O ciclo de vida dos dados pessoais

Legal Watch nº 41 – Novembro de 2021

O ciclo de vida dos dados pessoais. Entre as obrigações previstas no RGPD, há uma que pode rapidamente transformar-se numa dor de cabeça para o responsável pelo tratamento, apesar da sua natureza aparentemente inócua: é a período de retenção de dados pessoais.

A priori, parece natural conservar os dados apenas durante o tempo necessário para as finalidades pretendidas, conforme previsto no artigo 5.1.e do RGPD.

Na prática, surgem muitas questões: as informações devem ser excluídas? Ou devem ser mantidas para fins probatórios? Ou de acordo com as disposições legais? E se os mesmos dados forem necessários em dois contextos distintos?

O prazo de conservação é um dos aspectos a que a CNIL presta especial atenção durante as suas verificações, como o demonstra a sua deliberação de 29 de outubro referente aos arquivos da RATP.

A empresa foi multada em € 400.000 por violar os princípios de finalidade, período de retenção e segurança de dados. 

No âmbito da sua gestão de recursos humanos, a RATP manteve na base de dados ativa de uma aplicação dados relativos aos agentes de acesso demasiado amplo e durante um período superior ao necessário para os fins prosseguidos.  

A CNIL também observou que a RATP manteve arquivos de avaliação de pessoal por mais de 3 anos após a comissão de promoção para a qual foram criados, enquanto sua retenção foi necessária apenas por 18 meses após a realização dessas comissões.

Num contexto diferente, a CNIL já tinha pontiagudo em novembro de 2020, a duração da retenção pela empresa Carrefour dos dados dos seus clientes.

Considera que um período de retenção de quatro anos é excessivo e recomenda manter os dados dos clientes "inativos" (que não negociaram mais com a empresa) por um período máximo de três anos (ver este boletim informativo, dezembro de 2020).

As etapas a seguir orientarão o controlador de dados na determinação dos períodos de retenção:

• Armazenamento de dados em um banco de dados ativo, acessível às pessoas do departamento relevante, por exemplo, recursos humanos, pelo tempo que os dados forem necessários (por exemplo, pagamento de salários)

• Eliminação ou arquivamento intermediário de dados para fins probatórios ou eventual litígio, com acesso restrito e mais seguro, mediante autorização especial

• Exclusão ou arquivamento permanente sob condições de acesso ainda mais restritas.

Em cada etapa, uma triagem deve ser realizada e certos dados podem ser excluídos ou tornados anônimos se não forem úteis ou exigidos por lei.

Quando os mesmos dados são utilizados para duas finalidades diferentes, deve ser-lhes aplicado um período de retenção separado, dependendo dessas respetivas finalidades, bem como regras de acesso e eliminação adequadas.

A CNIL prevê de forma guia prático publicou recomendações em julho de 2020 e lista em seus documentos de referência certos períodos de retenção previstos em lei.

Exemplos incluem:

No âmbito dos recursos humanos, dados dos candidatos por um período máximo de dois anos, recibos de vencimento por um período mínimo de cinco anos (em aplicação do artigo L. 3243-4 do código do trabalho)

No contexto comercial, os dados de faturação durante um período de dez anos (obrigação prevista no Código Comercial)

No contexto da proteção de vídeo, imagens com duração máxima de um mês (artigo L. 252-3 do código de segurança interno).

Cabe acrescentar que a gestão rigorosa do processamento de dados, a eliminação de dados desnecessários e a limitação do acesso aos dados internamente contribuem para a segurança das bases de dados.

Essas medidas desempenharão um papel preventivo diante de ataques externos e do risco de violações de dados, que são riscos significativos hoje em dia.

E também

França:

Em 30 de novembro, a CNIL publicou uma nova deliberação sobre medidas de combate à pandemia da Covid-19.

Chama a atenção do governo para a necessidade de, mais de 18 meses após o início da epidemia, produzir elementos que permitam uma avaliação completa da eficácia dos arquivos e sistemas implementados, incluindo o passe sanitário, o arquivo "vacinas" e o aplicativo "TousAntiCovid".

