Registos de Actividades de Processamento

Registos de Actividades de Processamento

O que são os registos das actividades de tratamento?

É obrigatório manter um registo das actividades tratamento nos termos do artigo 30º do RGPD.

O registo das actividades tratamento descreve o tratamento de dados pessoais dentro de uma organização e os pormenores desse tratamento. O seu objectivo é garantir que as organizações são transparentes e responsáveis pelas suas actividades tratamento de dados e demonstrar a conformidade com o RGPD.

O registo serve de referência central para todas as actividades tratamento de dados e deve ser regularmente actualizado para garantir a sua exactidão e exaustividade. Manter um registo das actividades tratamento é crucial para as organizações cumprirem as suas obrigações ao abrigo do RGPD e demonstrarem a sua conformidade aos reguladores e outras partes interessadas.

Porquê ter um registo das actividades de tratamento?

O artigo 30.º do RGPD exige que as organizações mantenham um registo das actividades tratamento, o que constitui um requisito legal.

O registo das actividades tratamento serve de ferramenta de gestão para a protecção de dados, fornecendo uma visão geral do tratamento. Quando o tratamento de dados pessoais é mapeado para este registo, ajuda a cumprir outros requisitos do RGPD, como a implementação de medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco, conforme exigido pelo artigo 32.

O registo tornar-se-á a ferramenta de gestão para alinhar os esforços da organização na sua conformidade com o RGPD.

Isenções à obrigação de ter um registo das actividades de tratamento.

O n.º 4 do artigo 30.º isenta as organizações com menos de 250 trabalhadores da obrigação de manter registos das actividades tratamento, mas apenas se tratamento seu tratamento de dados pessoais não o fizer:

  • representam um risco para os direitos e liberdades das pessoas em causa,
  • ocorrem apenas ocasionalmente, ou
  • envolvam categorias especiais de dados, tal como referido no n.º 1 do artigo 9.º, ou dados pessoais relativos a condenações penais e infracções, tal como referido no artigo 10.

Na prática, estas isenções raramente são relevantes, uma vez que os legisladores consideram a gestão salarial ou tratamento de dados de clientes como um tratamento não ocasional de dados pessoais.

A maioria das empresas tem clientes, empregados ou visitantes no seu sítio Web, o que torna a isenção difícil de utilizar na prática, uma vez que mesmo uma sociedade gestora de participações sociais pode ter um sítio Web.

Além disso, esta isenção não dispensa uma organização de cumprir outros requisitos RGPD. Uma vez que o registo das actividades tratamento é uma excelente ferramenta para cumprir as regras RGPD PD, não o ter seria contraproducente para os esforços de conformidade da organização com o RGPD.

Para ser claro, deve manter um registo das actividades tratamento. É improvável que fique isento desta obrigação e a manutenção de um registo é também necessária para cumprir as outras regras do RGPD.

Artigo 30: Registos das actividades de tratamento

Uma organização, quer seja um Responsável pelo tratamento de Responsável pelo tratamento, deve manter um registo das suas actividades tratamento. Estes registos devem ser feitos por escrito e disponibilizados à autoridade de controlo, a pedido desta.

As duas secções seguintes descrevem os requisitos para os registos das actividades tratamento dos responsáveis pelo tratamento de dados e dos subcontratantes, respectivamente.

Controlador de dados: Registos das actividades de tratamento

O artigo 30.º, n.º 1, do RGPD define os requisitos mínimos para as informações que devem ser incluídas nos seus registos de actividades tratamento quando actua como Responsável pelo tratamento tratamento.

Estes requisitos mínimos são os seguintes:

  1. Anote o nome da sua organização e os dados de contacto para que as pessoas em causa saibam quem é o Responsável pelo tratamento pelo tratamento dos seus dados. Se determinar a finalidade e os meios de tratamento em conjunto com outro Responsável pelo tratamento tratamento, ou seja, outra organização, deve também mencionar os seus dados de contacto. Caso tenha nomeado um responsável pela protecção de dados, deve também indicar os dados de contacto.
  2. Descrever todas as finalidades do tratamento de dados pessoais.
  3. Descrever as categorias de titulares de dados, por exemplo, visitantes do sítio Web ou candidatos a emprego. Deve também descrever as categorias de dados pessoais, por exemplo, categorias especiais de dados pessoais ou dados pessoais gerais, e os tipos de dados específicos dentro dessas categorias.
  4. Descreva as categorias de destinatários a quem divulgará dados pessoais, que podem ser uma filial da empresa, um parceiro comercial, uma repartição de finanças, etc. O mesmo se aplica aos destinatários em países terceiros ou a organizações internacionais.
  5. Descrever as transferências de dados pessoais para países terceiros ou organizações internacionais e, se for caso disso, a documentação das garantias adequadas.
  6. Descreva os critérios ou prazos para apagar as diferentes categorias de dados pessoais, por exemplo, quando é que apagaria os dados de um candidato a emprego se este não conseguisse o emprego?
  7. Apresentar uma descrição geral das medidas de segurança destinadas a garantir um nível de segurança adequado ao risco.

