Os 7 princípios GDPR fornecem um quadro para assegurar que a privacidade dos dados é respeitada, mantida e cumpre os requisitos GDPR. O Regulamento Geral de Protecção de Dados, ou GDPR, entrou no léxico empresarial com um rugido em 2016. Desde então, a GDPR tem perturbado a forma como as empresas em todo o mundo lidam com a privacidade dos consumidores. Compreender como cumprir com a GDPR tem sido muitas vezes oneroso. Contudo, a consciência da privacidade do consumidor significa que as empresas devem levar a privacidade a sério.
O Estudo de Referência de Privacidade de Dados da Cisco 2023 conclui que 94% dos consumidores só comprariam a uma empresa se os seus dados estivessem devidamente protegidos.
Para o ajudar a cumprir a GDPR, a MetaCompliance explica os sete princípios orientadores subjacentes à GDPR e que melhores práticas ajudam uma empresa a cumprir este importante quadro de protecção de dados.
Quais são os 7 princípios de protecção de dados do GDPR?
O GDPR está tipicamente associado à UE. Contudo, o GDPR do Reino Unido segue princípios semelhantes e estabelece sete princípios de protecção de dados reflectidos no artigo 5º do regulamento. Os princípios formam o quadro para uma boa concepção da privacidade e asseguram que a privacidade é alcançável e mantida no interesse público. Os sete princípios da protecção de dados da GDPR são:
Licitude, Equidade e Transparência
A GDPR estabelece bases legais para a recolha e processamento de dados pessoais, incluindo a protecção. A base legal para o processamento de dados inclui o seguinte:
- Consentimento explícito
- Necessidade contratual
- Qualquer obrigação legal de proteger um indivíduo
- Uma tarefa pública no interesse público
- Interesse legítimo
O princípio orientador da "Legalidade, Equidade e Transparência" assegura que o processamento de dados é feito de forma transparente e ao abrigo do quadro regulamentar do processamento lícito. Portanto, equidade e legalidade são duas faces da mesma moeda no que diz respeito à aplicação do GDPR.
Objectivo Limitação
Este é um aspecto essencial da privacidade por concepção e por defeito, o quadro subjacente ao GDPR. Especifica que uma organização afectada só deve recolher os dados de que necessita para levar a cabo a tarefa. O artigo 5º da GDPR explica que os dados devem ser "recolhidos para fins específicos, explícitos e legítimos".
Para alcançar a limitação da finalidade, uma empresa deve ser capaz de justificar as razões para a recolha de dados. Os clientes devem ser notificados das razões para a recolha de dados utilizando políticas de privacidade. Se a sua empresa continuar a utilizar os dados recolhidos para fins diferentes daqueles que descreveu, estará em incumprimento dos princípios da GDPR.
Minimização de dados
A minimização de dados está relacionada com a limitação da finalidade, mas analisa os dados especificamente. A minimização de dados é a recolha apenas dos dados necessários para levar a cabo a tarefa. Por exemplo, se precisar de um nome e endereço, mas uma data de nascimento não é necessária para processar uma transacção, assegure-se de que apenas toma o nome e endereço. A minimização de dados é uma medida de segurança importante, uma vez que reduz o risco para um indivíduo se os dados forem expostos.
Precisão
A exactidão dos dados pode ser um dos princípios mais complexos a cumprir. No entanto, a GDPR espera que se dê "todos os passos razoáveis... para assegurar que os dados pessoais inexactos, tendo em conta os fins para os quais são processados, sejam apagados ou rectificados sem demora".
Limitação de armazenamento
A duração do armazenamento de dados é outra orientação crucial enquadrada pelos princípios de protecção de dados do GDPR 7. Se optar por armazenar dados, deve ter uma razão sólida para o fazer. Uma posição de partida ideal é não armazenar dados se não for necessário. No entanto, se tiver de guardar cópias dos dados, estabeleça uma política de conservação de dados e faça cumprir essa política. Além disso, é essencial assegurar a segurança dos dados através de medidas de segurança técnicas e organizacionais adequadas.
Integridade e Confidencialidade
A integridade e a confidencialidade dos dados pessoais são cruciais para garantir a privacidade destes dados. A GDPR menciona a utilização de medidas de segurança adequadas para proteger os dados contra perda acidental, destruição, ou danos. Utilizar as melhores ferramentas de segurança disponíveis para proteger os dados durante o trânsito e no armazenamento, mas também apoiar esta medida utilizando formação de sensibilização para a segurança e simulações de phishing para reduzir o risco de dados expostos.
Prestação de contas
A responsabilização é um aspecto essencial do respeito e protecção da privacidade moderna. No contexto da GDPR, a responsabilização refere-se à utilização de medidas técnicas e organizacionais adequadas por uma organização e à capacidade de demonstrar essas medidas, se solicitado.
Seis Melhores Práticas para a Realização dos 7 Princípios GDPR
As organizações podem tomar medidas específicas para cumprir os princípios dos 7 GDPR. Seis das melhores práticas para assegurar que a privacidade dos dados é respeitada, mantida, e cumpre os requisitos da GDPR incluem:
- Gestão do ciclo de vida da privacidade: A conformidade com a GDPR pode ser uma área complexa que abrange a gestão de bens, terceiros e medidas de protecção de dados. Um Privacy Lifecycle Management System(PLMS) é um portal centralizado que oferece uma forma de automatizar os processos envolvidos no processamento de dados. Um PLMS também permitirá a uma organização gerar relatórios para demonstrar a conformidade.
- Sensibilização para a privacidade e regulamentação: ao realizar a Formação de Sensibilização para a Segurança, assegure-se de que inclui módulos sobre o papel do pessoal na manutenção da conformidade com a GDPR. Estes módulos irão educar os funcionários sobre privacidade de dados, processamento ilegal, higiene de correio electrónico e palavra-passe, e sensibilização geral para a segurança, tal como a utilização de credenciais de login robustas.
- Privacidade por Concepção e Padrão: conceba os seus serviços e sistemas para recolher o mínimo de dados necessários para processar uma transacção. Criar experiências de recolha de dados dos utilizadores que incluam políticas de privacidade de fácil acesso e leitura e modelos de consentimento que sejam intuitivos.
- Política de privacidade: descreva os dados que recolhe e porquê; partilhe detalhes das actividades de processamento de dados e da sua política de retenção de dados.
- Concepção para a precisão: utilizar sistemas que possam verificar a precisão dos dados de que necessita; por exemplo, utilizar serviços de verificação para verificar a moeda do endereço. Ter um plano para tratar de pedidos de alteração, apagamento, arquivamento ou alterações de dados que considerem necessários para serem actualizados ou completados.
- Medidas de segurança: utilizar criptografia e autenticação robustas para proteger os dados em trânsito e em repouso (armazenamento). A anonimização ou pseudonimização de dados é útil em determinadas circunstâncias.