O GDPR é sustentado por uma série de princípios de protecção de dados que impulsionam o cumprimento. Estes princípios descrevem as obrigações a que as organizações devem aderir quando recolhem, processam e armazenam os dados pessoais de um indivíduo.
Embora os princípios de protecção de dados sejam semelhantes aos encontrados na anterior Directiva de Protecção de Dados (DPP), são mais detalhados para assegurar maiores níveis de conformidade e para ter em conta os avanços tecnológicos.
Os sete princípios da GDPR fornecem às organizações um guia sobre a melhor forma de gerirem os seus dados pessoais e de alcançarem a conformidade com a GDPR.
O não cumprimento dos princípios pode deixar a sua organização sujeita a multas substanciais. A GDPR declara que as infracções aos princípios básicos para o processamento de dados pessoais estão sujeitas ao mais alto nível de multas. Isto pode significar uma multa até 4% do seu volume de negócios anual ou 20 milhões de euros, o que for maior.
Os sete princípios de protecção de dados que deve cumprir ao processar dados pessoais são os seguintes:
1. Licitude, equidade e transparência
O primeiro princípio é possivelmente o mais importante e enfatiza a transparência total para todos os sujeitos de dados da UE. Quando os dados são recolhidos, as organizações devem ser claras sobre os motivos da sua recolha e a forma como serão utilizados. Se uma pessoa em causa solicitar mais informações sobre o tratamento dos seus dados, as organizações têm o dever de as fornecer atempadamente. A recolha, tratamento e divulgação de dados deve ser feita em conformidade com a lei.
2. Limitação do objectivo
As organizações devem ter uma razão específica e legítima para recolher e processar informações pessoais. Os dados só podem ser utilizados para a finalidade designada e não devem ser tratados para qualquer outra utilização, a menos que o titular dos dados tenha dado o seu consentimento explícito. Há um pouco mais de flexibilidade com o processamento que é conduzido para fins de arquivo no interesse público ou para fins científicos, históricos ou estatísticos.
3. Minimização dos dados
Segundo a GDPR, os dados devem ser "adequados, pertinentes e limitados ao necessário em relação aos fins para os quais são processados". Isto significa que as organizações devem armazenar apenas a quantidade mínima de dados necessários para os seus fins. As organizações não podem simplesmente recolher dados pessoais sobre a hipótese de estes poderem ser úteis no futuro. Se estiverem na posse de mais dados do que aqueles que são necessários, é provável que sejam ilegais.
4. Precisão
Os dados pessoais devem ser exactos, adequados à finalidade e actualizados. Isto significa que as organizações devem rever regularmente a informação detida sobre indivíduos e apagar ou alterar a informação inexacta em conformidade. Os indivíduos têm o direito de solicitar que dados incorrectos ou incompletos sejam apagados ou rectificados no prazo de 30 dias. Esta racionalização da informação ajudará a melhorar a conformidade e a assegurar que as bases de dados empresariais sejam precisas e actualizadas.
5. Limitação de armazenamento
Uma vez que já não sejam necessários dados pessoais para os fins para que foram recolhidos, estes devem ser apagados ou destruídos, a menos que haja outros motivos para os reter. A GDPR não indica por quanto tempo se devem conservar os dados pessoais. Cabe à sua organização determinar isto, com base nos fins a que se destina o processamento. Para assegurar a conformidade, as organizações devem ter um processo de revisão em vigor para lidar com a limpeza das bases de dados. Embora a regra geral seja que não se pode guardar dados pessoais para utilização futura, existem excepções para fins de arquivo, investigação ou estatística.
6. Integridade e Confidencialidade
Este princípio trata exclusivamente da segurança. A sua organização deve assegurar-se de que todas as medidas apropriadas estão em vigor para garantir a segurança dos dados pessoais que detém. Isto pode ser protecção contra ameaças internas tais como utilização não autorizada, perda ou dano acidental, bem como ameaças externas tais como phishing, malware ou roubo. A má segurança da informação pode pôr em risco os seus sistemas e serviços, bem como causar angústia aos indivíduos. Não existe uma abordagem de "tamanho único", mas a GDPR afirma que as organizações devem ter os níveis de segurança adequados para enfrentar os riscos apresentados pelo seu processamento.
7. Prestação de contas
O princípio final, e um novo princípio ao abrigo do GDPR, declara que as organizações devem assumir a responsabilidade pelos dados que possuem e demonstrar o cumprimento dos outros princípios. Isto significa que as organizações devem ser capazes de provar as medidas que tomaram para demonstrar a conformidade. Isto poderia incluir:
- Avaliar as práticas actuais
- Nomeação de um responsável pela protecção de dados
- Criação de um inventário de dados pessoais
- Obtenção do consentimento apropriado
- Realização de avaliações de impacto da protecção de dados
A adesão a estes princípios orientadores durante a concepção, implementação e operações ajudará a assegurar que as organizações estejam em conformidade com o GDPR.
A MetaPrivacidade foi concebida para fornecer a melhor abordagem prática para o cumprimento da privacidade dos dados. Contacte-nos para mais informações sobre como podemos ajudar a sua organização a melhorar a sua estrutura de conformidade.
RESPONSABILIDADE: O conteúdo e opiniões dentro deste blog são apenas para fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional e não devem ser confiados nem tratados como um substituto para aconselhamento específico relevante para circunstâncias particulares, a Lei de Protecção de Dados, ou qualquer outra legislação actual ou futura. A MetaCompliance não aceitará qualquer responsabilidade por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança em materiais contidos neste blog.
