Quais são os 7 princípios do RGPD? O GDPR é sustentado por uma série de princípios de proteção de dados que orientam a conformidade. Estes princípios descrevem as obrigações que as organizações devem cumprir quando recolhem, processam e armazenam os dados pessoais de um indivíduo.

Embora os princípios de proteção de dados sejam semelhantes aos da anterior Diretiva relativa à proteção de dados (DPP), são mais pormenorizados para garantir um maior nível de conformidade e para ter em conta os avanços tecnológicos.

Os sete princípios do RGPD fornecem às organizações um guia sobre a melhor forma de gerir os seus dados pessoais e de cumprir o RGPD.

O não cumprimento dos princípios pode expor a tua organização a multas substanciais. O RGPD estabelece que as infracções aos princípios básicos para o tratamento de dados pessoais estão sujeitas ao nível mais elevado de multas. Isto pode significar uma multa de até 4% do teu volume de negócios anual ou 20 milhões de euros, o que for maior.

Os sete princípios de proteção de dados que tens de cumprir quando processas dados pessoais são os seguintes

1. Legalidade, equidade e transparência

O primeiro princípio é possivelmente o mais importante e sublinha a total transparência para todos os titulares de dados da UE. Quando os dados são recolhidos, as organizações devem ser claras quanto à razão pela qual estão a ser recolhidos e à forma como vão ser utilizados. Se um titular de dados solicitar mais informações sobre o tratamento dos seus dados, as organizações têm o dever de as fornecer atempadamente. A recolha, o processamento e a divulgação dos dados devem ser efectuados de acordo com a lei.

2. Limitação do objetivo

As organizações devem ter uma razão específica e legítima para recolher e processar informações pessoais. Os dados só podem ser utilizados para a finalidade designada e não podem ser processados para qualquer outra utilização, exceto se o titular dos dados tiver dado o seu consentimento explícito. Existe um pouco mais de flexibilidade no que diz respeito ao tratamento efectuado para fins de arquivo de interesse público ou para fins científicos, históricos ou estatísticos.

3. Minimização de dados

De acordo com o RGPD, os dados devem ser “adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados”. Isto significa que as organizações só devem armazenar a quantidade mínima de dados necessária para a sua finalidade. As organizações não podem recolher dados pessoais apenas na eventualidade de estes poderem vir a ser úteis no futuro. Se guardarem mais dados do que os necessários, é provável que isso seja ilegal.

4. Precisão

Os dados pessoais devem ser exactos, adequados à finalidade e actualizados. Isto significa que as organizações devem rever regularmente a informação detida sobre os indivíduos e eliminar ou alterar a informação incorrecta em conformidade. Os indivíduos têm o direito de solicitar que os dados inexactos ou incompletos sejam apagados ou rectificados no prazo de 30 dias. Esta racionalização da informação ajudará a melhorar a conformidade e a garantir que as bases de dados das empresas são exactas e actualizadas.

5. Limitação da armazenagem

Quando já não precisares dos dados pessoais para a finalidade para a qual foram recolhidos, devem ser apagados ou destruídos, a menos que existam outros motivos para os manter. O RGPD não indica durante quanto tempo deves conservar os dados pessoais. Cabe à tua organização determinar isso, com base nas finalidades do processamento. Para garantir a conformidade, as organizações devem ter um processo de revisão em vigor para lidar com a limpeza das bases de dados. Embora a regra geral seja que não podes conservar os dados pessoais para utilização futura, existem excepções para fins de arquivo, investigação ou estatística.

6. Integridade e confidencialidade

Este princípio diz respeito exclusivamente à segurança. A tua organização deve garantir a aplicação de todas as medidas adequadas para proteger os dados pessoais que detém. Pode tratar-se de proteção contra ameaças internas, como a utilização não autorizada, a perda ou dano acidental, bem como contra ameaças externas, como phishing, malware ou roubo. Uma segurança deficiente da informação pode pôr em risco os teus sistemas e serviços, bem como causar sofrimento às pessoas. Não existe uma abordagem única, mas o RGPD estabelece que as organizações devem ter os níveis de segurança adequados para enfrentar os riscos apresentados pelo seu tratamento.

7. Prestação de contas

O último princípio, um novo princípio do RGPD, estabelece que as organizações devem assumir a responsabilidade pelos dados que detêm e demonstrar a conformidade com os outros princípios. Isto significa que as organizações devem ser capazes de comprovar as medidas que tomaram para demonstrar a conformidade. Isto pode incluir:

  • Avaliação das práticas actuais
  • Nomear um responsável pela proteção de dados
  • Criar um inventário de dados pessoais
  • Obter o consentimento adequado
  • Realização de avaliações do impacto da proteção de dados

A adesão a estes princípios orientadores durante a conceção, a implementação e as operações ajudará a garantir que as organizações estão em conformidade com o RGPD.

O MetaPrivacy foi concebido para fornecer a melhor abordagem prática à conformidade com a privacidade dos dados. Contacta-nos para obteres mais informações sobre como podemos ajudar a tua organização a melhorar a sua estrutura de conformidade.

AVISO LEGAL: O conteúdo e as opiniões deste blogue destinam-se apenas a fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional e não devem ser considerados ou tratados como substitutos de aconselhamento específico relevante para circunstâncias particulares, a Lei de Proteção de Dados ou qualquer outra legislação atual ou futura. O MetaCompliance não se responsabiliza por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança nos materiais contidos neste blogue.