Processador de dados: Os registos das actividades de processamento

O subcontratante deve manter um registo das actividades tratamento dados que realiza em nome do Responsável pelo tratamento. Estes requisitos diferem ligeiramente dos requisitos do Responsável pelo tratamento de dados e estão previstos no n.º 2 do artigo 30 RGPD

Os requisitos para o registo das actividades tratamento são os seguintes para os processadores de dados:

  1. Indicar o nome e os dados de contacto do subcontratante e do Responsável pelo tratamento em nome do qual o subcontratante actua.
  2. Descrever as actividades tratamento efectuadas em nome do Responsável pelo tratamento.
  3. Descrever as transferências de dados pessoais para países terceiros ou organizações internacionais.
  4. Apresentar uma descrição geral das medidas de segurança destinadas a garantir um nível de segurança adequado ao risco.

Quando mencionarmos os registos das actividades tratamento no futuro, referir-nos-emos principalmente aos registos das actividades tratamento do Responsável pelo tratamento tratamento.

Registos de actividades de processamento e suplementos

Para tornar a conformidade com RGPD mais fácil de gerir, recomendamos que adicione categorias adicionais aos seus registos de actividades tratamento. Embora o artigo 30.º defina determinadas regras de conformidade e documentação, o RGPD contém muitos mais requisitos. Os registos das actividades tratamento são uma excelente ferramenta para documentar o cumprimento de todas estas regras.

Expandir o registo das actividades tratamento para incluir assuntos de conformidade adicionais pode ajudá-lo a implementar melhor RGPD e a documentar a sua conformidade. Embora isto possa parecer mais trabalhoso à partida, irá poupar-lhe tempo a longo prazo.

Uma das complexidades da conformidade com RGPD é a exigência de documentar a conformidade com todas as regras. Esta pode ser uma tarefa aparentemente impossível para as pequenas empresas, mas ao adaptar os registos das actividades tratamento, pode gerir a documentação da sua conformidade de forma mais eficiente.

Recomendamos a manutenção de um registo das actividades tratamento que abranja todas as secções seguintes.

1) Actividades de processamento

O primeiro passo para criar os seus registos de actividades tratamento processamento é mapear e definir todas as suas actividades tratamento. Em primeiro lugar, deve descrever todos os processos da sua empresa em que são tratados dados pessoais.

As actividades tratamento devem ser definidas e designadas de forma a serem significativas do ponto de vista comercial e distinguíveis de outras actividades tratamento, para que não sejam misturadas.

Por exemplo, uma actividade tratamento pode ser “apoio ao cliente” ou “contacto comercial”. Uma vez que estas actividades são distintas umas das outras e seriam executadas por diferentes empregados em diferentes equipas, faz sentido, do ponto de vista comercial, documentá-las como duas actividades tratamento separadas.

A actividade tratamento “apoio ao cliente” envolve tratamento dados pessoais de clientes existentes, enquanto que a actividade de “divulgação de vendas” envolve tratamento dados pessoais para adquirir novos clientes.

Têm também objectivos diferentes e pressupostos jurídicos diferentes.

Uma empresa típica com 50 empregados pode ter até 30 actividades tratamento, enquanto uma empresa com 1.500 empregados pode ter até 100. A definição de actividades tratamento pode variar e é parcialmente subjectiva, uma vez que as empresas têm necessidades individuais.

Definir as actividades tratamento forma significativa é a base da conformidade com RGPD. A documentação RGPD PD será construída com base nestas actividades e deve ser o principal motor da implementação RGPD na sua organização para abranger todos os seus processos. Mais pormenores sobre este assunto podem ser encontrados noutro local.

2) Equipa

Algumas actividades tratamento estão relacionadas, uma vez que podem dizer respeito ao mesmo tema geral. Por exemplo, a equipa de RH pode ter as seguintes actividades tratamento:

  • Pedidos de emprego solicitados
  • Pedidos de emprego não solicitados.
  • Caça à cabeça
  • Integração de novos funcionários
  • Avaliações de desempenho dos empregados
  • Despedimento de trabalhadores
  • … E muitas outras actividades tratamento.

Faz sentido tê-las como actividades tratamento separadas na RoPA, e não agrupá-las numa grande actividade tratamento chamada “RH”.

Os objectivos do tratamento candidaturas a uma vaga de emprego e do despedimento de um trabalhador são claramente distintos e não faria sentido tentar tratá-los da mesma forma.

