Francisco José Silva

A maioria dos processos existentes nas organizações baseiam-se, em grande medida, no tratamento de dados pessoais pertencentes a diferentes grupos de interessados. A natureza dos riscos a que se encontra exposto o tratamento dos dados pessoais pressupõe a necessidade, não só de introduzir inicialmente os requisitos legais, técnicos e organizacionais estabelecidos pelo quadro regulamentar de referência, mas também, e especialmente, de gerir a manutenção do seu cumprimento efetivo ao longo do tempo. O exercício de um bom controlo e gestão dos dados pessoais é fundamental para garantir, e ser capaz de demonstrar, o cumprimento do RGPD.

A gestão do risco representa uma forma eficaz de proteger “os direitos e liberdades fundamentais das pessoas singulares, e, em especial seu direito à privacidade com respeito ao tratamento de dados pessoais”. O quadro regulamentar vem exigir de que toda a atividade de tratamento passe pela Necessidade e Minimização.

As organizações terão de ter a capacidade de justificar a necessidade na recolha, conservação, consulta e transferência da informação e deverão recolher o mínimo de dados necessários, conservar durante o tempo mínimo necessário e serem acedidos e partilhados com um número mínimo de pessoas ou organizações. A segurança da informação pessoal deverá recorrer ao respeito pelas boas práticas e à manutenção dos sistemas de processamento de dados em condições de forma a estarem protegidos em relação aos ataques.

A Segurança da informação deverá passar pela utilização de sistemas de informação que incluam mecanismos que permitam registar as ações de cada utilizador no sistema durante um período de tempo definido; garantam a integridade dos dados e incluam um mecanismo para qualquer supressão, arquivamento ou anonimização desses dados quando o período de retenção expirar.