Artigo 5.°

Princípios relativos ao tratamento de dados pessoais

1. Os dados pessoais são:

(a)

Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados («licitude, lealdade e transparência»);

(b)

Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.°, n.° 1 («limitação das finalidades»);

(c)

Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);

(d)

Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);

(e)

Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados («limitação da conservação»);

(f)

Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»);

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.° 1 e tem de poder comprová-lo («responsabilidade»).

O que isto significa?

O RGPD regula a utilização de dados pessoais, o que é um tema complicado. Estes princípios são uma medida suave e uma forma de assegurar que todo o tratamento dados é feito de acordo com as intenções da lei. Deve ter sempre estes princípios em mente ao tratamento dados pessoais.

O artigo 5 é uma excelente orientação para avaliar as suas actividades tratamento em relação ao RGPD.

Se há uma coisa a lembrar sobre o RGPD, devem ser estes sete princípios.

O princípio da responsabilidade exige que documente a sua conformidade com os princípios estabelecidos no artigo 5. Este é um requisito essencial e pode parecer algo arbitrário.

Para cada actividade tratamento que já tem ou planeia iniciar, deve conceber o seu tratamento para cumprir estes princípios.

Uma maneira de o fazer é incluir uma descrição da sua conformidade com estes princípios nos seus registos de actividades de tratamento (artigo 30). Em muitos aspectos, seguir os requisitos do artigo 30 permite cumprir o princípio de responsabilização do artigo 5.

Os funcionários devem seguir estes princípios dentro da sua organização. Assim, a formação dos seus empregados nestes princípios torna-se uma ferramenta para o cumprimento e uma excelente forma de melhorar a segurança dos dados na prática. Demonstrar que formou os seus empregados nestes princípios é uma das várias medidas que pode tomar para demonstrar o cumprimento do princípio da responsabilização.

Deve-se sempre seguir a lei e as suas intenções. Deve tratar de forma transparente os dados pessoais para que o sujeito possa conscientemente consentir ou envolver-se com o seu negócio. Os dados pessoais dos clientes e empregados devem ser tratar de forma justa e de uma forma esperada.

A finalidade original da sua recolha de dados e do seu tratamento deve ser respeitada. Por exemplo, se recolher endereços de correio electrónico para o seu boletim comercial, deverá respeitar a finalidade original desta recolha de dados, ou seja, o envio de um boletim em nome da sua empresa. Não deve partilhar estes e-mails com empresas ou utilizá-los para outros fins que não os já informados aos seus sujeitos de dados.

O seu tratamento de dados pessoais deve limitar-se ao necessário para cumprir o seu objectivo com o tratamento dos seus dados. Em geral, o tratamento de dados pessoais deve ser efectuado com base na “necessidade de ter” e não na “boa vontade”.

O tratamento dados deve ser exacto. A exactidão implica ter procedimentos organizacionais, sistemas e implementações técnicas para assegurar que os dados sejam correctos e actualizados.

Não é possível armazenar dados pessoais por mais tempo do que o necessário. Define a sua necessidade com base na finalidade da actividade de tratamento e nos requisitos legais para limitações de armazenamento. Muitas actividades de tratamento têm ligações legais, por exemplo, às leis laborais, e estas devem ser seguidas.

O seu negócio deve assegurar a integridade dos dados pessoais e, portanto, a fiabilidade e exactidão dos dados ao longo do tempo.

A sua empresa deve tratar os dados pessoais com confidencialidade, e indivíduos não autorizados não devem ter acesso aos dados dos seus clientes ou empregados.

Os indivíduos não autorizados podem ser hackers, ladrões, ou empregados comuns que não têm qualquer razão para aceder a dados pessoais específicos.

Pode assegurar a integridade e confidencialidade dos dados pessoais através da implementação de medidas técnicas e organizacionais adequadas.

Um nível adequado de segurança pode variar internamente dentro da empresa entre os diferentes objectivos que tem para tratamento dados. Pode também variar entre empresas, uma vez que todas elas têm várias actividades de tratamento.

Pode avaliar se tem um nível de segurança adequado, realizando uma avaliação de risco das suas actividades de tratamento dados pessoais.

Com o resultado de uma avaliação de risco em mãos, pode avaliar quais as áreas do seu negócio que podem exigir segurança adicional.

Formação de sensibilização

Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.

Discover

About

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!