Viviane Soares
Viviane Soares
12 Set, 2018 - 11:00
Recolhe contactos dos seus clientes? Saiba o que não pode fazer

Recolhe contactos dos seus clientes? Saiba o que não pode fazer

Viviane Soares

O RGPD visa proteger os direitos dos cidadãos em matéria de dados pessoais, pelo que há procedimentos que têm de ser revistos no seio das empresas que lidam com estes dados.

O artigo continua após o anúncio

Tendo em vista a conformidade com o RGPD, as empresas devem avaliar se toda a informação que recolhem dos seus clientes é absolutamente necessária. Se não houver uma justificação clara para recolher e tratar esses dados, é aconselhável que as empresas não os recolham. Todos os dados que recolherem deverão estar espelhados no regulamento interno, bem como a justificação de os ter recolhido e de como os trata.

É por isso necessário dedicar algum tempo a avaliar o processo de recolha de dados. As empresas devem informar o utilizador do propósito da recolha e serem claras e diretas na mensagem transmitida – ou seja, acabaram as letras miudinhas.

Recorde-se que se deve recolher e processar dados pessoais só para objetivos legais, e proteger sempre esse dados. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso, e alteração. Ou seja, estes requisitos devem garantir, entre outros, os direitos ARCO (Acesso; Retificação; Cancelamento; Oposição).

Recolha de dados: regras fundamentais

Recolhe contactos dos seus clientes? Saiba o que não pode fazer

O tipo e a quantidade de dados pessoais que uma empresa pode tratar dependem do motivo pelo qual estão a efetuar o tratamento e da finalidade do mesmo. Assim sendo, a empresa deve respeitar várias regras fundamentais, nomeadamente:

1. Os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados.

2. Devem existir finalidades específicas para o tratamento dos dados e a empresa deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais.

3. Uma empresa não pode simplesmente recolher dados pessoais para fins indefinidos.

4. A empresa deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade.

O artigo continua após o anúncio

5. A empresa deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique.

6. A empresa não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha.

7. A empresa deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos.

8. A empresa deve instalar garantias técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas.

RGPD: checklist de requisitos para a conformidade

Tendo em consideração as medidas e os procedimentos para garantir a conformidade com o RGPD, as empresas devem assegurar, então, os seguintes requisitos:

  1. Atualizar Regulamento Interno;
  2. Reformular Termos e Condições e Políticas de Privacidade;
  3. Avaliar os dados atuais (local onde estão armazenados; processos de transferência de dados; políticas de segurança);
  4. Validar todos os mecanismos de segurança e reporting;
  5. Avaliar a recolha de dados (identificar qual o propósito da recolha dos dados; estipular prazo para manter esses dados);
  6. Assegurar uma comunicação transparente com os titulares dos dados;
  7. Garantir o consentimento explícito para os dados pessoais recolhidos;;
  8. Otimizar o direito de acesso a esses mesmos dados;
  9. Permitir a retificação dos dados;
  10. Agilizar o direito ao esquecimento;
  11. Simplificar a portabilidade e transmissão dos dados;
  12. Permitir o registo das atividades do tratamento de dados;
  13. Criar acessos condicionados a dados pessoais e dados sensíveis;
  14. Prevenir a violação de dados (por exemplo, implementar tecnologias e software que visem gerar reports de falhas e do comportamento dos sistemas);
  15. Contratar um EPD (Encarregado de Proteção de Dados);
  16. Identificar permissões dos colaboradores que processam dados;
  17. Formação de colaboradores;
  18. Não transferir dados pessoais para fora da UE;
  19. Ter um plano para resolução de incidentes devidamente descriminado;
  20. Encriptação de todos os dispositivos com dados pessoais (periféricos USB, siscos externos, CDs, DVDs, computadores, entre outros);
  21. Encriptação das bases de dados;
  22. Encriptação de todos os e-mails com dados pessoais;
  23. Utilização de mecanismos de criptografia para garantir que a troca de informação é feita de forma segura;
  24. Implementar mecanismos de autenticação seguros no acesso à rede ou dispositivos (VPNs, máquinas virtuais, etc.);
  25. Implementar sistemas de cópias de segurança;
  26. Implementar mecanismos de monitorização, firewalls, IDSS, geração de relatórios e alertas;
  27. Manter, em suporte de papel e eletrónico, uma descrição técnica das medidas de segurança adoptadas (tem de estar disponível no caso de uma auditoria ou revisão pela autoridade de supervisão sempre que solicitada);
  28. Assegurar a conformidade da política de cookies.
Veja também