A Covid-19 criou desafios sem precedentes para organizações em todo o mundo. Num curto espaço de tempo, as organizações tiveram de montar rapidamente operações remotas, reagir rapidamente a novos riscos, adaptar processos, tudo isto mantendo ao mesmo tempo a conformidade com o GDPR.
Como resultado da pandemia, as organizações estão agora a recolher e a processar novos tipos de informação sobre indivíduos. Grande parte desta informação insere-se nas categorias de "dados pessoais" e "categorias especiais de dados pessoais", ambas sujeitas a rigorosos requisitos de conformidade ao abrigo do GDPR.
A rápida transição para o trabalho à distância também realçou a importância da protecção de dados, uma vez que os cibercriminosos procuram explorar a pandemia e utilizá-la como meio para lançar ataques direccionados. Novos riscos de cibersegurança estão sempre a surgir, pelo que é crucial que as organizações implementem as medidas correctas necessárias para manter a segurança de dados mais rigorosa que o GDPR exige.
O Gabinete do Comissário de Informação do Reino Unido (ICO) afirmou que compreende as dificuldades que as organizações enfrentam actualmente e que adoptará uma abordagem "razoável e pragmática" para fazer cumprir as obrigações em matéria de protecção de dados. Contudo, deixaram claro que ainda se espera muito das organizações que mantenham um bom nível de conformidade com o GDPR enquanto se adaptam a este novo ambiente de trabalho.
Para assegurar que a sua organização se mantém em conformidade com o GDPR durante o Covid-19, delineámos uma série de passos que pode tomar.
Dicas para atingir o cumprimento do GDPR durante a Covid-19
1. Realizar uma Avaliação de Impacto sobre a Protecção de Dados (DPIA)
Para cumprir o GDPR, deve ser capaz de demonstrar que está a realizar requisitos de registo adicionais ao processar dados sensíveis. Como a informação sobre saúde é classificada como uma "categoria especial de dados pessoais", comporta um risco mais elevado. Uma forma de demonstrar a responsabilidade e de assegurar as medidas adequadas para proteger estes dados é através de uma Avaliação de Impacto de Protecção de Dados. Os DPIAs ajudam a identificar e minimizar os riscos relacionados com o processamento de dados pessoais.
O DPIA deve partir:
- A actividade em processamento
- Os riscos da protecção de dados
- Se a actividade é necessária e proporcional
- Como o risco será mitigado
- Confirmação de que a mitigação tem sido eficaz
A DPIA será crucial para demonstrar a conformidade e reduzir os riscos relacionados com a protecção de dados para a sua organização.
2. Só recolher e processar o que é necessário
Segundo a GDPR, as organizações devem ter uma razão específica e legítima para recolher e processar informação pessoal. Os dados só podem ser utilizados para fins específicos e não devem ser tratados para qualquer outra utilização, a menos que o titular dos dados tenha dado o seu consentimento explícito. Quaisquer dados recolhidos devem ser limitados apenas ao necessário para atingir esses fins específicos.
Isto significa que a sua organização deve avaliar e identificar os tipos de dados pessoais que necessitam de ser processados de modo a manter o pessoal em segurança. Por exemplo, é necessário realizar verificações de temperatura à medida que os funcionários entram no escritório? Deverão ser notificados os contactos de um funcionário que tenha resultados positivos no teste Covid-19? A sua organização não pode simplesmente recolher dados pessoais na hipótese de estes poderem ser úteis no futuro, deve haver objectivos claros quanto à razão pela qual estes dados estão a ser processados. Se conseguir demonstrar que a sua abordagem é razoável, justa, e proporcional às circunstâncias, então é pouco provável que seja ilegal.
3. Ser transparente
Ao processar dados pessoais, deve ser aberto e honesto sobre o que está a fazer com eles. Por exemplo, se a sua organização precisar de implementar testes para funcionários ou se tiver de recolher dados para fins de rastreio de contactos, deve ser transparente e disponibilizar certas informações a estes indivíduos. Os funcionários têm o direito de saber porque necessitam destes dados, o que tencionam fazer com eles e com quem os vão partilhar.
