1. Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.
2. O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.
3. Pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas nos n.°ˢ 1 e 2 do presente artigo, um procedimento de certificação aprovado nos termos do artigo 42.°.
O artigo 25.º do RGPD aborda o conceito de “proteção de dados desde a conceção e por defeito”, comummente designado por privacidade desde a conceção e privacidade por defeito.
As organizações devem implementar medidas técnicas e organizacionais adequadas para garantir que os princípios de proteção de dados são integrados na conceção e funcionamento dos seus sistemas, produtos e serviços.
O objetivo é reforçar a privacidade e a proteção dos dados em todas as fases do tratamento de dados pessoais.
Este conceito é essencial para alcançar uma proteção de dados eficaz e, assim, garantir a conformidade com os regulamentos do RGPD.
Para garantir a proteção dos direitos e liberdades das pessoas, é essencial proceder a uma avaliação dos riscos. Esta avaliação do risco deve avaliar a probabilidade e a gravidade dos potenciais impactos na privacidade e na proteção dos dados pessoais.
Isto pode ser feito avaliando a natureza dos dados pessoais envolvidos, a sensibilidade dos dados e as potenciais consequências se os dados forem comprometidos ou mal tratados.
A avaliação do risco determinará o nível de risco atual. Em seguida, deve tomar medidas para reduzir esse risco para um nível aceitável, implementando medidas técnicas e organizacionais.
A privacidade desde a conceção é uma abordagem que incorpora características e princípios de proteção de dados e privacidade no processo de desenvolvimento de sistemas, produtos e serviços.
Envolve a identificação e a abordagem de potenciais riscos para a privacidade e a implementação de medidas para atenuar esses riscos.
Todas as organizações são obrigadas a incorporar a privacidade desde a conceção no seu tratamento de dados pessoais, tal como referido no artigo 25º do RGPD.
Privacidade por defeito refere-se à prática de definir a opção por defeito em qualquer processo ou sistema para a escolha mais favorável à privacidade, sem exigir qualquer ação do indivíduo. Este princípio está em consonância com o princípio de proteção de dados da minimização de dados.
Ao optar por uma privacidade melhorada, os indivíduos têm a garantia do mais alto nível de proteção da privacidade a partir do momento em que começam a utilizar um sistema, produto ou serviço.
Além disso, a privacidade por defeito significa que as organizações devem limitar a recolha, utilização e armazenamento de dados pessoais apenas ao necessário para os fins especificados.
O artigo 25.º exige que a sua organização implemente a privacidade desde a conceção e por defeito, o que significa ajustar todo o tratamento de dados pessoais de modo a protegê-los.
Infelizmente, as organizações dão frequentemente prioridade à segurança e à proteção da privacidade como uma reflexão posterior, depois de o produto ou o processo comercial já ter sido concebido.
Isto torna-se ainda mais problemático à medida que novos processos e sistemas são continuamente acrescentados e integrados nos existentes. Isto leva a um cenário de segurança disperso e complexo para a organização, cheio de inseguranças que são difíceis de corrigir e proteger. Consequentemente, as despesas gerais também aumentam.
A integração dos requisitos do artigo 25.º melhorará a proteção dos dados pessoais e facilitará a sua manutenção à medida que os processos e sistemas empresariais se desenvolvem.
Alguns exemplos de implementação da privacidade desde a conceção e por defeito incluem:
Sim, existem requisitos específicos para a implementação da proteção de dados desde a conceção e por defeito.
O artigo 25º do RGPD exige que as organizações implementem medidas técnicas e organizacionais adequadas para garantir que os princípios de proteção de dados são considerados e integrados na conceção e funcionamento dos seus sistemas, produtos e serviços.
Isto inclui a adoção de uma abordagem proactiva à privacidade e à proteção de dados, definindo a privacidade como predefinição, minimizando a recolha de dados, assegurando a limitação da finalidade, proporcionando transparência às pessoas, dando controlo ao utilizador e obtendo o seu consentimento, implementando medidas de segurança dos dados, etc.
Para garantir a conformidade com o artigo 25.º do RGPD, uma empresa deve adotar as seguintes medidas
Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.
Once you have submitted your details, you’ll be our top priority!