No entanto, continua a fazer sentido categorizá-los numa categoria empresarial global como “RH”, uma vez que a equipa de RH é, em última análise, a equipa responsável por estes processos na sua organização.

Assim, faz sentido acrescentar uma categoria comercial relevante aos seus registos de actividades tratamento, por exemplo:

  • Vendas
  • Marketing
  • Apoio ao Cliente
  • Finanças
  • RH
  • TI
  • etc.

Na prática, o gestor de cada uma destas categorias empresariais seria responsável por definir as actividades tratamento no seio da sua equipa e por cumprir o RGPD relativamente a estes processos.

Delegar esta responsabilidade aos chefes de equipa e aos funcionários é, na verdade, uma parte muito importante do cumprimento do RGPD na prática, e é algo que muitas empresas não conseguem fazer.

3) Descrição da actividade de tratamento

Recomendamos que descreva cada uma das actividades tratamento com o máximo de pormenor possível e que se concentre no tratamento de dados pessoais. Esta descrição ajudará a clarificar a definição da actividade tratamento e a distingui-la de outras actividades tratamento.

A descrição também será útil quando for necessário voltar a actualizar este registo de actividade tratamento. Além disso, ajudará qualquer pessoa que leia os seus registos de actividades tratamento que não tenha definido a actividade, por exemplo, o seu director executivo ou as partes interessadas da organização.

4) Controlador ou processador de dados

Tal como referido no início, existe uma diferença nos requisitos para manter um registo das actividades tratamento, quer se trate de um Responsável pelo tratamento tratamento de dados ou de um subcontratante. Por conseguinte, deve indicar se é um Responsável pelo tratamento tratamento de dados ou um processador de dados para cada actividade tratamento. Isto ajudá-lo-á a identificar as suas obrigações para as diferentes actividades quando consultar os registos das actividades tratamento.

Por exemplo, quando tratar dados pessoais como subcontratante, deve seguir os procedimentos do Responsável pelo tratamento de dados, uma vez que está simplesmente a tratamento dados pessoais em seu nome. Se pensa que pode estar a tratamento dados pessoais em nome de outra pessoa, deve ler sobre o “processador de dados“.

5) Objectivo do tratamento

Definir a finalidade das suas actividades tratamento não é apenas um requisito, mas também pode ser útil para se tornar compatível com o RGPD. Nos termos dos artigos 12º a 14º, as finalidades das suas actividades tratamento devem ser comunicadas às pessoas em causa quando recolhe os seus dados e, por conseguinte, essas finalidades devem também ser incluídas na sua política de privacidade.

O tratar de definição das finalidades das actividades tratamento pode parecer repetitivo, uma vez que alguns destes processos são semelhantes e podem sobrepor-se ligeiramente.

Se definir as finalidades de duas actividades tratamento e verificar que são muito semelhantes, isso pode indicar que é necessário combiná-las numa única actividade. No entanto, não se trata de um requisito.

Exemplo: Apoio ao cliente

Se analisarmos a finalidade do tratamento dados pessoais para “apoio ao cliente”, é evidente que são necessários dados pessoais básicos para lhes prestar o apoio necessário. Terá de identificar o cliente e o seu historial de compras. Neste caso, o objectivo do tratamento dados pessoais dos clientes seria;

  • Para se certificar de que identificou o cliente correcto,
  • Oferecer um bom serviço,
  • e, mais importante ainda, honrar os termos e condições do acordo de compra.

6) Outros objectivos

Deve também considerar se está a tratamento dados pessoais para outros fins que não o original. Se pretender tratar os dados posteriormente, deve informar a pessoa em causa no momento em que os dados pessoais são obtidos, nos termos do n.º 3 do artigo 13.

7) Activos de informação e processadores de dados

O RGPD exige que os dados pessoais sejam tratar de forma adequada. O tratamento de dados pessoais implica normalmente a utilização de algum tipo de software, quer se trate do seu próprio software, de um software externo ou de um prestador de serviços.

Por conseguinte, sugerimos que adicione informações sobre a localização do tratamento de dados aos seus Registos de actividades de processamento.

Para cada actividade tratamento, deve especificar os activos de informação que são utilizados para tratar a informação.

Utilizamos o termo “activos de informação” para nos referirmos a activos que contêm informações, tais como dados pessoais. Isto inclui sistemas de software, sítios Web, folhas de Excel, unidades de armazenamento de dados, sistemas de ficheiros, unidades, clientes de correio electrónico, arquivos e outros activos utilizados para tratar informações.

Alguns activos de informação podem ser Software as a Service (SaaS), o que significa que a informação é processada por entidades externas. Isto significa muitas vezes que estas entidades externas são subcontratantes, mas é necessário verificar em todos os casos para confirmar este facto.

