Uma organização não só tem de tratar dados pessoais de acordo com o Regulamento Geral sobre a Proteção de Dados, como também tem de ser capaz de demonstrar a conformidade com o seu cumprimento.Tal inclui a aplicação da proteção de dados desde a conceção, a manutenção de um registo das atividades de tratamento e, em determinadas circunstâncias, a realização de uma avaliação de impacto sobre a proteção de dados.
Proteção de dados desde a conceção e por defeito
Enquanto responsável pelo tratamento, quer quando concebe uma operação de tratamento quer no momento do tratamento de dados, deve aplicar medidas adequadas e salvaguardas para garantir o cumprimento dos princípios de proteção de dados. Deve também assegurar-se de que, por defeito, apenas são tratados os dados pessoais necessários para cada finalidade específica (o que se aplica à quantidade de dados, à extensão do tratamento, à limitação do prazo de conservação dos dados e à sua acessibilidade).
Por outras palavras, uma organização que aplica a proteção de dados desde a conceção e por defeito é uma organização que tem em conta e incorpora a proteção de dados e a privacidade dos indivíduos em todos os aspetos e em todas as fases das suas operações de tratamento, nas ferramentas utilizadas ou em qualquer outra atividade comercial.
Para o efeito, antes de efetuar quaisquer operações de tratamento, a sua organização deve ter em conta:
- a natureza, o contexto e o âmbito da operação de tratamento prevista;
- os riscos que podem decorrer das operações de tratamento previstas ou de quaisquer outras atividades comerciais que possam ter impacto nos dados pessoais dos indivíduos;
- as medidas técnicas e organizativas que devem ser adotadas para atenuar os riscos identificados e, ao fazê-lo, assegurar que os dados das pessoas sejam adequadamente protegidos;
- as medidas técnicas e organizativas ou procedimentos a adotar para assegurar que o tratamento de dados pessoais (incluindo, em especial, a recolha, o armazenamento e a utilização geral dos dados das pessoas) se limite ao que é necessário à luz dos objetivos em vista.
Na prática
- Uma livraria quer aumentar a sua receita através da venda de livros online. O proprietário da livraria quer criar um formulário normalizado para o processo de encomenda. Em primeiro lugar, o proprietário torna obrigatórios todos os campos do formulário, incluindo a data de nascimento do cliente, o número de telefone e o endereço de casa. No entanto, nem todos os campos do formulário são necessários para a venda e entrega dos livros.
Por exemplo, ao encomendar um eBook, o cliente pode transferir o produto diretamente para o seu dispositivo. Como tal, estes campos não podem ser exigidos no formulário web para encomendar livros. O proprietário da loja web decide, portanto, fazer dois formulários web: um para encomendar livros, com um campo para o endereço do cliente e um formulário web para encomendar livros eletrónicos sem um campo para o endereço do cliente. Ao fazê-lo, o proprietário certifica-se de que apenas os dados necessários para o processamento são recolhidos. - Uma clínica médica que emprega vários médicos recolhe dados sobre os seus doentes no seu sistema de informação. Os diferentes médicos podem necessitar de aceder aos ficheiros dos doentes, por exemplo, quando estão a substituir um médico ausente, para sustentar as suas decisões sobre os cuidados e o tratamento a prestar aos doentes, bem como para documentar todas as ações de diagnóstico, cuidados e tratamento tomadas. Por defeito, o acesso é concedido apenas aos médicos a quem foi atribuído o tratamento do respetivo doente.
É útil manter registos destas avaliações e medidas para poder demonstrar que está a cumprir os princípios da proteção de dados desde a conceção e por defeito. Um mecanismo de certificação aprovado também pode ser utilizado como elemento para demonstrar a conformidade com a proteção de dados desde a conceção e por defeito.
Obrigação de manter registos do tratamento de dados
Enquanto organização, tem o dever de manter um registo das suas atividades de tratamento de dados. Estes registos devem ser conservados por escrito, incluindo em formato eletrónico.
Este registo dá-lhe uma visão geral das suas atividades de tratamento. Para criar esse registo, deve identificar quais as suas atividades que requerem tratamento de dados pessoais (exemplos incluem recrutamento, gestão de salários, formação, gestão de cartões e acessos, lista de potenciais clientes, etc.). Cada um destes objetivos de tratamento deve ser descrito no registo com as seguintes informações:
- a finalidade do tratamento (por exemplo, fidelização do cliente);
- as categorias de dados tratados (por exemplo, para a folha de pagamento: nome, nome próprio, data de nascimento, salário, etc.);
- a quem são comunicados os dados (os destinatários — por exemplo, os prestadores de serviços, os parceiros comerciais, etc.);
- quando aplicável, informações relacionadas com transferências de dados pessoais para fora do Espaço Económico Europeu (EEE);
- sempre que possível, o período de conservação (período durante o qual os dados são úteis do ponto de vista operacional e do ponto de vista arquivístico);
- sempre que possível, uma descrição geral das medidas de segurança.
