Como implementar o RGPD no condomínio

RGPD continuação art2

Este é o segundo artigo de uma série de três artigos baseados no RGPD para o condomínio ou para a administração de condomínios. Portanto, neste artigo, vamos esclarecer quem é o responsável pelo tratamento de dados. Como poderá demonstrar que o condomínio respeita o RGPD, bem como, o mapeamento geral de como implementar o RGPD. No último artigo desta série sobre RGPD, desenvolvemos um questionário com exemplos de respostas para guiá-lo na implementação.

Quem é o responsável pelo tratamento dos dados?

Segundo o Artigo 4.º, 7) do RGPD, o responsável pelo tratamento de dados é nomeadamente, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo (sentido subjetivo). Que individualmente ou em conjunto com outras. Determina as finalidades e os meios de tratamento dos dados pessoais.

Neste sentido, os administradores de condomínio assumem esta função. No artigo anterior, mencionamos qual é a dimensão do RGPD numa empresa. Assim, o responsável pelo tratamento é responsável pelo cumprimento dos princípios relativos ao tratamento de dados pessoais do disposto e tem de poder comprová-lo («responsabilidade»).

Além disso, o subcontratante efetua o tratamento de dados pessoais em nome do responsável pelo tratamento. Por outras palavras, o subcontratante é geralmente um terceiro externo à empresa. De acordo com o RGPD, os deveres do subcontratante perante o responsável pelo tratamento devem ser especificados num contrato ou noutro ato jurídico.

Como posso demonstrar que o condomínio respeita o RGPD?

O responsável pelo tratamento  dos dados  dos titulares deve aplicar as medidas técnicas e organizativas (aplicação de políticas) que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Acima de tudo, as medidas são revistas, atualizadas e documentadas consoante as necessidades. Portanto, essas medidas técnicas são, por exemplo,  a verificação do cumprimento do RGPD às empresas subcontratadas que lidem com os dados dos titulares dos dados, ou ainda medidas de segurança para mudança periódica das palavras-chave de acesso aos sistemas, devem ser padronizadas e documentadas.

 

Medidas e ações necessárias passo a passo:

Antes de começar a mencionar os passos para a implementação do RGPD, iremos mencionar dois princípios que devem nortear o tratamento de dados pessoais e que devem estar presentes em todos os momentos do tratamento dos dados pessoais, inclusivamente antes da sua definição, de forma a diminuir os riscos para os titulares dos dados. Portanto, alguns critérios são fundamentais e devem estar presentes na base da implementação, nomeadamente:

  • A proteção de dados deve ser padronizada;
  • Deve garantir-se que só são processados os dados pessoais necessários para cada finalidade específica do tratamento;
  • Minimização de dados e Proporcionalidade:
    • Quantidade de dados recolhidos;
    • Extensão do tratamento desses dados;
    • Prazo de conservação: devem ser recolhidos e tratados apenas os dados adequados, pertinentes e limitados relativamente à finalidade (não mais que esses) e pelo prazo necessário.

 

 1.º Mapeamento dos dados pessoais para cada atividade na base de dados;

O objetivo é efetuar um levantamento dos titulares dos dados em grupos, processos e sistemas utilizados para que seja identificado a sua finalidade, prazo de conservação dos dados, a categoria dos titulares dos dados e a sua licitude.

Para melhor compreensão de como deve ser efetuada esta tarefa, poderá recorrer ao modelo para responsáveis pelo tratamento de dados diretamente no ‘website’ da Comissão Nacional de Proteção de Dados. Trata-se de um ficheiro em formato Excel, referente a implementação do RPGD. O mapeamento de que nos referimos corresponde ao quadro 4.

Por exemplo, o software de faturação para o condomínio, efetua uma série de operações. Lida tanto com os dados dos condóminos, através da faturação na conta do condomínio, envios de avisos de cobrança, controlo de contencioso, incidências no condomínio, como também contratação e pagamento aos fornecedores.

Se estiver em causa uma administração de condomínios, deve-se identificar todos os funcionários com acesso aos dados dos condóminos, (‘logins’ próprios ou documentação que contenham esses dados). Assim como, identificar os dados dos funcionários e subcontratantes nesse sistema.

Esse mapeamento é efetuado sempre pela empresa que irá implementar o RGPD.  Mesmo que contrate uma empresa especializada em RGPD, o levantamento de requisitos é efetuado pelo cliente. Pois, este sabe melhor do que ninguém quais são os procedimentos inerentes à sua atividade. O objetivo é identificar todos os serviços e entidades que processam dados pessoais.