Certas actividades tratamento são frequentemente subcontratadas a consultores externos, como contabilistas ou agências de marketing. Estas pessoas são consideradas processadores de dados porque efectuam o tratamento em nome do Responsável pelo tratamento tratamento de dados.

É importante determinar se os processadores de dados estão envolvidos em actividades tratamento para garantir que o tratamento de dados está em conformidade com RGPD quando efectuado em seu nome.

O mapeamento dos seus activos de informação e processadores de dados pode ajudar a sua empresa a compreender os fluxos de dados nos sistemas e a garantir uma gestão adequada. Este mapeamento também proporciona uma visão organizada dos contratos e dos fornecedores, o que pode melhorar a gestão das aquisições e dos contratos.

8) Volume de dados

Para todas as actividades tratamento de dados, é importante anotar o número de pessoas cujos dados estão a ser processados e adicionar esta informação aos seus Registos de Actividades de Processamento (RoPA). Isto clarificará a importância e a prioridade da actividade nos seus esforços de conformidade com RGPD e ajudará na sua avaliação dos riscos. Uma aproximação do volume de dados é suficiente, pelo que não há necessidade de se perder em pormenores.

O volume de dados também fornece uma visão valiosa para a gestão da empresa no que diz respeito à distribuição do tratamento de dados entre cada actividade tratamento.

9) Dados pessoais

Deve enumerar todos os tipos de dados pessoais tratados para cada actividade. Desta forma, assegurar-se-á a total transparência da actividade tratamento. Além disso, estas informações podem ser utilizadas para cumprir a sua obrigação de informar os titulares dos dados sobre o seu tratamento e para a sua avaliação dos riscos da actividade.

Eis algumas sugestões para os tipos de dados pessoais que podem ser acrescentados:

  • Nome próprio
  • Apelido
  • Nome do meio
  • Género
  • Raça ou etnia
  • Estado civil
  • Ocupação
  • Título do emprego
  • Nome da empresa
  • Endereço de correio electrónico profissional
  • Número de telefone do trabalho
  • Número de telefone de casa
  • Informações de contacto de emergência
  • Diagnósticos médicos
  • Informações sobre o tratamento médico
  • Informações sobre a receita médica
  • Dados de geolocalização

Esta transparência torná-lo-á mais consciente de onde e como tratar os dados, e se é necessário tratar os dados tendo em conta a finalidade da actividade.

10) As categorias de titulares de dados

É necessário descrever as categorias de titulares de dados nos registos das actividades tratamento.

Exemplos de categorias de titulares de dados podem ser:

  • Crianças com menos de 16 anos de idade.
  • Clientes
  • Pensionistas
  • Doentes
  • Criminosos, etc.

Esta informação é útil do ponto de vista da conformidade, uma vez que determinadas categorias de titulares de dados requerem maior cuidado no tratamento seus dados. Por exemplo, tratamento dados de crianças com menos de 16 anos de idade pode representar um risco mais elevado e exigir uma maior sensibilização para as implicações quando partilham os seus dados.

11) Categorias de dados pessoais

É igualmente necessário registar as categorias de dados pessoais nos registos das actividades tratamento.

Estas categorias de dados pessoais são:

  • Dados pessoais (ou dados pessoais gerais).
  • Categorias especiais de dados pessoais
  • Dados pessoais relativos a condenações penais e infracções.

As categorias especiais de dados pessoais são também designadas por dados pessoais sensíveis e abrangem as seguintes categorias:

  • Raça e origem étnica
  • Crenças políticas
  • Crenças religiosas ou filosóficas
  • Filiação sindical
  • Dados genéticos
  • Dados biométricos para uma identificação única
  • Informação sanitária
  • Relações sexuais ou orientação sexual.

Os dados pessoais relacionados com condenações penais e infracções podem ser os registos criminais de uma pessoa ou mesmo o endereço do recluso, uma vez que o endereço de residência é na prisão, o que implica que a pessoa tem um registo criminal.

O endereço de correio electrónico, o número de telefone, a morada, o nome de utilizador nas redes sociais, etc. de uma pessoa são informações pessoalmente identificáveis, mas estes dados pessoais não são normalmente sensíveis. Estes dados não são sensíveis porque não são classificados como tal no artigo 9 do RGPD.

Deve ser dada especial atenção ao tratamento de dados pessoais sensíveis. Na prática, isto implica garantir a aplicação de medidas adequadas em conformidade com o artigo 32.

12) Base jurídica do tratamento

O artigo 30.º não indica explicitamente que se deve registar a base jurídica para o tratamento dados pessoais nos registos das actividades tratamento. No entanto, de acordo com os artigos 13º a 14º, é necessário fornecer à pessoa em causa informações sobre a base jurídica do tratamento no momento em que os dados pessoais são obtidos.

