Sim, o RGPD aplica-se aos dados pessoais se estes estiverem contidos ou se destinarem a integrar um ficheiro. Isto significa que o RGPD também se aplica aos registos em papel e não apenas ao tratamento automatizado de dados pessoais.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Com efeito, o consentimento pode constituir uma base jurídica válida para o armazenamento dos CV dos candidatos a emprego. Outra possível base legal poderia ser o interesse legítimo. Nesse caso, terá de realizar um teste de ponderação para provar que os interesses legítimos da sua organização são superiores aos direitos dos candidatos.

De qualquer forma, terá de informar os candidatos de que tenciona armazenar os seus dados e para que finalidades.

Mais informações:

• Tratar legalmente os dados pessoais

O RGPD prevê direitos específicos para os indivíduos que têm de ser respeitados. Pode fazê-lo através de:

• informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades de tratamento quando recolhe os seus dados, por exemplo através de uma declaração de privacidade no seu sítio Web;
• respondendo aos pedidos das pessoas para exercerem os seus direitos, tais como pedidos de acesso, retificação, oposição, apagamento ou portabilidade.

As organizações que são transparentes quanto à sua utilização de dados pessoais e que respeitam os direitos dos indivíduos têm menos probabilidades de se tornarem objeto de reclamações.

Mais informações:

• Respeitar os direitos dos indivíduos

Os EPD podem desempenhar outras tarefas dentro da organização, mas isso não pode resultar num conflito de interesses. Tal implica que o encarregado de proteção de dados não pode ter uma posição na qual determine as finalidades e os meios das atividades de tratamento. As funções conflituantes incluem principalmente cargos de gestão (chefe de administração, diretor operacional, diretor financeiro, chefe de recursos humanos, chefe de TI, diretor executivo), mas podem também envolver outras funções se conduzirem à determinação das finalidades e dos meios de tratamento.

O encarregado de proteção de dados deve poder desempenhar as suas funções e tarefas de forma independente. Isto significa que a sua organização:

• não pode dar instruções ao encarregado de proteção de dados sobre o desempenho das suas funções;
• não pode penalizar ou demitir o encarregado de proteção de dados pelo desempenho das suas funções.

Mais informações:

• Encarregado de proteção de dados

Uma violação de dados pessoais é uma violação de segurança que conduz à destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado de dados pessoais.

• Se a violação de dados representar um risco para as pessoas em causa, deve notificá-la à autoridade de proteção de dados relevante no prazo de 72 horas.
• Se a violação for suscetível de resultar num risco elevado para as pessoas, terá também de comunicar essa violação às pessoas em causa sem demora injustificada.

Em qualquer caso, para todas as violações — mesmo aquelas que não são notificadas a uma APD — deve registar pelo menos os detalhes básicos da violação, a sua avaliação, os seus efeitos e as medidas tomadas em resposta.

Mais informações:

• Violações de dados

Não é possível armazenar dados pessoais para sempre.

Regra geral, os dados pessoais só podem ser conservados durante o tempo necessário, tendo em conta as finalidades para as quais os dados pessoais são tratados.

Em alguns casos, o período de armazenamento pode ser determinado por leis específicas, por exemplo, a regulamentação laboral determina um período de armazenamento para listas de salários.

As organizações devem implementar políticas de conservação de dados para garantir que os dados pessoais não são mantidos por mais tempo do que o necessário. Os dados pessoais das pessoas singulares devem ser apagados ou anonimizados, logo que estes dados deixem de ser necessários para a finalidade para a qual foram tratados.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Para que o consentimento seja considerado válido, deve ser:

• cedido livremente;
• específico;
• informado; e
• inequívoco.

Isto significa que as pessoas devem ter uma verdadeira liberdade de escolha quanto ao facto de concordarem ou não com o tratamento dos seus dados pessoais; necessitam de informações suficientes para que possam compreender que dados são tratados, para que finalidade e como é feito; também necessitam de granularidade suficiente nos pedidos de consentimento.

Além disso, deve haver uma ação positiva clara por parte do indivíduo (sem caixas pré-marcadas e feita separadamente das condições gerais aplicáveis).

Além disso, os indivíduos devem poder retirar livremente o seu consentimento (sem quaisquer consequências negativas) se mudarem de ideias mais tarde.

Mais informações:

• Tratar legalmente os dados pessoais

Se a sua organização estiver a recolher os dados pessoais diretamente das pessoas singulares, deve fornecer as informações necessárias no momento da recolha.

Em caso de recolha indireta de dados pessoais, a sua organização deve fornecer as informações o mais tardar no prazo de um mês após a obtenção inicial dos dados pessoais. Este período máximo de um mês pode ser reduzido:

• se os dados pessoais forem utilizados para efeitos de comunicação com o titular dos dados. Nesse caso, deve informar o titular dos dados o mais tardar no momento da primeira comunicação ao titular dos dados;
• se os dados forem transmitidos a outro destinatário, a organização informa desse facto os titulares dos dados o mais tardar aquando da transferência dos dados pessoais.

Mais informações:

• Respeitar os direitos dos indivíduos

As medidas de segurança necessárias podem diferir com base na natureza dos dados pessoais que trata e nos riscos associados para as pessoas. Em qualquer caso, existem algumas medidas mínimas a aplicar:

• acesso seguro às instalações;
• utilizar software antivírus regularmente atualizado;
• escolha cuidadosamente as suas palavras-passe;
• fazer com que os utilizadores se autentiquem antes de utilizarem as instalações informáticas;
• tenha uma política de salvaguarda e recuperação de dados em vigor em caso de incidente.

Além disso, algumas medidas básicas, como bloquear o ecrã enquanto está longe e bloquear o escritório no final do dia, nunca estão fora do lugar…

Mais informações:

• Dados pessoais seguros

1. Certifique-se de que os dados que recebeu foram recolhidos de forma legítima e que as pessoas em causa foram informadas sobre o tratamento dos seus dados pessoais.
2. Caso a entidade esteja a tratar dados pessoais em seu nome, certifique-se de que tem um contrato entre responsável pelo tratamento e subcontratante, que detalhe as operações de tratamento e os meios para tratar os dados pessoais.

E, claro, cumpra todas as obrigações dos responsáveis pelo tratamento.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante