Com este artigo pretendemos consciencializar, abordar e levantar algumas questões para as quais as organizações devem estar preparadas para a conformidade com o RGPD. Salientamos o fato para que seja procurada ajuda técnica e legal.
É fundamental que os dados dos indivíduos sejam guardados de forma segura e que seja mantida e respeitada a sua privacidade. Quer isto dizer que devem ser armazenados na sua forma integra, só podem ser usados pela instituição a quem foram confiados e não devem estar disponíveis para terceiros.
O pensamento que nos ocorre mais frequentemente, quando falamos de segurança e brechas de segurança, são as situações de hacking (acesso indevido a sistemas e dados) e, no que se refere a violação de privacidade, pensamos em cedência de dados privados a outras empresas, nomeadamente para efeitos de marketing.
No entanto, muitasA das brechas de segurança e violações de privacidade são efetuadas dentro das organizações por quem tem permissão ou não para acesso a dados ou que enviaram informação para o destinatário errado. Por exemplo, num ginásio um dos utentes pergunta ao rececionista o numero de telefone de um dos colegas de sessão. Apesar de serem colegas e amigos o rececionista estará a provocar uma brecha de segurança e a violar a privacidade do individuo se fornecer essa informação.
Da mesma forma, se numa empresa o funcionário do escritório do departamento de vendas aceder ao arquivo do departamento de recursos humanos também está a fazer um acesso indevido e a violar a privacidade dos seus colegas de trabalho.
As organizações também são responsáveis pela forma como os dados são armazenados, pela sua segurança, pela sua veracidade e integridade.
Isto significa que as organizações devem ter sistemas e processos para evitar a perda e a corrupção de dados. Mas também, devem garantir que os dados foram inseridos de forma correta e verdadeira. Por exemplo, de uma forma simples, o registo da morada incorreta pode levar a que o individuo não receba correspondência que lhe permita liquidar o pagamento de serviços atempadamente. Numa situação mais gravosa, num jardim de infância a introdução incorreta, ou a falta dela, sobre alergias de uma criança pode por em risco a sua vida.
A falsificação ou adulteração de dados, por parte dos operadores, para obtenção de vantagem são considerados como crime. Isto levanta a problemática das plataformas digitais que permitem aos indivíduos aceder aos seus dados pessoais e corrigi-los ou atualizá-los. As instituições, além do previsto na Lei, devem estar prevenidas através das suas condições de utilização, regulamentos e estatutos, para garantir a prestação de informação verdadeira nos seus arquivos.
Os dados sensíveis devem ser armazenados de acordo com segurança adequada a sua natureza.
Durante a recolha de dados pessoais deve ser solicitado ao individuo o consentimento para que os seus dados sejam armazenados e tratados por meios informáticos. Estas opções não devem estar preenchidas nem podem ser implícitas, o individuo tem que aceitar ou acionar a opção.
Por exemplo, ao registar-se num site online e pressionar botão de registo com a indicação de que se prosseguir estará implicitamente a aceitar as condições de utilização e politicas de privacidade. É obrigatória a existência de uma opção, não preenchida, de consentimento e declaração de leitura das condições de utilização e das politicas de privacidade, que o individuo terá que acionar. A opção deve estar acompanhada para as respetivas paginas condições de utilização e das politicas de privacidade.
No ato de recolha de dados deve também ser indicado de forma transparente a utilização que será feita com os dados pessoais. Devem também ser pedido o consentimento para cada tipo de utilização dos dados. O individuo poderá consentir a utilização dos seus dados para um efeito e não para outros. A qualquer altura o individuo poderá dar ou retirar o seu consentimento.
O individuo também deve indicar ou dar o seu consentimento quanto ás formas preferenciais de comunicação. Por exemplo, poderá preferir que lhe enviem mensagens de email ao invés de chamadas telefónicas ou poderá optar pode diversas formas de comunicação.
Devem ser também dadas as opções de consentimento para os diferentes tipos de comunicação que pretende receber. Por exemplo, numa rede social, o individuo pode querer receber notificações quando alguém publica um post (artigo ou fotografia) mas, pode não querer receber notificações sobre “gostos” e comentários. Da mesma forma, deve ser dada a possibilidade de a qualquer altura o individuo alterar os seus consentimentos.
Salvo exceções previstas na Lei, não deve haver autorrenovação ou renovação por omissão. Por exemplo, não se pode considerar que um individuo subscreva um serviço continuamente até optar pela rescisão. Pelo contrário, no final do período acordado o individuo terá explicitamente que optar pela renovação.
As instituições deverão ter nas suas fichas de recolha de dados as devidas opções de consentimento e explicadas de forma clara. Os menores de idade precisam de consentimento do seu encarregado de educação ou tutor. Também ter em conta a adequação dos seus regulamentos internos e estatutos.
Os indivíduos têm o direito de alterar o seu consentimento sempre que desejarem e ter meios ou ferramentas disponíveis para o fazer. Também têm o direito de ser informados de forma clara como os seus dados vão ser processados. Têm os direitos de acesso e de retificação dos seus dados.
O direito de remoção ou ser esquecido pretende garantir que a pedido do individuo ou das ferramentas disponíveis este pode solicitar que os seus dados sejam removidos quando já não sejam necessários, foram de recolhidos de forma ilegal ou foi retirado o consentimento.
O direito a Portabilidade de Dados permite que os indivíduos possam ter acesso e reutilizar os seus dados pessoais para os seus próprios propósitos noutros serviços. O direito de portabilidade aplica-se aos dados pessoais fornecidos, onde houve consentimento ou no exercício de um contrato e o processamento de dados e feito por meios automáticos.
Os dados devem ser fornecidos de forma estruturada e legível por outra maquina (exemplo: ficheiro CSV). A pedido do individuo pode ser enviado diretamente para outra organização se for tecnicamente possível. Os dados devem ser transferidos de forma gratuita e num prazo de 1 mês (2 meses em caso de o pedido ser complexo ou de existirem muitos pedidos ao mesmo tempo).
As organizações deverão disponibilizar nos seus websites as condições de utilizações e politicas de privacidade que exercem. Quem já tem, devera fazer a sua adequação ao novo regulamento geral para a proteção de dados.
Sempre que existirem alterações a estas condições e politicas os indivíduos deverão ser informados das alterações e ter a possibilidade de alterar o seu consentimento.
O presente artigo não deve ser considerado como um conselho legal nem a como interpretação a letra da Lei. Este artigo foi redigido apenas para consciencializar para a existência do RGPD e para que as instituições se preparem, procurando o apoio necessário para a adoção de medidas para estarem em conformidade.
Este artigo poderá ser editado para ser mantido atualizado, remover imprecisões e adicionar ligações para a legislação oficial e outros artigos de conteúdo mais aprofundado.