Implementação RGPD
O Regulamento Geral de Proteção de Dados ( RGPD ) estabelece vários princípios fundamentais que podem ser considerados o seu núcleo. Os princípios aplicam-se a todo o processamento de dados pessoais e é importante que as empresas os entendam e apliquem de forma correta. Estes princípios deverão estar sempre presentes quando se trabalhar com processamento de dados pessoais.
Os princípios significam, entre outras coisas, que as entidades :
• devem ter uma base legal nos termos do RGPD para poder processar dados pessoais
• só podem recolher dados pessoais para finalidades específicas, explicitamente declarados e legítimos
• não devem processar mais dados pessoais do que o necessário para essas finalidades
• devem garantir que os dados pessoais sejam precisos
• devem apagar os dados pessoais quando já não são necessários
• devem proteger os dados pessoais para que pessoas não autorizadas não tenham acesso a eles e para que não sejam perdidos ou destruídos
• devem conseguir demonstrar (mostrar evidências) de tudo o que foi mencionado para justificar que o RGPD está a ser cumprido.
Os Princípios
• Legalidade, justiça e transparência
• Limitação de finalidade
• Minimização de dados
• Precisão
• Limitação de armazenamento
• Integridade e confidencialidade
• Responsabilização
Legalidade, justiça e transparência
O processamento de dados pessoais deve ser legal, justo e caraterizado pela transparência. Para que isto se verifique, devem existir justificações legais para qualquer processamento de dados pessoais. O RGPD estabelece seis fundamentos legais, dos quais pelo menos um deve ser cumprido para todas as instâncias de processamento de dados pessoais. O processamento de dados pessoais deve ser justo, apropriado, razoável e proporcional em relação aos titulares dos dados. Isto significa que devem ser ponderados os interesses do responsável de tratamento em relação aos dos titulares dos dados antes que os seus dados pessoais sejam processados. Também deve ser levado em consideração que tipo de processamento de dados pessoais os titulares de dados podem razoavelmente esperar. O processamento de dados pessoais deve ser claro e compreensível para os titulares dos dados e não deve ser realizado de maneira oculta ou manipulada. A forma de processamento dos dados pessoais deve ser clara e facilmente compreendida pelos titulares dos dados. Portanto, eles devem saber que os seus dados pessoais são recolhidos, a razão dessa recolha e como são utilizados. Os titulares dos dados também devem saber quais os direitos que têm, como por exemplo, solicitar acesso à sua informação e alterar ou apagar a mesma. Os titulares dos dados deverão ser corretamente informados sobre os processamentos que envolvam os seus dados e essa informação deve ser facilmente acessível e redigida usando linguagem clara e simples. É particularmente importante usar uma linguagem clara quando os titulares dos dados são crianças.
Limitação de finalidade
Os dados pessoais só podem ser recolhidos para fins específicos, explicitamente declarados e legítimos. Portanto, é necessário ter uma imagem clara da razão pela qual é necessário processar os dados pessoais antes de começar a recolhê-los. Os propósitos estabelecem limites para o que é permitido fazer, por exemplo, quais os dados que podem ser processados e por quanto tempo irão ser retidos. Os objetivos devem ser específicos e concretos, não vagos ou imprecisos. Por exemplo, não é suficiente declarar “verificações” como o objetivo do registo e vigilância sem também declarar o objetivo das verificações. O objetivo das verificações pode ser a vigilância por motivos técnicos ou de segurança ou o acompanhamento de regras internas. Também não é normalmente suficiente para o seu objetivo ser apenas “melhorar a experiência dos utilizadores”, “segurança de TI” ou “investigação futura”. Estes são muito amplos e os titulares dos dados não podem avaliar todo o envolvimento desse processamento de dados pessoais. O objetivo também deve ser legítimo. Isso significa que o processamento de dados pessoais deve ter uma base legal nos termos do RGPD e ser realizado de acordo com outra legislação aplicável e princípios gerais de direito.
Os titulares dos dados têm o direito de saber como são processados os seus dados pessoais deles, ou seja, quais são os objetivos. Os objetivos dos processamento de dados pessoais deverão ser documentados para que se possa demonstrar que se está a cumprir o princípio de responsabilidade.
Minimização de dados
Os dados pessoais processados devem ser adequados, relevantes e não muito extensos em relação à finalidade. Nunca se devem processar mais dados pessoais do que o necessário e os dados pessoais processados devem estar claramente conectados ao objetivo. Por outras palavras, não é permitido recolher dados pessoais para necessidades futuras indefinidas, justificando com “É sempre bom ter..“
Precisão
Os dados pessoais processados devem ser precisos e, se necessário, atualizados. Se os dados pessoais forem imprecisos, devem ser retificados ou apagados. Portanto, é importante que sejam criados procedimentos para corrigir e remover dados pessoais imprecisos, por exemplo, se um titular de dados solicitar um mais dos seus direitos de acesso.
Limitação de armazenamento
Os dados pessoais só podem ser retidos pelo tempo necessário ao seu processamento. Quando os dados pessoais já não são necessários para uma finalidade, os mesmos devem ser apagados ou anonimizados. Portanto, devem ser estabelecidos procedimentos para apagar dados pessoais, fazendo verificações regulares ou apagando os mesmos após um certo período de tempo. Em certos casos, devem-se reter documentos que contêm dados pessoais, mesmo depois de terminar a sua utilização. Isto aplica-se por exemplo a dados fiscais cujas leis determinam por quanto tempo certos documentos devem ser retidos. Neste caso, os documentos deverão ser protegidos para que deixem de ser acessíveis nas atividades diárias . Também pode ser permitido armazenar dados pessoais depois do objetivo original já não ser relevante se for feito apenas para fins de arquivamento, no interesse público, para fins de pesquisa científica ou histórica ou para fins estatísticos. No entanto, deverão ser tomadas medidas de segurança apropriadas.
Integridade e confidencialidade
O processamento de dados pessoais deve ser devidamente protegido com medidas de segurança apropriadas. Os dados pessoais processados não deverão ser acedidos por pessoas não autorizadas. Deve ser igualmente garantido que os dados pessoais não sejam perdidos ou destruídos, por exemplo, devido a acidentes.
Devem ser estabelecidas medidas de segurança técnicas e organizativas apropriadas. As medidas técnicas incluem, por exemplo, firewalls, criptografia, pseudonimização, backups de segurança e instalação de proteção antivírus. As medidas organizativas incluem, por exemplo, procedimentos internos, instruções e políticas.
Responsabilização (Accountability)
A entidade é responsável por cumprir os princípios fundamentais relativos ao processamento de dados pessoais. Também deve ser capaz de demonstrar que está em conformidade com eles e como o faz. A conformidade pode ser demonstrada das seguintes formas :
• Fornecer informações claras aos titulares dos dados
• Manter registos de tratamento e documentar detalhadamente o processamento de dados pessoais que são realizados na organização.
• Elaborar políticas internas para proteção de dados (uma política de proteção de dados) e formar regularmente os colaboradores.
• Criar soluções amigáveis à integridade dos seus sistemas (integridade por projeto)