A partir de 25 de maio de 2018, com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD), passará a existir um conjunto único de regras de proteção de dados para todas as empresas ativas na União Europeia (UE), independentemente da sua localização.
Regras de proteção de dados mais rigorosas significam um maior controlo dos cidadãos sobre os seus dados pessoais e condições mais equitativas para as empresas.
Mas afinal o que são dados pessoais? Dados pessoais são informação relativa a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.
Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.
Dados pessoais que tenham sido tornados anónimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.
O RGPD protege os dados pessoais independentemente da tecnologia utilizada para o tratamento desses dados – é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos (por exemplo, por ordem alfabética). Também é irrelevante o modo como os dados são armazenados — num sistema informático, através de videovigilância, ou em papel; em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.
Eis alguns exemplos do que são dados pessoais:
- o nome e apelido;
- o endereço de uma residência;
- um endereço de correio eletrónico como nome.apelido@empresa.com;
- o número de um cartão de identificação;
- dados de localização (por exemplo, a função de dados de localização num telemóvel);
- um endereço IP (protocolo de internet);
- testemunhos de conexão (cookies);
- o identificador de publicidade do seu telefone;
- os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.
Chegados a este ponto, interessa saber o que é efetivamente o tratamento de dados pessoais.
O tratamento abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados. Inclui a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais.
O Regulamento Geral sobre a Proteção de Dados aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros.
Exemplos de tratamento:
- gestão de pessoal e de folhas de pagamentos;
- acesso/consulta de uma base de dados de contactos que contenha dados pessoais;
- envio de mensagens de correio eletrónico promocionais*;
- destruição de documentos que contenham dados pessoais;
- publicação/colocação de uma foto de uma pessoa num sítio web;
- armazenamento de endereços IP ou endereços MAC;
- gravação de vídeo (CCTV).
Vamos focar-nos no tratamento relativo à destruição de documentos que contenham dados pessoais. Este é um serviço que deve também ser tratado com todo o sentido de responsabilidade e rigor pelas organizações. Não serve deitar os “papeis” para o lixo, nem colocar no contentor azul. É preciso garantir o cumprimento das normas inerentes em particular cumprir com a norma DIN 66399.
O serviço da EAD garante a fragmentação em segurança dos documentos de acordo com a norma DIN 66399, que tem três classes de proteção, de acordo com o nível de segurança a aplicar na destruição dos suportes de dados. A destruição dos suportes de dados é:
Classe de Proteção 1 – aplicada para a proteção normal da informação interna das organizações, cuja eventual exposição pública teria um impacto negativo, com risco de violação de dados pessoais, por exemplo. listas com nomes dos funcionários, listas de produtos com preços, informação acerca de fornecedores, bases de dados comerciais com contactos detalhados dos representantes, etc.
Classe de Proteção 2 – aplicada para a alta proteção da informação confidencial, cuja eventual exposição pública resultaria em graves danos à imagem, podendo mesmo violar compromissos legais das empresas, ou colocar em risco a integridade social e financeira de um indivíduo, por exemplo, relatórios comerciais, faturas, balanços e demonstrações financeiras, etc.
Classe de Proteção 3 – aplicada para a proteção máxima da informação confidencial classificada como top secret, cuja eventual exposição pública resultaria em consequências fatais para as empresas ou entidades públicas, envolvendo a segurança ou a liberdade pessoal dos indivíduos, por exemplo, documentos dos tribunais, informação classificada das autoridades fiscais e judiciais, informação de alta confidencialidade produzida nos departamentos de pesquisa e desenvolvimento das empresas, etc .
Resumidamente, são estas e outras as garantias que o serviço pode oferecer.
Em conclusão, e apesar do que muito se tem escrito sobre toda esta temática, o RGPD não alterou substancialmente os conceitos e princípios centrais da legislação em matéria de proteção de dados adotada em 1995. Assim, desde que já estejam em conformidade com a legislação de proteção dos dados da UE em vigor, a grande maioria dos responsáveis pelo tratamento e dos subcontratantes não deverá ter de fazer grandes alterações nas suas operações de tratamento de dados para cumprir o regulamento.
Este é o ponto de partida lógico e pragmático, a partir do qual há, depois, que acomodar e levar à prática as novas regras que o regulamento, em todo o caso, contém.
O conteúdo O RGPD e a destruição segura de documentos com dados pessoais aparece primeiro em i9 magazine.