Por conseguinte, é uma boa prática registar a base jurídica das suas actividades tratamento de dados nos seus registos de actividades tratamento. Isto garante que essas informações estão prontamente disponíveis para todas as suas actividades tratamento.

Além disso, a indicação da base jurídica na RoPA ajuda-o a documentar que está a cumprir o RGPD, o que é um requisito de acordo com o artigo 5.

Deve ter sempre uma base legal para o tratamento dados pessoais, nos termos do artigo 6.º do RGPD – caso contrário, tratamento de dados pessoais seria ilegal. Uma empresa típica poderá utilizar a seguinte base jurídica para o tratamento dados pessoais:

  • Artigo 6.o , alínea a) “consentimento”.
    • Exemplo: Quando alguém se inscreve no seu boletim informativo, tem de dar o seu consentimento para que lhe possa enviar o boletim informativo por correio electrónico.
  • Artigo 6.o , alínea b) “contrato”.
    • Exemplo: Ao celebrar um contrato com um cliente, é frequentemente necessário tratar dados sobre esse cliente.
  • Artigo 6.o , alínea c) “obrigações legais”.
    • Exemplo: Para fins contabilísticos, a legislação contabilística exige o tratar facturas e documentos semelhantes.
  • Artigo 6.º, alínea f) “interesses legítimos”.
    • Exemplo: A monitorização da actividade na Web dentro de uma organização pode ser um interesse legítimo para fins de segurança informática.

Dados pessoais sensíveis.

Se tratar dados pessoais sensíveis, deve ter uma base jurídica para o tratamento nos termos do artigo 9. Por conseguinte, é necessário ter uma base jurídica nos artigos 6 e 9 do RGPD.

Isto sugere que também deve acrescentar a sua premissa legal para o tratamento dados pessoais sensíveis aos seus registos de actividades tratamento, sempre que tal possa ser o caso.

Uma empresa típica pode tratar dados pessoais sensíveis sobre os seus empregados se estes estiverem relacionados com um problema de saúde que envolva a empresa, como por exemplo um empregado que esteja de baixa por doença. Também pode ser relevante para a organização registar se um trabalhador é membro de um determinado sindicato. Estes exemplos de dados pessoais sensíveis podem ser tratados com a base jurídica da alínea b) do n.º 2 do artigo 9.º, uma vez que o empregador deve cumprir a legislação laboral e as suas obrigações em matéria de segurança social.

13) Leis conexas

As actividades comerciais são frequentemente afectadas por várias leis, tais como regulamentos laborais, leis de construção, leis do consumidor, etc. Estas leis podem exigir que as organizações tratar dados pessoais de determinadas formas, como manter uma duração mínima de armazenamento necessária.

Por conseguinte, seria útil incluir quaisquer informações sobre regulamentos conexos que abranjam a actividade tratamento.

14) Fonte de dados

No contexto do RGPD, é necessário distinguir entre a obtenção de dados pessoais directamente da pessoa em causa ou de terceiros.

Quando os dados pessoais são obtidos da pessoa em causa, é necessário fornecer informações sobre o tratamento dos dados pessoais nos termos do artigo 13º e, quando obtidos por outros meios, nos termos do artigo 14º.

Quando os dados pessoais não tiverem sido obtidos junto da pessoa em causa, é obrigado a informar de que fonte provêm os dados pessoais e, se for caso disso, se provêm de fontes acessíveis ao público.

Assim, ao manter um registo destas informações, pode utilizá-las como um indicador das informações que deve fornecer à pessoa em causa quando obtém os seus dados.

Será a sua lista de verificação para saber como cumprir os artigos 13º e 14º em todas as suas actividades tratamento.

15) Métodos de recolha de dados

O requisito dos artigos 13º-14º é o de fornecer informações à pessoa em causa no momento da recolha dos seus dados para a actividade tratamento. Por conseguinte, deve acompanhar a forma como fornece estas informações na prática, para que possa garantir a conformidade nestes casos.

Por exemplo, a recolha de dados pode ser obtida a partir de um formulário de contacto num sítio Web, quando um cliente se inscreve na newsletter. Pode também ser obtida através de uma conversa telefónica entre um agente do serviço de apoio ao cliente e um cliente que esteja a apresentar uma queixa.

O registo das fontes de dados nos seus registos de actividades tratamento aumenta a transparência da sua actividade tratamento e permite-lhe fornecer informações adicionais aos titulares dos dados, como uma ligação à sua política de privacidade.

O RGPD exige que documente a sua conformidade. Ao manter um registo das fontes utilizadas nas actividades tratamento, pode melhorar a sua documentação de conformidade com o RGPD.

