Formação de Sensibilização para a Informação
Perguntas que precisam de ser respondidas
A Lei de Protecção de Dados oferece protecção ao empregado e enumera as regras que têm de ser seguidas pelos empregadores enquanto recolhem informações privadas sobre o empregado. Cada organização deve ter um programa de conformidade regulamentar que deve oferecer formação ao empregado sobre todas as disposições da Lei de Protecção de Dados. É de notar que a Lei de Protecção de Dados estabelece regras em geral. Cada organização deve enquadrar os seus próprios requisitos de conformidade, com base nos seus próprios ambientes. Há muitas questões que têm de ser respondidas, o que permitiria aos empregados, bem como aos empregadores, ter uma ideia clara dos seus direitos e responsabilidades.
Existem algumas restrições impostas pela DPA em relação à recolha de dados?
É estipulado que a organização ou o indivíduo que processa os dados pessoais deve seguir escrupulosamente os três princípios seguintes.
A recolha de dados deve ser feita de forma justa e deve obedecer a todas as disposições legais.
A finalidade para a qual a recolha de dados tem de ser feita deve ser claramente especificada.
Só devem ser recolhidos os dados relevantes para a questão em apreço.
É obrigatório informar as pessoas cujos dados estão a ser recolhidos?
Sim, é invariável da parte do empregador informar as pessoas sobre o facto de que os seus dados estão a ser recolhidos. Devem também saber porque é que os seus dados estão a ser recolhidos. De facto, a lei estipula que deve ser dada uma notificação antes da recolha dos dados. Os indivíduos devem ter conhecimento do que a empresa fará exactamente com os dados assim recolhidos. O aviso deve ser redigido numa língua que o funcionário compreenda.
As informações assim recolhidas podem ser divulgadas a outros?
Não, a DPA proíbe a divulgação da informação a outras partes. Existem certas isenções legais para as quais a divulgação é permitida. A lei é muito clara quanto à necessidade de informar especificamente o indivíduo antes de os dados serem partilhados com terceiros, incluindo a polícia, bem como o sistema de segurança social. A lei é explícita quanto ao facto de ser necessária uma autorização específica da direcção antes da divulgação dos dados às autoridades de aplicação da lei, bem como aos novos empregadores. Um aspecto mais importante é que a divulgação deve ser relevante para os requisitos da organização que a solicita. Os procedimentos de revelação podem diferir de organização para organização.
Como se deve garantir a segurança dos dados pessoais assim recolhidos?
Deve haver um documento político bem enquadrado que enumere os procedimentos a seguir para a protecção dos dados recolhidos. As medidas de segurança devem estar em conformidade com as normas internacionais estabelecidas pela lei da terra. Muitos dos dados são recolhidos para fins de marketing através de websites de comércio electrónico. Tais dados devem também ser sujeitos a medidas de segurança. Todo o tipo de recolha de dados é da competência da DPA.
Qual deve ser o estatuto da recolha de dados?
É da principal responsabilidade do empregador assegurar que a recolha de dados deve ser actualizada tanto quanto possível. Pode acontecer que o empregado possa ter mudado os seus endereços. A actualização dos dados deve ser feita tanto quanto possível.
Existe algum prazo para a retenção de dados pessoais?
Está muito claramente estabelecido na lei que os dados pessoais devem ser armazenados apenas durante o tempo necessário. Prevê-se, portanto, que aqueles que recolhem dados devem ter uma política clara de conservação de dados. Também se deve assegurar que, após o termo do período necessário, os dados devem ser definitivamente eliminados.
Quem deve saber e em que medida?
A recolha de dados deve ser específica ao fim a que se destina. Por exemplo, um banco ou uma instituição financeira envolvidos na actividade de processamento de empréstimos exigiria certos dados pessoais extra que uma empresa de marketing não exigiria. Assim, o requisito da empresa de processamento de empréstimos seria diferente do de uma empresa de marketing de empréstimos. A partilha excessiva de informações é proibida por lei. Isto é mais verdade se a informação solicitada for por razões étnicas. As questões políticas e religiosas são delicadas e, por conseguinte, devem ser cuidadosamente tratadas. Do mesmo modo, questões relacionadas com a saúde ou preferências sexuais têm de ser tratadas de uma forma totalmente diferente, de modo a não ferir quaisquer sentimentos.
Como deve ser assegurado que os dados armazenados em computadores ou outros dispositivos portáteis são seguros e à prova de manipulação?
A melhor maneira de proteger os dados armazenados electronicamente é codificá-los. Desta forma, tornam-se invioláveis e não podem ser pilhados de uma forma fácil. A empresa de recolha deve também ter o cuidado de que tais mecanismos de segurança sejam constantemente actualizados, uma vez que a tecnologia está a crescer a um ritmo tremendo. Tais dados também podem ser armazenados num servidor de nuvem, para que a recuperação se torne fácil no caso de o dispositivo ser roubado ou danificado.
No caso de pessoal, é apropriado monitorizar os seus movimentos usando CCTV ou scanners de e-mail?
A actividade do pessoal pode ser controlada, mas deve notar-se que as disposições da DPA serão aplicáveis e o empregador não deve infringir os direitos de privacidade do empregado. Sim, os CCTV, bem como os scanners de correio electrónico podem ser utilizados desde que cumpram as regras e regulamentos que foram estabelecidos pela DPA. Escusado será dizer que o pessoal deve estar ao corrente de tais medidas de controlo. É apenas quando a integridade do pessoal parece suspeita que o empregador pode recorrer a uma monitorização encoberta. Foram estabelecidas regras específicas para o efeito, as quais devem ser seguidas em todos os aspectos.
É aconselhável obter aconselhamento jurídico antes de recorrer à monitorização encapotada. 10. Qual é o procedimento a seguir em caso de violação de dados, apesar de se tomarem todos os procedimentos? Garantir a segurança da recolha de dados pessoais é a principal responsabilidade dos responsáveis pelo tratamento dos dados. No que diz respeito à comunicação de violações, não existe uma regra dura e rápida quanto a quem deve comunicar a violação dos dados. É sempre melhor se a violação for levada ao conhecimento do ICO.
Conclusão
Estas foram algumas questões que exigiram esclarecimento imediato em relação a questões de recolha de dados pessoais.