O GDPR entrará em vigor dentro de poucos dias e dará aos cidadãos da UE muito mais controlo sobre a forma como os seus dados são armazenados e processados.
A GDPR irá alterar drasticamente os direitos do sujeito dos dados, e nos termos do artigo 17 da GDPR, os indivíduos têm o direito de ver os seus dados pessoais apagados, também conhecido como "o direito a ser esquecido".
Esta cláusula permite que os indivíduos solicitem que quaisquer registos que estejam na sua posse por uma empresa sejam permanentemente apagados se não houver razão legítima para que a empresa continue a processar esta informação.
As organizações devem dar seguimento ao pedido no prazo de um mês após a sua apresentação.
O direito a ser esquecido aplica-se quando:
- Os dados pessoais já não são necessários para a finalidade para a qual foram originalmente recolhidos
- O indivíduo retira especificamente o consentimento para o processamento e não há outra base legal para processar esta informação
- O indivíduo usa o seu direito de se opor ao processamento de dados
- Os dados pessoais foram tratados de forma ilegal
- Os dados devem ser apagados para cumprir com as obrigações legais
- O indivíduo era uma criança na altura da recolha de dados
Existem, no entanto, algumas excepções em que os dados podem não ter de ser apagados se se aplicar qualquer uma das seguintes excepções:
- O direito de liberdade e expressão
- A necessidade de cumprir uma obrigação legal
- Razões de interesse público ou no exercício de uma autoridade pública
- Investigação histórica, científica ou arquivística de interesse público
- Se os dados suportarem acções judiciais
- Se o processamento for necessário para fins de saúde pública
Quando um cidadão da UE solicita o direito a ser esquecido, um responsável pelo tratamento de dados deve apagar todos os dados pessoais que detém sobre esse indivíduo. No entanto, este não é, de forma alguma, um processo simples. A informação de um indivíduo pode estar espalhada por vários departamentos diferentes dentro de uma organização e a cópia de segurança destes dados pode ser localizada noutro sistema.
A eliminação de dados pode ser um processo difícil e demorado se as organizações não tiverem os sistemas adequados para localizar e gerir eficazmente esta informação.
Para lidar eficazmente com estes pedidos, as empresas terão de concluir uma auditoria completa dos seus sistemas para garantir que os dados possam ser facilmente localizados e apagados.
As organizações terão de determinar que dados possuem, onde são armazenados e como são processados, a fim de cumprir os requisitos da GDPR. Será igualmente importante dispor de quaisquer dados desactualizados e desnecessários, salvaguardando simultaneamente a informação crítica que ainda é necessária.
O direito a ser esquecido é complexo e tem muitas excepções e limitações. No entanto, se as empresas tiverem os processos certos em vigor, poderão cumprir a legislação e garantir que podem efectivamente exercer o direito de um indivíduo a ser esquecido.
Se desejar mais informações sobre como a sua organização pode melhorar a sua abordagem à conformidade com a GDPR, clique aqui, para saber como a MetaCompliance pode ajudar.
RESPONSABILIDADE: O conteúdo e opiniões dentro deste blog são apenas para fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional, e não devem ser confiados nem tratados como um substituto para aconselhamento específico relevante para circunstâncias particulares, a Lei de Protecção de Dados, ou qualquer outra legislação actual ou futura. A MetaCompliance não aceitará qualquer responsabilidade por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança em materiais contidos neste blog.