Autor:
Sérgio Ferreira
Auditor e Coordenador Digital & Innovation, SGS Portugal
Com a entrada em vigor do Regulamento Geral da Proteção de Dados na União Europeia, em 2018, recolhas de dados pessoais online e bases de dados deixam de estar sujeitas à notificação e registo junto das autoridades portuguesas.
Em Portugal, a Comissão Nacional de Protecção de Dados (CNPD) é a autoridade responsável por defender os direitos, liberdades e garantias dos indivíduos no respeitante aos seus dados pessoais, estando o RGPD também na sua jurisdição. Com as alterações introduzidas na lei por este mecanismo europeu, a recolha e tratamento de dados pessoais por parte das empresas não requer uma autorização prévia, mas deve respeitar integralmente o disposto na lei — e essa capacidade de supervisão e imposição de coimas são atribuições da CNPD.
Saliente-se, porém, que transferências de dados pessoais para fora da União Europeia podem estar sujeitos a avaliação e autorização prévia pela CNPD.
Construir uma base de dados legal — princípios fundamentais
De forma simplificada e não exaustiva o RGPD funda-se sobre as noções:
- licitude
- finalidade
- responsabilidade
- lealdade
Isto significa que cabe à entidade que recolhe e/ou trata os dados informar devidamente os utilizadores dessa recolha (ex.: armazenamento de cookies, quando um utilizador entra num website), da justificação relevante para essa recolha (ex.: fornecimento de um serviço de maior qualidade ao utilizador) e, bem assim, dos fins a que os dados se destinam (ex.: oferecer ao utilizador descontos personalizados tendo em conta os seus produtos preferidos), devendo ainda estes fins serem razoavelmente justificados pelo tipo de interação com um utilizador.
Mas, tal como referido acima, este conjunto de premissas iniciais foca-se apenas na recolha, e não é suficiente para garantir a legalidade de uma base de dados. Ainda que uma empresa possa proceder à recolha de forma correta, a posterior conservação e tratamento dos dados obedecem também a regras específicas, como as da confidencialidade (garantir o acesso apenas por indivíduos devidamente credenciados e cujas funções dependam do acesso aos dados, sempre no âmbito para o qual foram recolhidos), lealdade (os dados devem ser usados exclusivamente para os fins comunicados aos utilizadores no momento da sua recolha).
Construir uma base de dados legal — boas-práticas
Além dos princípios enunciados anteriormente, há um conjunto de boas-práticas que podem apoiar a adequação de uma base de dados ao RGPD.
Em suma, uma base de dados legal deve garantir:
- Mecanismos de prevenção contra acessos não autorizados;
- Basear-se num sistema capaz de guardar um histórico de acessos e edições;
- Dispor de alertas sobre tentativas de acesso não autorizado;
- Dispor de meios de verificação e correção de eventuais erros.
Quer saber mais sobre cada um destes aspetos?
- Retomando o princípio da confidencialidade, a questão do acesso é fundamental — Quem pode aceder aos dados? Quem pode alterar a estrutura dos dados? Quem pode editá-los? Etc. Definir diferentes papéis e níveis de autorização para os utilizadores envolvidos, responsabilizando cada um com as suas próprias credenciais de acesso é um factor preponderante para a segurança dos dados armazenados e para o respeito pelo RGPD.
- Utilizar sistemas que permitam o registo de eventos — quem fez o quê, quando e porquê — é também relevante. Por um lado, estes registos fornecem informação potencialmente importante para a condução da sua organização e para a gestão de responsabilidades internas; por outro, poderão ser utilizados em caso de auditoria aos seus sistemas de informação ou mesmo no âmbito de uma investigação a uma eventual quebra de segurança — de acordo com o Artigo 24º do RGPD, é responsabilidade da organização demonstrar as medidas de segurança de que dispõe.
- Dispor de alertas sobre tentativas de acesso não autorizado — a definição de acessos tem uma face dupla; ela potencia a identificação de acessos não autorizados (tentados ou bem-sucedidos) aos dados armazenados.
- Nem tudo é uma questão de privacidade — é sabido que um dos principais riscos a que uma base de dados está exposta é a introdução de erros e a perda parcial ou total de informações, e este tipo de corrupção de dados está também no âmbito do RGPD.
Qualquer violação de um dos princípios acima torna ilegal o uso e/ou recolha dos dados pessoais por parte de uma empresa, recaindo sobre esta a responsabilidade por todo e qualquer dano causado pela má utilização ou pelo acesso indevido aos dados armazenados, nos moldes e com as coimas definidas no quadro do RGPD.
Se pretende saber mais sobre RGPD, integridade de dados e cibersegurança, descubra os nossos cursos >>
Para mais informações ou inscrições, por favor contacte:
tel: 808 200 747 (Seg. a Sex. das 9h às 18h)
@:pt.info@sgs.com
SOBRE A SGS
Somos a SGS - a empresa líder mundial em testes, inspeção e certificação. Somos reconhecidos como a referência mundial em qualidade e integridade. Os nossos 96.000 colaboradores operam numa rede de 2.600 escritórios e laboratórios, e trabalham em conjunto para possibilitar um mundo melhor, mais seguro e interligado.
Polo Tecnológico de Lisboa,
Rua Cesina Adães Bermudes 5, Lote 11, 1600-604,
Lisboa,
Portugal