A autoridade de supervisão iniciou uma quinta fase de controlos, que diz respeito nomeadamente ao período de retenção, eliminação e/ou anonimização dos dados.

Europa:

As autoridades de supervisão da União Europeia iniciaram uma investigação conjunta sobre a conformidade com o RGPD pela plataforma de vendas de artigos usados Vinted.

O Autoridade Europeia para a Proteção de Dados (AEPD) anuncia um conferência nos dias 16 e 17 de junho sobre o tema da proteção de dados: “controles eficazes no mundo digital”, reunindo palestrantes sobre os temas de inteligência artificial, direito da concorrência e mercados e serviços digitais.

Esta conferência está sendo organizada no contexto dos debates sobre a necessidade de centralizar os controles de implementação do GDPR em nível europeu.

Referimo-nos mais precisamente à avaliações emitido em 2 de Dezembro pela Vice-Presidente da Comissão Europeia, Vera Jourova, sobre a (in)eficácia dos controlos em países como Irlanda.

Em 21 de Outubro, sete Relatores Especiais da ONU denunciaram numa Comunicação a política europeia de combate ao terrorismo que, através de medidas demasiado vagas, violaria os princípios da legalidade, da necessidade e da proporcionalidade consagrados nos instrumentos europeus e internacionais de protecção dos direitos fundamentais. 

O Conselho Europeu para a Proteção de Dados (CEPD)) adotada em 18 de novembro diretrizes especificando o escopo das regras relativas às transferências internacionais de dados.

Recorda, entre outras coisas, que estas regras se aplicam às transferências entre controladores (ou subcontratantes) quando o exportador está sujeito ao RGPD e transmite ou torna os dados acessíveis ao importador localizado num país terceiro.

Estas regras de transferência não se aplicam quando os dados são transmitidos por um indivíduo na Europa por sua própria iniciativa. O documento está aberto para consulta pública até o final de janeiro.

O Comité reiterou também as suas preocupações numa Comunicado de imprensa sobre as propostas da Comissão Europeia sobre governança de dados, serviços digitais e mercados digitais, bem como sobre a regulamentação da inteligência artificial.

Ele aponta para a proteção insuficiente dos direitos fundamentais e supervisão fragmentada, e pede a proibição do uso de IA em espaços públicos, da criação de perfis de crianças e da segmentação de publicidade com base no rastreamento sistemático de indivíduos.

Isso ecoa a chamada da nova coalizão do governo alemão em 24 de novembro pela proibição da vigilância biométrica em locais públicos.

A Comissão Europeia iniciou uma procedimento de infração contra a Bélgica por falta de independência da sua autoridade de proteção de dados.

A Bélgica tem dois meses para reagir ou enfrentar uma ação no Tribunal de Justiça Europeu.

O Comité de Ministros do Conselho da Europa adotada em 3 de novembro Recomendação sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais no contexto da definição de perfis.

Este novo texto atualiza a recomendação anterior CM/Rec(2010)13 sobre o mesmo assunto.

A empresa Visão clara, especializada na coleta de dados biométricos, está na mira da autoridade supervisora britânica.  

O ICO está considerando multar a empresa em £ 17 milhões por coletar dados de britânicos sem o conhecimento deles.

A ICO investigação além das práticas da empresa Cignpost Diagnostics que planeja comercializar as informações genéticas obtidas de seus clientes durante testes de PCR para triagem do vírus COVID. 

Internacional:

O Emirados Árabes Unidos adotada em 28 de novembro lei federal sobre proteção de dados. Os responsáveis pelo tratamento de dados terão 12 meses para garantir o cumprimento da lei a partir da data de publicação da lei no Diário Oficial.

Em 24 de novembro, 193 países adotaram a recomendação ONU sobre a ética da inteligência artificial, que prevê a proibição da pontuação social e do uso de IA para fins de vigilância global.