Também é necessário garantir que os seus sistemas de software estão correctamente configurados para fornecer informações ao titular dos dados e que o tratar de fornecimento dessas informações está em conformidade com o RGPD. Por exemplo, se tratamento se basear no consentimento, deve poder demonstrar que a pessoa em causa deu o seu consentimento para o tratar seus dados e que lhe forneceu informações sobre o tratamento dos seus dados no momento da recolha dos mesmos.

16) Como é fornecida a informação à pessoa em causa?

É necessário fornecer informações à pessoa em causa aquando da recolha dos seus dados pessoais e, para gerir eficazmente esta questão, deve especificar como o faz.

É provável que as suas actividades tratamento tenham formas diferentes de recolher dados e, por conseguinte, também formas diferentes de fornecer as informações necessárias às pessoas em causa.

Uma forma de informar o titular dos dados desta confirmação numa troca de mensagens electrónicas pode ser fornecer uma ligação para a sua política de privacidade através da sua assinatura de correio electrónico. No apoio ao cliente, pode ser uma ligação para a sua política de privacidade através de um módulo de chat antes de o chat ser iniciado.

Existem muitas outras formas, que dependem do tratamento específico dos dados.

Adicionar estas informações aos seus registos de actividades tratamento ajuda-o a documentar a conformidade com RGPD.

17) Divulgação de dados pessoais

Se tenciona divulgar dados a outro destinatário, deve informar a pessoa em causa o mais tardar quando os dados pessoais forem divulgados pela primeira vez.

Exemplo de divulgação: Um médico pode ter de divulgar os registos médicos de um doente a uma companhia de seguros ou à segurança social para que o doente possa receber apoio.

As informações sobre a divulgação devem ser acrescentadas à sua política de privacidade se divulgar os dados a outros destinatários, pelo que seria útil acrescentá-las aos registos das actividades tratamento.

18) Acesso de terceiros aos dados pessoais

Contrata consultores em marketing, contabilidade, TI, inteligência artificial ou advogados? Assim, podem ter acesso aos dados pessoais da sua empresa quando prestam o seu serviço.

São entidades externas, uma vez que não trabalham na sua organização. Uma vez que as entidades externas não fazem parte da sua organização, deve limitar o seu acesso aos dados pessoais sob o seu controlo. Além disso, todas as partes externas que tratamento dados pessoais sob o seu controlo devem receber directrizes sobre como tratar dados pessoais, receber formação sobre essas directrizes e ser responsabilizadas através de um contrato.

Pense se as entidades externas que tratar dados pessoais em seu nome são classificadas como subcontratantes. Se assim for, terá de cumprir as regras RGPD que se aplicam aos subcontratantes de dados. Entre outras coisas, terá de assinar um acordo de tratamento de dados.

As partes externas também podem ser simplesmente contratantes que têm acesso a dados pessoais, mas sem que tratamento dos dados seja o objectivo do seu trabalho, ou seja. não seriam processadores de dados. Este pode ser o caso de profissionais ocasionais de reparação de hardware, apoiantes de TI, freelancers de marketing, advogados, contabilistas, trabalhadores temporários, etc.

Estes contratantes situam-se algures entre os processadores de dados, os trabalhadores e os responsáveis pelo tratamento de dados por direito próprio. Para garantir a responsabilidade e o cumprimento das suas políticas de tratamento dados pessoais, pode pedir ao contratante que assine um acordo de confidencialidade.

É importante documentar nos seus registos quando as partes externas têm acesso às suas actividades tratamento. Isto permite-lhe avaliar as funções de cada profissional envolvido nas actividades tratamento. Ao fazê-lo, os seus registos de actividades tratamento podem tornar-se uma ferramenta de gestão útil para a conformidade com RGPD.

19) Transferências para países terceiros

Os países terceiros, no que diz respeito ao RGPD, referem-se a quaisquer países fora da UE ou do EEE (Noruega, Islândia, Liechtenstein).

Exemplos de países terceiros são os EUA, a China, a Índia, a Austrália, o Canadá e muitos outros.

Uma transferência de dados pessoais ocorre quando os dados pessoais são tratados em países terceiros. Isto pode envolver o acesso de leitura, o armazenamento de informações ou a edição de informações.

Muitas das soluções de software habitualmente utilizadas são propriedade de empresas sediadas nos EUA ou utilizam servidores alojados em empresas sediadas nos EUA, como a Amazon Web Services, a Microsoft Azure ou a Google Cloud, para tratar os seus dados. A utilização destas soluções implica frequentemente a transferência de dados pessoais para um país terceiro, o que indica que essas transferências são comuns.

Ao transferir dados pessoais para países terceiros, é necessário ter uma base legal para o fazer. Por conseguinte, é importante avaliar todas as actividades tratamento para transferências para países terceiros, incluindo transferências para parceiros, subdivisões, contratantes, fornecedores de software, etc., que estejam localizados em países terceiros.

20) Pressuposto jurídico para a transferência para países terceiros

Se identificou que transfere dados para países terceiros, terá de determinar como cumprir as condições especificadas no Capítulo 5 do RGPD. Estas condições exigem que o utilizador tenha uma base jurídica para quaisquer transferências para países terceiros.

O capítulo 5 do RGPD prevê as seguintes bases jurídicas para as transferências para países terceiros:

  • Artigo 45: Transferências com base numa decisão de adequação
  • Artigo 46: Transferências sujeitas a garantias adequadas
  • Artigo 47: Regras vinculativas aplicáveis às empresas
  • Artigo 48: Transferências ou divulgações não autorizadas pelo direito da União
  • Artigo 49: Derrogações para situações específicas

Trata-se de um tema complexo, mas, para a maioria das pequenas empresas, as transferências são efectuadas com base numa decisão de adequação (artigo 45.º) ou com salvaguardas adequadas (artigo 46.º).

21) Limitação de armazenamento

Ao documentar as suas actividades tratamento, é obrigatório documentar os“prazos previstos para o apagamento das diferentes categorias de dados“. Por conseguinte, deve incluir estas informações em todas as suas actividades tratamento.

O RGPD também exige o apagamento dos dados pessoais assim que deixem de ser necessários para efeitos tratamento, em conformidade com o princípio da limitação da conservação previsto no artigo 5.

As limitações ao armazenamento de dados pessoais podem ser requisitos difíceis para as empresas, pelo que é importante abordá-los com diligência.

Para garantir a conformidade com o RGPD no seu fluxo de trabalho diário, também é necessário determinar como eliminar estes dados. Há dois aspectos a considerar:

  • Que evento ou acção indica que o tratamento de dados pessoais já não é necessário para uma actividade tratamento?
    • Por exemplo, quando um utilizador cancela uma subscrição paga.
  • Durante quanto tempo serão armazenados os dados pessoais após o evento desencadeador?
    • Por exemplo, o perfil do utilizador será eliminado imediatamente após o cancelamento.

Definição do período de retenção

É necessário estabelecer um período de retenção para as actividades tratamento, de modo a garantir que os dados pessoais não são armazenados quando as finalidades tratamento já não são válidas.

O período de conservação dos dados pessoais pode ser determinado por vários factores, como requisitos legais, directrizes do sector empresarial ou uma avaliação adequada do momento em que já não é necessário tratar os dados pessoais para a sua actividade tratamento.

Por exemplo, o período de retenção pode ser tão curto como 0 dias ou tão longo como 5 anos, após os quais terá de apagar os dados.

Uma vez determinado o período de retenção, a próxima questão a considerar é: o que é que desencadeia o início do período de retenção?

Definição de accionadores de retenção

É importante determinar o momento em que se inicia a contagem do período de conservação, a fim de tratar correctamente os dados pessoais. Quando o evento de accionamento ocorre, o relógio do período de retenção deve começar a funcionar.

Exemplos:

  • Um utilizador cancela uma subscrição paga.
  • A subscrição de um boletim informativo é cancelada.
  • É publicado um relatório anual.
  • Um serviço foi entregue e concluído para o cliente.

Estes eventos devem accionar as suas políticas de eliminação para cada um destes processos, de modo a que os dados pessoais sejam eliminados quando já não forem necessários.

Documentar a eliminação

Para cumprir o princípio de limitação de armazenamento do RGPD, é importante eliminar os dados pessoais dos seus sistemas e documentar o tratar, uma vez que documentar a conformidade é um requisito em si mesmo.

Ao acrescentar as informações supramencionadas aos seus registos de actividades tratamento dados, está a progredir na documentação da supressão. No entanto, para cumprir totalmente os regulamentos RGPD, deve também incluir um procedimento de eliminação no seu plano de conformidade com o RGPD.

Um procedimento de eliminação pode ajudá-lo a si e aos seus colegas a garantir que os dados são removidos de forma permanente e irrecuperável. O procedimento deve incluir uma descrição do tratar técnico de apagamento, quem efectuou o apagamento, quando deve ser apagado, quando foi feito e o método utilizado. Isto é particularmente importante quando os dados são mantidos em vários locais ou formatos, como um software de contabilidade ou uma folha de Excel.

Pode acrescentar uma ligação ao seu procedimento de apagamento nos registos das actividades tratamento ou incluir a descrição directamente nos registos das actividades tratamento.

22) Definição de perfis

A definição de perfis refere-se ao tratamento automatizado de dados pessoais para analisar ou prever o comportamento e as preferências de uma pessoa. A definição de perfis pode ser utilizada, por exemplo, por companhias de seguros de saúde para avaliar os riscos de saúde de um cliente, ou por bancos para avaliar a solvabilidade.

