O Regulamento Geral de Protecção de Dados (GDPR) entrou em vigor em 25 de Maio de 2018 e reformulou completamente a forma como as empresas processam e tratam os dados. As organizações tiveram de se adaptar rapidamente para garantir a sua conformidade com a nova legislação e não serem responsáveis pelas grandes multas que dominaram as manchetes nos últimos meses.
O que muitas organizações não tinham previsto era a investida de indivíduos que exerciam os seus direitos ao abrigo da nova legislação através da apresentação de pedidos de acesso ao assunto. A GDPR reforçou os direitos existentes dos indivíduos e deu-lhes poderes para saberem como os seus dados pessoais estão a ser utilizados.
Um Pedido de Acesso a Assunto (SAR) é o Direito de Acesso que permite a um indivíduo solicitar que informação uma organização detém sobre ela, porque é que detém essa informação e com quem é partilhada. Desde a implementação do GDPR, o ICO tem registado um "aumento sem precedentes da procura" em SARs. Isto, por sua vez, colocou uma enorme pressão sobre os serviços públicos e organizações que são obrigadas a responder dentro de um prazo determinado.
Pensa-se que o aumento dramático das SAR foi impulsionado por um aumento das violações de dados e por uma desconfiança geral do público na forma como as organizações estão a utilizar os seus dados.
Uma parte importante do cumprimento do GDPR é compreender como lidar eficazmente com uma SAR. O não cumprimento do prazo ou o não fornecimento aos indivíduos de todas as informações de que necessitam poderia expor a sua organização a acções regulamentares e a grandes multas.
Como lidar com Pedidos de Acesso a Assunto
1. Reconhecer o pedido de acesso ao assunto
A GDPR não estabelece termos específicos sobre como um indivíduo pode fazer um pedido válido de informação, pelo que pode ser feito verbalmente, por escrito ou mesmo nas redes sociais. O pedido não precisa sequer de incluir a frase "pedido de acesso ao assunto", desde que o indivíduo deixe claro que está a solicitar as suas informações pessoais. As organizações devem assegurar que o pessoal específico seja formado para identificar uma SAR e que os protocolos correctos estejam em vigor para os pedidos de registo.
2. Conheça as suas obrigações
Um indivíduo só tem direito aos seus próprios dados pessoais, e não a informações relacionadas com outras pessoas. Por conseguinte, deve estabelecer se as informações solicitadas se enquadram na definição de dados pessoais.
A UE define "Dados Pessoais" como qualquer informação que possa ser utilizada para identificar directa ou indirectamente um indivíduo (pessoa em causa). Isto pode incluir tudo desde um nome, endereço de correio electrónico, endereço IP e imagens. Inclui também dados pessoais sensíveis, tais como dados biométricos ou dados genéticos que podem ser processados para identificar um indivíduo.
A menos que o indivíduo tenha especificado a informação exacta que necessita, terá de procurar toda a informação disponível que seja relevante para a pessoa. Para além de uma cópia dos seus dados pessoais, terá também de fornecer às pessoas as seguintes informações:
- O objectivo do seu processamento
- Os tipos de dados pessoais em questão
- Informação sobre a fonte dos dados
- Com quem os dados foram partilhados
- Por quanto tempo os dados serão armazenados
- A existência do seu direito de pedir rectificação, apagamento ou restrição ou de se opor a tal processamento
- O seu direito de apresentar uma queixa junto do OIC ou outra autoridade de supervisão
- A existência de tomada de decisão automatizada, incluindo a definição de perfis
- As salvaguardas que fornece se transferir dados pessoais para um país fora da UE ou para uma organização internacional.
3. Verificar a identidade do indivíduo
Antes de responder a uma SAR, terá de se certificar de que a pessoa que solicita os seus dados pessoais é quem diz ser. Para verificar a sua identidade, pode solicitar uma identificação fotográfica ou uma conta de serviços públicos. Se a pessoa que faz o pedido for um funcionário da sua organização, não necessitará de qualquer prova adicional de identificação.
Uma SAR também pode ser feita através de um terceiro, tal como um solicitador ou um membro próximo da família. Nestes casos, necessitará de confirmação de que o terceiro foi instruído a agir em nome do indivíduo.
4. Responder dentro do período de tempo designado
Nos termos do GDPR, as organizações são obrigadas a responder "sem demora indevida" e no prazo de um mês após a recepção do pedido. Se a identidade do indivíduo precisar de ser confirmada, o prazo de resposta começa a contar a partir do momento em que este fornece a informação requerida.
Se o pedido for complexo ou se tiver recebido vários pedidos do mesmo indivíduo, o tempo de resposta pode ser prolongado por mais dois meses. Neste caso, deve notificar o indivíduo do motivo da necessidade da prorrogação.
5. Isenções aos Pedidos de Acesso ao Assunto
Não deve divulgar os dados pessoais de um indivíduo se isso afectar negativamente os direitos de outros indivíduos. As excepções são quando o outro indivíduo tiver dado o seu consentimento para a divulgação, ou se é razoável cumprir o pedido sem o consentimento do indivíduo.
A GDPR e a Lei de Protecção de Dados de 2018 também estabelecem algumas isenções que se aplicam em determinadas circunstâncias. Por exemplo, quando a divulgação prejudicaria funções reguladoras definidas ou para comunicações que estejam sujeitas a privilégios profissionais legais.
6. Taxas e pedidos excessivos
Ao abrigo da antiga lei, as organizações podiam cobrar até £10 pela realização de uma SAR, mas o GDPR eliminou desde então esta barreira e a informação deve agora ser fornecida gratuitamente. No entanto, o ICO declarou que se receber um pedido de acesso ao assunto que seja "manifestamente infundado ou excessivo", pode cobrar uma taxa razoável para lidar com os custos administrativos.
7. Divulgar a informação de forma segura
Se um indivíduo fizer um pedido electronicamente, deverá responder fornecendo as informações em formato electrónico, a menos que o indivíduo especifique o contrário. A informação deve ser divulgada da forma mais segura possível.
8. Manter um registo do pedido de acesso ao assunto
Deverá manter uma pista de auditoria clara da SAR no caso de ser apresentada uma queixa ao ICO numa data posterior. Isto deve incluir as informações que foram recolhidas, o processo de revisão, as decisões-chave tomadas, se foram aplicadas isenções, a resposta fornecida, bem como a correspondência trocada com o indivíduo ou terceiros.
A MetaPrivacidade foi concebida para fornecer a melhor abordagem prática para o cumprimento da privacidade dos dados. Contacte-nos para mais informações sobre como podemos ajudar a sua organização a melhorar a sua estrutura de conformidade.
RESPONSABILIDADE: O conteúdo e opiniões dentro deste blog são apenas para fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional e não devem ser confiados nem tratados como um substituto para aconselhamento específico relevante para circunstâncias particulares, a Lei de Protecção de Dados, ou qualquer outra legislação actual ou futura. A MetaCompliance não aceitará qualquer responsabilidade por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança em materiais contidos neste blog.