O registo das atividades de tratamento é da responsabilidade do gestor da sua organização. Este registo deve estar disponível para a autoridade de proteção de dados do país do EEE onde opera, se solicitado.
Não é necessário que as organizações que empregam menos de 250 pessoas mencionem atividades puramente ocasionais no seu registo (por exemplo, dados tratados para eventos pontuais, como a abertura de uma loja).
Como realizar uma avaliação de impacto sobre a proteção de dados (AIPD)?
O que é uma AIPD?
Sempre que um tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve realizar uma avaliação de impacto sobre a proteção de dados (AIPD). Uma AIPD é uma avaliação escrita de uma operação de tratamento planeada. Ajuda-o a identificar as salvaguardas adequadas para mitigar os riscos e demonstrar conformidade.
Quando fazer uma AIPD?
Embora seja sempre preferível antecipar o impacto das operações de tratamento planeadas na sua organização através de uma AIPD, é obrigatório realizar essa AIPD quando o tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas.
Especificamente, é o que acontece quando o tratamento previsto envolve:
- o tratamento — em grande escala — de dados pessoais sensíveis e de dados relacionados com condenações penais;
- uma avaliação sistemática e exaustiva dos aspetos pessoais relacionados com uma pessoa singular, com base no tratamento automatizado, incluindo a definição de perfis, e com base nos quais são tomadas decisões que produzem efeitos jurídicos para a pessoa em questão ou que a afetam significativamente de forma similar;
- controlo sistemático em grande escala de zonas acessíveis ao público
Na maioria dos casos, as operações de tratamento que satisfaçam dois dos seguintes critérios devem ser avaliadas através de uma AIPD:
- avaliação ou pontuação;
- tomada de decisões automatizadas com efeitos jurídicos ou similares significativos;
- controlo sistemático;
- dados sensíveis ou de natureza altamente pessoal;
- dados tratados em grande escala:
- correspondência ou combinação de conjuntos de dados;
- dados relativos a titulares de dados vulneráveis;
- utilização inovadora ou aplicação de novas soluções tecnológicas ou organizativas;
- Quando o tratamento por si só impede as pessoas de exercerem um direito ou de utilizarem um serviço ou um contrato.
Preciso de realizar uma AIPD?
Responda às perguntas através do nosso fluxograma interativo para descobrir!
É provável que o tratamento resulte em riscos elevados?
Aplicam-se exceções?
Exemplos de casos em que pode não ser exigida uma AIPD:
- a operação de tratamento prevista é muito semelhante a um tratamento que foi objeto de uma AIPD;
- o tipo de tratamento consta de uma lista de isenções que a sua autoridade de proteção de dados pode ter adotado;
- A operação de tratamento for autorizada ao abrigo do direito da UE ou do direito nacional.
Preciso de realizar uma AIPD?
Sim, é necessário realizar a AIPD
Subsistem riscos elevados após a AIPD?
Preciso de realizar uma AIPD?
Não é necessária uma AIPD
Consulte a sua Autoridade de Proteção de Dados
Não é necessário consultar a sua Autoridade de Proteção de Dados
Dicas principais sobre AIPD
Deve entrar em contacto com a autoridade de proteção de dados do país do EEE onde a sua organização está sediada para saber se dispõe de um documento publicamente disponível que indique as condições em que as operações de tratamento necessitarão de uma AIPD e quais as operações de tratamento que não necessitarão de uma AIPD.
Exemplos de casos em que pode ser necessária uma AIPD:
- tratamento de dados biométricos, como, por exemplo, a digitalização de impressões digitais ou de características faciais para identificar os doentes;
- utilização de dados de pessoas vulneráveis para fins de marketing, por exemplo para prever as suas compras;
- aplicação móvel a rastrear a localização do indivíduo.
Exemplos de casos em que uma AIPD pode não ser necessária
- a operação de tratamento prevista é muito semelhante a um tratamento que foi objeto de uma AIPD;
- o tratamento está incluído na lista facultativa de operações de tratamento (estabelecida pela sua autoridade nacional de proteção de dados) não sujeitas a uma AIPD;
- a operação de tratamento é autorizada ao abrigo da legislação da UE ou nacional.
O que incluir em uma AIPD?
A AIPD deve incluir:
- uma descrição da operação de tratamento planeada e da sua finalidade;
- uma avaliação da necessidade e da proporcionalidade;
- os riscos que a operação de tratamento pode implicar;
- as medidas para fazer face aos riscos.
Consulta prévia durante uma AIPD
Sempre que o responsável pelo tratamento não consiga encontrar medidas suficientes para reduzir os riscos para um nível aceitável (ou seja, os riscos residuais ainda são elevados), é necessário consultar a autoridade de proteção de dados. Nesse caso, o responsável pelo tratamento deve fornecer as seguintes informações:
- as responsabilidades respetivas do responsável pelo tratamento, dos responsáveis conjuntos pelo tratamento e dos subcontratantes envolvidos no tratamento;
- a finalidade da operação de tratamento e a forma como será conduzida;
- as medidas previstas para salvaguardar os dados pessoais das pessoas singulares;
- os dados de contacto do encarregado da proteção de dados da sua organização, se aplicável;
- a AIPD em questão.
Depois de uma AIPD — teste-a, melhore-a, verifique-a!
Uma vez elaborada a sua AIPD, deve testá-la; melhorá-la, se necessário; realizar a sua operação de tratamento; reavaliar se a sua AIPD corresponde à operação de tratamento; e verificação final.
Leia mais
Grupo de Trabalho do Artigo 29.º: Orientações sobre a avaliação de impacto na proteção de dados (AIPD)
Redação da Comissão Europeia
Ligações Listas nacionais de tipos de operações de tratamento de dados que exigem ou não uma avaliação de impacto sobre a proteção de dados
Comissão de Proteção de Dados, Autoridade de Controlo Irlandesa
Códigos de Conduta
Dependendo do local onde a sua organização está localizada no EEE, pode haver associações ou outros organismos que representem os responsáveis pelo tratamento de dados ou subcontratantes. Estas associações e organismos podem elaborar códigos de conduta, incluindo mecanismos de proteção de dados, aos quais os responsáveis pelo tratamento de dados e subcontratantes podem aderir, a fim de ajudar a garantir que os dados pessoais dos indivíduos são respeitados em conformidade com o RGPD.
Mais especificamente, estes códigos de conduta devem assegurar, por exemplo:
- que os dados pessoais são tratados de forma leal e transparente;
- que as finalidades para as quais os dados pessoais são tratadas são legítimas;
- como pseudonimizar dados pessoais;
- que sejam prestadas informações transparentes às pessoas cujos dados pessoais são tratados;
- que o consentimento para o tratamento de dados pessoais, especialmente dados pessoais relativos a crianças, é solicitado de forma adequada;
- que sejam tomadas todas as medidas técnicas e organizativas para garantir o tratamento seguro dos dados das pessoas singulares;
- que sejam seguidos os procedimentos de notificação de violações de dados pessoais;
- que sejam seguidos os procedimentos, incluindo garantias, relacionados com as transferências de dados pessoais para países e organizações não pertencentes ao EEE;
- que os procedimentos relativos aos processos judiciais e à resolução de litígios sejam seguidos.
Dica máxima
- Deve entrar em contacto com a associação ou organismo relevante que prepara os Códigos de Conduta do RGPD, uma vez que estes podem ajudá-lo a cumprir o RGPD.
Certificação
O que é uma certificação RGPD?
Uma organização que obtenha uma certificação RGPD pode utilizar esta certificação para demonstrar a conformidade das suas operações de tratamento com o RGPD.
As autoridades de proteção de dados do EEE podem, por exemplo:
- emitir certificações RGPD relativamente ao seu próprio sistema de certificação;
- emitir certificações RGPD propriamente ditas, relativamente ao seu próprio sistema de certificação, mas delegar a terceiros a totalidade ou parte do processo de avaliação;
- criar o seu próprio sistema de certificação e atribuir a organismos específicos a emissão dessas certificações;
- incentivar o mercado a desenvolver mecanismos de certificação;
- avaliar os sistemas de certificação dos organismos de certificação.
Um organismo de certificação tem competência para emitir, rever e retirar certificações com base num mecanismo de certificação e em critérios aprovados.
Os organismos de certificação devem documentar a avaliação que fizerem das operações de tratamento da sua organização para as quais pode ser emitida uma certificação RGPD.
A minha organização recebeu uma certificação RGPD, e agora?
A certificação RGPD de uma operação de tratamento que a sua organização realiza é válida por um período máximo de 3 anos, mas pode ser renovada ou revogada. Para manter esta certificação, a sua organização deve pôr em prática contínua e consistentemente as medidas relacionadas com a operação de proteção de dados que foi certificada.