Se efectuar a definição de perfis de clientes, empregados, etc., o artigo 30.º exige que documente essa informação nos registos das actividades tratamento.

23) Decisões automáticas

Se tomar decisões automatizadas com base na definição de perfis, é necessário registar esse facto nos seus registos de actividades tratamento.

Além disso, se o utilizador tomar decisões automatizadas, deve incluir esta informação na sua política de privacidade. Isto garante que as pessoas em causa sejam informadas do seu direito “de não ser objecto de uma decisão baseada exclusivamente no tratamento automatizado.

24) Avaliação dos riscos

Embora o RGPD não indique explicitamente que deve efectuar avaliações de risco das suas actividades tratamento, os artigos 24º, 25º e 32º exigem indirectamente que o faça.

Estes artigos exigem que o responsável pelo Responsável pelo tratamento de dados tenha em conta“os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares” e que“o Responsável pelo tratamento aplique medidas técnicas e organizativas adequadas“.

Para aplicar as medidas técnicas e organizativas adequadas necessárias, a sua empresa deve avaliar o que significa “adequado” no contexto da actividade tratamento específica. Este objectivo será alcançado através da realização de uma avaliação dos riscos da actividade tratamento.

As avaliações de risco também são importantes para a sua conformidade com RGPD, uma vez que documentam as suas considerações. Como tal, devem ser incluídos nos seus Registos de Actividades de Processamento, que é a sua ferramenta mais importante para cumprir o RGPD.

25) Medidas de segurança organizacionais e técnicas

O artigo 30.º exige igualmente a inclusão de uma descrição geral das medidas de segurança técnicas e organizativas referidas no n.º 1 do artigo 32.

Isto significa que, para cada actividade tratamento, deve considerar quais as medidas de segurança que garantem um nível de segurança adequado, tendo em conta o risco de violação dos direitos e liberdades das pessoas em causa.

Pode adicionar esta descrição directamente aos seus Registos de Actividades de Processamento ou ligar à sua Política de Segurança da Informação, que deverá abranger o assunto. É importante dispor de medidas de segurança suficientes que abranjam cada uma das suas actividades tratamento.

Recomendamos a criação de uma política geral de segurança da informação que abranja toda a sua organização. Esta política deve descrever as suas medidas gerais de segurança, tais como a utilização de câmaras de vigilância, o acesso às instalações e o software antivírus.

Recomendamos a criação de uma política para cada actividade tratamento que descreva as medidas e os procedimentos de segurança específicos dessa actividade. Por exemplo, uma política pode especificar como comunicar com os clientes por correio electrónico. Pode adicionar esta política directamente aos Registos de Actividades de Processamento ou criar uma política separada e ligá-la a partir da RoPA.

26) Procedimentos

Podem existir vários procedimentos relevantes para uma actividade tratamento e, para os acompanhar, sugerimos que se acrescente uma ligação aos registos.

Isto faz parte da sua documentação geral de conformidade e facilitará a gestão.

27) Proprietário do processo

Para cada tratar nos seus registos de actividades tratamento, deve nomear um responsável tratar e acrescentar o seu nome ao registo.

O proprietário tratar será responsável pela introdução de medidas de segurança adequadas para a actividade tratamento e por garantir que a documentação está actualizada. Não tem de ser um especialista em RGPD, mas deve trabalhar em estreita colaboração com o gestor do RGPD da empresa.

Quaisquer alterações aos processos devem ser verificadas com o gestor RGPD para garantir que as novas práticas e a documentação estão em conformidade com RGPD.

28) Registo de auditoria

Sempre que fizer alterações aos seus registos de actividades tratamento, deve incluir, no mínimo, a data da alteração e a pessoa responsável pelas alterações. Ao fazê-lo, ajudará a demonstrar as suas actualizações contínuas da documentação RGPD, que é necessária para a conformidade com o RGPD.

Além disso, facilitará o diálogo interno na empresa sobre as alterações aos registos das actividades tratamento e fornecerá documentação em caso de dúvidas.

29) Tarefas pendentes

A criação de registos das actividades tratamento exigirá o mapeamento de numerosos processos, o que dará origem a tarefas contínuas RGPD

Para manter o registo destas tarefas, recomendamos que as adicione ao registo juntamente com as actividades tratamento específicas a que se referem.

Resumo

Neste artigo, explicamos em pormenor como criar os registos das actividades tratamento, para que estejam RGPD e sejam úteis para a sua RGPD. Acrescentámos vários temas aos registos das actividades tratamento que consideramos necessários para estarmos RGPD.

Esperamos que reconheça que os registos das actividades tratamento podem ser úteis para a sua RGPD e absolutamente necessários para poder gerir os requisitos em curso para a sua organização.

Formação de sensibilização

Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.