Viviane Soares
Viviane Soares
12 Set, 2018 - 11:00

Recolhe contactos dos seus clientes? Saiba o que não pode fazer

Viviane Soares

O RGPD visa proteger os direitos dos cidadãos em matéria de dados pessoais, pelo que há procedimentos que têm de ser revistos no seio das empresas que lidam com estes dados.

Recolhe contactos dos seus clientes? Saiba o que não pode fazer

Tendo em vista a conformidade com o RGPD, as empresas devem avaliar se toda a informação que recolhem dos seus clientes é absolutamente necessária. Se não houver uma justificação clara para recolher e tratar esses dados, é aconselhável que as empresas não os recolham. Todos os dados que recolherem deverão estar espelhados no regulamento interno, bem como a justificação de os ter recolhido e de como os trata.

É por isso necessário dedicar algum tempo a avaliar o processo de recolha de dados. As empresas devem informar o utilizador do propósito da recolha e serem claras e diretas na mensagem transmitida – ou seja, acabaram as letras miudinhas.

Recorde-se que se deve recolher e processar dados pessoais só para objetivos legais, e proteger sempre esse dados. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso, e alteração. Ou seja, estes requisitos devem garantir, entre outros, os direitos ARCO (Acesso; Retificação; Cancelamento; Oposição).

Recolha de dados: regras fundamentais

Recolhe contactos dos seus clientes? Saiba o que não pode fazer

O tipo e a quantidade de dados pessoais que uma empresa pode tratar dependem do motivo pelo qual estão a efetuar o tratamento e da finalidade do mesmo. Assim sendo, a empresa deve respeitar várias regras fundamentais, nomeadamente:

1. Os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados.

2. Devem existir finalidades específicas para o tratamento dos dados e a empresa deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais.

3. Uma empresa não pode simplesmente recolher dados pessoais para fins indefinidos.

4. A empresa deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade.

5. A empresa deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique.

6. A empresa não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha.

7. A empresa deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos.

8. A empresa deve instalar garantias técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas.

RGPD: checklist de requisitos para a conformidade

Tendo em consideração as medidas e os procedimentos para garantir a conformidade com o RGPD, as empresas devem assegurar, então, os seguintes requisitos:

  1. Atualizar Regulamento Interno;
  2. Reformular Termos e Condições e Políticas de Privacidade;
  3. Avaliar os dados atuais (local onde estão armazenados; processos de transferência de dados; políticas de segurança);
  4. Validar todos os mecanismos de segurança e reporting;
  5. Avaliar a recolha de dados (identificar qual o propósito da recolha dos dados; estipular prazo para manter esses dados);
  6. Assegurar uma comunicação transparente com os titulares dos dados;
  7. Garantir o consentimento explícito para os dados pessoais recolhidos;;
  8. Otimizar o direito de acesso a esses mesmos dados;
  9. Permitir a retificação dos dados;
  10. Agilizar o direito ao esquecimento;
  11. Simplificar a portabilidade e transmissão dos dados;
  12. Permitir o registo das atividades do tratamento de dados;
  13. Criar acessos condicionados a dados pessoais e dados sensíveis;
  14. Prevenir a violação de dados (por exemplo, implementar tecnologias e software que visem gerar reports de falhas e do comportamento dos sistemas);
  15. Contratar um EPD (Encarregado de Proteção de Dados);
  16. Identificar permissões dos colaboradores que processam dados;
  17. Formação de colaboradores;
  18. Não transferir dados pessoais para fora da UE;
  19. Ter um plano para resolução de incidentes devidamente descriminado;
  20. Encriptação de todos os dispositivos com dados pessoais (periféricos USB, siscos externos, CDs, DVDs, computadores, entre outros);
  21. Encriptação das bases de dados;
  22. Encriptação de todos os e-mails com dados pessoais;
  23. Utilização de mecanismos de criptografia para garantir que a troca de informação é feita de forma segura;
  24. Implementar mecanismos de autenticação seguros no acesso à rede ou dispositivos (VPNs, máquinas virtuais, etc.);
  25. Implementar sistemas de cópias de segurança;
  26. Implementar mecanismos de monitorização, firewalls, IDSS, geração de relatórios e alertas;
  27. Manter, em suporte de papel e eletrónico, uma descrição técnica das medidas de segurança adoptadas (tem de estar disponível no caso de uma auditoria ou revisão pela autoridade de supervisão sempre que solicitada);
  28. Assegurar a conformidade da política de cookies.
Veja também