Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) é a autoridade responsável por defender os direitos, liberdades e garantias dos indivíduos no que diz respeito aos seus dados pessoais.
Estes são os 5 princípios do RGPD para criar base de dados legal:
1. Licitude, lealdade e transparência – Os dados são processados de forma legal, justa e transparente, ou seja, cabe à entidade que recolhe e/ou trata os dados informar devidamente os utilizadores dessa recolha (ex: armazenamento de cookies, quando um utilizador entra num website). Este é um dos princípios para criar base de dados legal.
Exemplo prático: Uma loja de roupa propõe-lhe um cartão de fidelidade para que possa beneficiar de descontos, promoções, entre outros, e utiliza esse cartão sempre que faz uma compra. Posteriormente, as suas compras servirão para estabelecer um padrão de consumo detalhadamente observado. Caso não tenha sido informado no momento da adesão ao cartão, o princípio da lealdade estará a ser violado.
Este princípio determina que só é possível o tratamento de dados pessoais se existir uma razão suficientemente legítima que o justifique.
Para além disso, as informações relacionadas com o tratamento de dados pessoais devem ser de fácil acesso e compreensão, e formuladas numa linguagem clara e simples.
2. Limitação da finalidade – Os dados são recolhidos para finalidades determinadas, explícitas e legítimas e não serão tratados posteriormente de forma incompatível com essas finalidades, ou seja, deve existir uma justificação relevante para essa recolha (ex: fornecimento de um serviço de maior qualidade ao utilizador).
“O tratamento de dados pessoais para outros fins que não aqueles para os quais os dados pessoais tenham sido inicialmente recolhidos apenas deverá ser autorizado se for compatível com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos”.
Considerando do RGPD
3. Minimização de dados – Os dados são adequados, pertinentes e limitados ao necessário em relação à finalidade para a qual são tratados. Caso se verifique que foram solicitados dados excessivos, o tratamento passará a ser ilícito, o que constitui contraordenação muito grave.
4. Limitação da conservação – Os dados não serão conservados durante mais tempo do que o necessário para o efeito. Admite-se, contudo, que os dados sejam conservados por períodos mais longos desde que sejam tratados exclusivamente para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou ainda para fins estatísticos. Caso se verifique incumprimento deste princípio, o responsável pelo tratamento pratica uma contraordenação muito grave.
5. Integridade e confidencialidade – Os dados são tratados com segurança apropriada, usando medidas técnicas e organizacionais apropriadas. Deve ser garantido o acesso apenas por indivíduos devidamente credenciados e cujas funções dependam do acesso aos dados, sempre no âmbito para o qual foram recolhidos. Caso se verifique incumprimento deste princípio, o responsável pelo tratamento pratica uma contraordenação muito grave.
2 boas práticas para criar base de dados legal
Para além dos princípios legais, podemos recomendar também algumas boas práticas.
Uma base de dados legal deve garantir:
Mecanismos de prevenção contra acessos não autorizados
Defina diferentes papéis e níveis de autorização para os colaboradores envolvidos no tratamento e uso da base de dados, responsabilizando cada um com as suas próprias credenciais de acesso.
Armazenamento de um histórico de acessos e edições
Utilize sistemas que permitam o registo de ações e acessos — quem fez o quê e quando. Isto é importante para a gestão de responsabilidades internas. Não se esqueça que, de acordo com o Artigo 24º do RGPD, é responsabilidade da organização demonstrar as medidas de segurança de que dispõe.
Em suma, para criar uma base de dados legal, deve organizar o fluxo de dados pessoais na sua empresa, de acordo com as bases legais de processamento de dados. Defina sempre um tempo de retenção desses dados e diferentes níveis de acesso aos dados, dentro da sua empresa.