulação”. Cada companhia tem de ser capaz de identificar os fluxos de dados que existem internamente, quer dos clientes, quer dos funcionários, quer dos fornecedores. Depois, tem de garantir que tem consentimento de todos para recolher, armazenar e usar esses dados.

Para o efeito, esse consentimento tem de ser expresso. Do género: “Precisamos dos seus dados para este fim específico. Vamos usá-los durante este período de tempo. Autoriza? Sim ou não?”. Ou seja, deixa de ser legal a via seguida por muitos até aqui, que era a de partir do pressuposto de que há consentimento, ou facilitar este processo. Deixam também de ser legais aquelas indicações de que “se está a usar o nosso site, é porque aceita que nós usemos os seus dados”, ou outras coisas do género. Agora, tem de haver um mecanismo mais apertado. Algo como “Podemos usar os seus dados? Sim? Não?”. E tem de ser o utilizador a marcar a caixa do “sim” e a dar, de forma efetiva e expressa, esse mesmo consentimento.

Fonte: https://eco.pt/especiais/rgpd-comecou-a-nova-era-da-protecao-de-dados-na-europa-saiba-o-que-mudou/