Para melhor desenvolvimento do passo a passo, elaboramos lista de verificação que ajudará na implementação do RGPD para o condomínio.

2.º Aplicar os princípios relativos ao tratamento de dados pessoais:

Para cada grupo de dados são aplicados os seguintes princípios:

  • Exatidão;
  • Integridade de confidencialidade;
  • Licitude, lealdade e transparência;
  • Limitação da conservação;
  • Limitação das finalidades;
  • Minimização dos dados;

Se baixou o ficheiro mencionado no 1.º ponto, já deve ter reparado que estes princípios estão presentes no quadro 4 – tratamento, ao preencher os procedimentos. Também poderá preencher as suas métricas, eliminando os dados dos titulares que não contenham um propósito (Minimização dos dados).

 

3.º Identificar a base de licitude para o tratamento dos dados

Trata-se de identificar os fundamentos, conforme mencionado no artigo anterior. O tratamento de cada base de dados deve ser juridicamente fundamentado e possuir fontes de licitude distintas.

Enquadramento para identificação do fundamento:

fundamentos

[membership level=”0,-3,-4″] Continue a ler este artigo, saiba mais acerca deste procedimento. Este conteúdo é exclusivo aos Membros Vip e/ou Plano membros Vip + Publicidade , clique no link e confira o que cada plano tem a oferecer.

[/membership] [membership level=”3, 4″]

4.º Revisão dos contratos e subcontratos

Após o enquadramento dos fundamentos jurídicos para o tratamento de dados, todos os contratos devem ser revistos para que seja alinhado com o RGPD. Neste sentido, se o condomínio contratar serviços de portaria, ou se contratar um serviço que tenha acesso à informação dos titulares dos dados é obrigatório um contrato escrito com as especificações mencionadas no RGPD.

 5.º Garantias aos direitos dos titulares dos dados

Deve ser implementado os procedimentos que garantam o exercício dos direitos dos titulares dos dados. Deste modo, o responsável pelo tratamento dos dados deve assegurar que os subcontratantes possuam políticas e mecanismos que satisfaçam os seguintes direitos:

  • Acesso à informação;
  • Retirar o consentimento;
  • Retificação ou apagamento;
  • Portabilidade;
  • Oposição ao tratamento;
  • Limitação do tratamento;

 6º Notificação de violações de dados pessoais

O administrador deve possuir registos das violações de dados. Assim, deve assegurar que em caso de violação dos dados que representem riscos para os direitos e liberdades dos titulares dos dados, o cumprimento da obrigação de notificação até 72 horas após ter conhecimento da mesma, ou ao informar o titular, quando aplicável.

7º Medidas de segurança, privacy by design e by default

Conforme o contexto, O RGPD dá algumas pistas sobre quais as medidas a implementar pelas empresas de acordo com o que for adequado ao contexto para cumprir com esta obrigação:

  • Pseudoanónimo e cifragem dos dados pessoais;
  • Cumprimento de um Código de Conduta, quando aplicável;
  • Mecanismos que assegurem a confidencialidade, integralidade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento (que podem ir desde segurança física até encriptação através de password);
  • Procedimento de certificação, quando criado pela autoridade de controlo;
  • Instrumentos que permitam o restabelecimento da disponibilidade e acesso aos dados pessoais de forma atempada no caso de um acidente físico ou técnico;
  • Processos para testar, apreciar e avaliar regularmente a eficácia das medidas implementadas;

Adoção de instrumentos de conformidade, nomeadamente, regulamentos, normas e procedimentos específicos de determinadas áreas, departamentos ou unidades. Destinados a auxiliar e definir os processos internos em matéria de proteção de dados, de modo a contribuir para a promoção da aplicação do RGPD.

Designação de encarregado de proteção de dados

Para o condomínio ou administração de condomínios, não é necessária a designação de um DPO, na medida em que é necessário a empresa possuir mais de 250 funcionário para a sua obrigatoriedade. Este é apenas  obrigatório para entidades públicas e operações de tratamento em grande escala.

[/membership]

Artigos Relacionados:

Os direitos e deveres dos condóminos
Regulamento do Condomínio
Construções Ilegais no Condomínio
Auditoria as contas do condomínio
Edifício com mais de uma administração de condomínios
Fundo de Reserva do condomínio
Compra de apartamento e documentação
Seguro de Responsabilidade Civil e Contrato
 
Etiquetas: