O RGPD define as principais responsabilidades das organizações no que respeita à proteção de dados e processamento de dados pessoais.
O Artigo 5 do RGPD introduz os dois pilares da proteção e processamento dos dados pessoas. De forma simples, introduz os princípios relacionados com os dados e quem é responsável pelo seu cumprimento.
Princípios dos Dados Pessoais
Ao abrigo do RGPD, os dados pessoais serão:
- objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
- recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais;
- adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
- exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;
- conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, sujeitos à aplicação das medidas técnicas e organizacionais adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados;
- tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizacionais adequadas.
Como é compreensível acima, existem limitações de finalidade e conservação onde os tratamento dos dados foi, de alguma forma, estendido.
Existem assim garantias e derrogações relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticos, tal como especificado no Artigo 89.
Responsável
Ao abrigo do RGPD, é necessária a existência de um responsável que será
responsável pelo cumprimento e ter forma de o comprovar.
De forma simples, as organizações têm de ter um Data Protection Officer (commumente referido como DPO) que é responsável por garantir o cumprimento e demonstrar esse cumprimento no que toca aos princípios dos dados pessoais.
Dependendo do tamanho da organização, o DPO poderá ser alguém da própria organização, exceptuando os casos de administradores, por óbvias razões de potenciais conflitos.
Precisa de ajuda com o RGPD?
Temos solução para os seus problemas de RGPD. Contacte-nos.