O Regulamento Geral sobre a Proteção de Dados (RGPD) entrou em vigor a 25 de maio de 2018 e reformulou completamente a forma como as empresas processam e tratam os dados. As organizações tiveram que se adaptar rapidamente para garantir que estão em conformidade com a nova legislação e não são responsáveis pelas grandes multas que dominaram as manchetes nos últimos meses.

O que muitas organizações não previram foi o ataque de indivíduos que exercem os seus direitos ao abrigo da nova legislação através da apresentação de pedidos de acesso. O GDPR reforçou os direitos existentes para os indivíduos e deu-lhes o poder de descobrir como os seus dados pessoais estão a ser utilizados.  

Um Pedido de Acesso de Sujeito (SAR) é o direito de acesso que permite a um indivíduo solicitar as informações que uma organização detém sobre ele, por que razão detém essas informações e com quem são partilhadas. Desde a implementação do GDPR, o O ICO registou um “aumento sem precedentes da procura” de SAR. Este facto, por sua vez, tem colocado uma enorme pressão sobre os serviços públicos e as organizações que são obrigadas a responder dentro de um determinado prazo.

Pensa-se que o aumento dramático das SAR foi impulsionado por um aumento das violações de dados e por uma desconfiança geral do público em relação à forma como as organizações estão a utilizar os seus dados.

Uma parte importante da conformidade com o RGPD é compreender como lidar eficazmente com uma SAR. Não cumprir o prazo ou não fornecer aos indivíduos todas as informações de que necessitam pode expor a sua organização a acções regulamentares e a multas elevadas.

Como lidar com os Pedidos de Acesso de Sujeitos

1. Reconhece o pedido de acesso do titular

O RGPD não estabelece termos específicos sobre a forma como um indivíduo pode fazer um pedido válido de informação, pelo que este pode ser feito verbalmente, por escrito ou mesmo nas redes sociais. O pedido nem sequer precisa de incluir a frase “pedido de acesso do titular”, desde que o indivíduo deixe claro que está a pedir as suas informações pessoais. As organizações devem assegurar que o pessoal específico tem formação para identificar um SAR e que existem protocolos corretos para registar os pedidos.

2. Conhece as tuas obrigações

Uma pessoa só tem direito aos seus próprios dados pessoais, e não a informações relativas a outras pessoas. Por conseguinte, tens de determinar se a informação solicitada se enquadra na definição de dados pessoais.

A UE define “dados pessoais” como qualquer informação que possa ser utilizada para identificar direta ou indiretamente um indivíduo (titular dos dados). Isto pode incluir tudo, desde um nome, endereço eletrónico, endereço IP e imagens. Inclui também dados pessoais sensíveis, como dados biométricos ou dados genéticos, que podem ser tratados para identificar uma pessoa.

A menos que o indivíduo tenha especificado a informação exacta que pretende, terás de procurar toda a informação disponível que seja relevante para a pessoa. Para além de uma cópia dos seus dados pessoais, também tens de fornecer às pessoas as seguintes informações:

  • A finalidade do teu tratamento
  • Os tipos de dados pessoais em causa
  • Informação sobre a fonte dos dados
  • Com quem foram partilhados os dados
  • Durante quanto tempo os dados serão armazenados
  • A existência do seu direito de solicitar a retificação, o apagamento ou a limitação ou de se opor a esse tratamento
  • O teu direito de apresentar uma queixa ao ICO ou a outra autoridade de controlo
  • A existência de decisões automatizadas, incluindo a definição de perfis
  • As salvaguardas que forneces se transferires dados pessoais para um país fora da UE ou para uma organização internacional.

3. Verifica a identidade da pessoa

Antes de responder a uma SAR, tens de te certificar de que a pessoa que pede os seus dados pessoais é quem diz ser. Para verificar a sua identidade, pode pedir um documento de identificação com fotografia ou uma conta de serviços públicos. Se a pessoa que faz o pedido for um empregado da tua organização, não precisarás de qualquer prova adicional de identificação.

O SAR também pode ser efectuado através de um terceiro, como um advogado ou um familiar próximo. Nestes casos, necessitarás de confirmar que o terceiro foi instruído para agir em nome do indivíduo.

4. Responde dentro do prazo designado

Nos termos do RGPD, as organizações são obrigadas a responder “sem demora injustificada” e no prazo de um mês após a receção do pedido. Se a identidade da pessoa tiver de ser confirmada, o prazo de resposta começa a contar a partir do momento em que a pessoa fornece as informações necessárias.

Se o pedido for complexo ou se tiveres recebido vários pedidos da mesma pessoa, o prazo de resposta pode ser prorrogado por mais dois meses. Neste caso, tens de notificar a pessoa em causa da necessidade da prorrogação.

5. Isenções aos pedidos de acesso de pessoas singulares

Não deves divulgar os dados pessoais de um indivíduo se isso afetar negativamente os direitos de outros indivíduos. As excepções a esta regra são os casos em que a outra pessoa tenha dado o seu consentimento para a divulgação, ou se for razoável satisfazer o pedido sem o consentimento da pessoa.

O RGPD e a Lei de Proteção de Dados de 2018 também estabelecem algumas isenções que se aplicam em determinadas circunstâncias. Por exemplo, quando a divulgação prejudicaria funções regulamentares definidas ou para comunicações que estão sujeitas a privilégio profissional legal.

6. Taxas e pedidos excessivos

Ao abrigo da antiga lei, as organizações podiam cobrar até £10 pela realização de um SAR, mas o RGPD eliminou esta barreira e a informação deve agora ser fornecida gratuitamente. No entanto, o ICO declarou que, se receberes um pedido de acesso que seja “manifestamente infundado ou excessivo”, podes cobrar uma taxa razoável para fazer face aos custos administrativos.

7. Divulga as informações de forma segura

Se uma pessoa fizer um pedido por via eletrónica, deves responder fornecendo a informação em formato eletrónico, a menos que a pessoa especifique o contrário. A informação deve ser divulgada de forma tão segura quanto possível.

8. Mantém um registo do pedido de acesso do titular

Deves manter uma pista de auditoria clara do SAR para o caso de ser apresentada uma queixa ao ICO numa data posterior. Esta deve incluir as informações recolhidas, o processo de análise, as principais decisões tomadas, se foram aplicadas isenções, a resposta dada, bem como a correspondência trocada com o indivíduo ou terceiros.

O MetaPrivacy foi concebido para fornecer a melhor abordagem prática à conformidade com a privacidade dos dados. Contacta-nos para obteres mais informações sobre como podemos ajudar a tua organização a melhorar a sua estrutura de conformidade.

AVISO LEGAL: O conteúdo e as opiniões deste blogue destinam-se apenas a fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional e não devem ser considerados ou tratados como substitutos de aconselhamento específico relevante para circunstâncias particulares, a Lei de Proteção de Dados ou qualquer outra legislação atual ou futura. O MetaCompliance não se responsabiliza por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança nos materiais contidos neste blogue.