Como implementar o RGPD no condomínio

RGPD continuação art2

Este é o segundo artigo de uma série de três artigos baseados no RGPD para o condomínio ou para a administração de condomínios. Portanto, neste artigo, vamos esclarecer quem é o responsável pelo tratamento de dados. Como poderá demonstrar que o condomínio respeita o RGPD, bem como, o mapeamento geral de como implementar o RGPD. No último artigo desta série sobre RGPD, desenvolvemos um questionário com exemplos de respostas para guiá-lo na implementação.

Quem é o responsável pelo tratamento dos dados?

Segundo o Artigo 4.º, 7) do RGPD, o responsável pelo tratamento de dados é nomeadamente, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo (sentido subjetivo). Que individualmente ou em conjunto com outras. Determina as finalidades e os meios de tratamento dos dados pessoais.

Neste sentido, os administradores de condomínio assumem esta função. No artigo anterior, mencionamos qual é a dimensão do RGPD numa empresa. Assim, o responsável pelo tratamento é responsável pelo cumprimento dos princípios relativos ao tratamento de dados pessoais do disposto e tem de poder comprová-lo («responsabilidade»).

Além disso, o subcontratante efetua o tratamento de dados pessoais em nome do responsável pelo tratamento. Por outras palavras, o subcontratante é geralmente um terceiro externo à empresa. De acordo com o RGPD, os deveres do subcontratante perante o responsável pelo tratamento devem ser especificados num contrato ou noutro ato jurídico.

Como posso demonstrar que o condomínio respeita o RGPD?

O responsável pelo tratamento  dos dados  dos titulares deve aplicar as medidas técnicas e organizativas (aplicação de políticas) que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Acima de tudo, as medidas são revistas, atualizadas e documentadas consoante as necessidades. Portanto, essas medidas técnicas são, por exemplo,  a verificação do cumprimento do RGPD às empresas subcontratadas que lidem com os dados dos titulares dos dados, ou ainda medidas de segurança para mudança periódica das palavras-chave de acesso aos sistemas, devem ser padronizadas e documentadas.

 

Medidas e ações necessárias passo a passo:

Antes de começar a mencionar os passos para a implementação do RGPD, iremos mencionar dois princípios que devem nortear o tratamento de dados pessoais e que devem estar presentes em todos os momentos do tratamento dos dados pessoais, inclusivamente antes da sua definição, de forma a diminuir os riscos para os titulares dos dados. Portanto, alguns critérios são fundamentais e devem estar presentes na base da implementação, nomeadamente:

  • A proteção de dados deve ser padronizada;
  • Deve garantir-se que só são processados os dados pessoais necessários para cada finalidade específica do tratamento;
  • Minimização de dados e Proporcionalidade:
    • Quantidade de dados recolhidos;
    • Extensão do tratamento desses dados;
    • Prazo de conservação: devem ser recolhidos e tratados apenas os dados adequados, pertinentes e limitados relativamente à finalidade (não mais que esses) e pelo prazo necessário.

 

 1.º Mapeamento dos dados pessoais para cada atividade na base de dados;

O objetivo é efetuar um levantamento dos titulares dos dados em grupos, processos e sistemas utilizados para que seja identificado a sua finalidade, prazo de conservação dos dados, a categoria dos titulares dos dados e a sua licitude.

Para melhor compreensão de como deve ser efetuada esta tarefa, poderá recorrer ao modelo para responsáveis pelo tratamento de dados diretamente no ‘website’ da Comissão Nacional de Proteção de Dados. Trata-se de um ficheiro em formato Excel, referente a implementação do RPGD. O mapeamento de que nos referimos corresponde ao quadro 4.

Por exemplo, o software de faturação para o condomínio, efetua uma série de operações. Lida tanto com os dados dos condóminos, através da faturação na conta do condomínio, envios de avisos de cobrança, controlo de contencioso, incidências no condomínio, como também contratação e pagamento aos fornecedores.

Se estiver em causa uma administração de condomínios, deve-se identificar todos os funcionários com acesso aos dados dos condóminos, (‘logins’ próprios ou documentação que contenham esses dados). Assim como, identificar os dados dos funcionários e subcontratantes nesse sistema.

Esse mapeamento é efetuado sempre pela empresa que irá implementar o RGPD.  Mesmo que contrate uma empresa especializada em RGPD, o levantamento de requisitos é efetuado pelo cliente. Pois, este sabe melhor do que ninguém quais são os procedimentos inerentes à sua atividade. O objetivo é identificar todos os serviços e entidades que processam dados pessoais.

Para melhor desenvolvimento do passo a passo, elaboramos lista de verificação que ajudará na implementação do RGPD para o condomínio.

2.º Aplicar os princípios relativos ao tratamento de dados pessoais:

Para cada grupo de dados são aplicados os seguintes princípios:

  • Exatidão;
  • Integridade de confidencialidade;
  • Licitude, lealdade e transparência;
  • Limitação da conservação;
  • Limitação das finalidades;
  • Minimização dos dados;

Se baixou o ficheiro mencionado no 1.º ponto, já deve ter reparado que estes princípios estão presentes no quadro 4 – tratamento, ao preencher os procedimentos. Também poderá preencher as suas métricas, eliminando os dados dos titulares que não contenham um propósito (Minimização dos dados).

 

3.º Identificar a base de licitude para o tratamento dos dados

Trata-se de identificar os fundamentos, conforme mencionado no artigo anterior. O tratamento de cada base de dados deve ser juridicamente fundamentado e possuir fontes de licitude distintas.

Enquadramento para identificação do fundamento:

fundamentos

Continue a ler este artigo, saiba mais acerca deste procedimento. Este conteúdo é exclusivo aos Membros Vip e/ou Plano membros Vip + Publicidade , clique no link e confira o que cada plano tem a oferecer.

 

Deixe uma resposta