É melhor ter esta informação escrita num documento conhecido como aviso de privacidade. Uma nota de privacidade é um dos documentos chave que terá de produzir se processar dados pessoais, a fim de cumprir com a GDPR. Essencialmente, explica como recolhe, processa, e utiliza os dados das pessoas. A sua actual nota de privacidade pode já delinear que informações podem ser recolhidas e processadas durante uma crise de saúde, mas esta pode precisar de ser actualizada para reflectir quaisquer novas actividades de processamento de dados que estejam a ser realizadas durante a actual pandemia de Covid-19.
4. Manter a informação segura
Quaisquer dados pessoais que possua devem ser guardados em segurança e apenas durante o tempo necessário. Uma política de retenção ajudará a determinar quando a informação pessoal precisa de ser revista, apagada ou eliminada. Os registos físicos devem ser bloqueados para evitar violações de dados, e devem ser tomadas medidas de segurança adequadas para proteger os dados pessoais que são armazenados digitalmente.
Apesar da rápida transição para o trabalho remoto, o OIC declarou que as organizações deveriam adoptar o mesmo tipo de medidas de segurança que utilizariam em circunstâncias normais. Para prevenir quaisquer violações de dados pessoais e reduzir a hipótese de um ataque cibernético dispendioso, é importante manter a segurança dos sistemas, software, e manter-se vigilante às ameaças cibernéticas relacionadas com o Coronavírus. Os empregados também terão de ser instruídos sobre a evolução das ameaças e treinados sobre como utilizar as novas ferramentas e processos de segurança que permitirão um trabalho remoto seguro.
Além disso, as organizações são ainda legalmente obrigadas a revelar quaisquer violações de dados pessoais à autoridade de supervisão relevante no prazo de 72 horas após a sua detecção.
5. Respeitar os Direitos do Sujeito dos Dados
Apesar de operar em circunstâncias excepcionais, é crucial que a sua organização informe os indivíduos sobre os seus direitos em relação aos seus dados pessoais. A GDPR proporciona os seguintes direitos aos indivíduos:
- O direito a ser informado - Os indivíduos têm o direito de ser informados sobre a recolha e utilização dos seus dados pessoais.
- O direito de acesso - Os indivíduos têm o direito de aceder aos seus dados pessoais e a qualquer informação suplementar. Podem solicitar uma cópia de todas as informações que lhes digam respeito e esta deve ser fornecida gratuitamente e no prazo de um mês após a apresentação do pedido.
- O direito à rectificação - Os indivíduos podem solicitar que quaisquer dados pessoais incorrectos sejam rectificados.
- O direito ao apagamento - Os indivíduos podem solicitar que os seus dados pessoais sejam apagados. O direito ao apagamento é também conhecido como o direito a ser esquecido.
- O direito de restringir o processamento - Em certas circunstâncias, os indivíduos podem solicitar que o processamento posterior dos seus dados seja restringido. Quando o processamento é restrito, tem permissão para armazenar os seus dados pessoais, mas não os utiliza.
- O direito à portabilidade dos dados - Os indivíduos podem obter e reutilizar os seus dados pessoais para os seus próprios fins através de outros serviços.
- O direito de oposição - A menos que existam razões legítimas para o processamento dos dados pessoais de um indivíduo, este mantém o direito de oposição ao processamento.
- Direitos em relação à tomada de decisão automatizada e à definição de perfis - A GDPR tem disposições sobre a tomada de decisão individual automatizada. Isto reduz o risco de quaisquer decisões adversas serem tomadas sem intervenção humana.
Se a sua organização implementou a verificação ou teste dos sintomas, há requisitos adicionais que terá de seguir. Estes incluem a identificação de uma base legal para a utilização da informação que recolhe e a realização de uma DPIA se os dados de saúde estiverem a ser processados em grande escala.