Privacidade de dados | Regulamentos | Leis | Quadros
O Data & Mores Complice Service (DMCS) suporta uma vasta gama de quadros jurídicos. Desde o RGPD europeu, passando pelo PIPEDE canadiano, até ao PIPL chinês. No cerne de toda a privacidade de dados está o pressuposto de que os dados pertencem a indivíduos e as organizações são apenas guardiãs dos dados. Com esse entendimento, torna-se claro que todos os dados pessoais devem ter um período de retenção - e devem ser eliminados antes de se tornar ilegal mantê-los
O RGPD foi a primeira grande legislação sobre privacidade de dados que, devido ao seu alcance global, teve impacto em quase toda a legislação global sobre privacidade de dados. No entanto, como referido abaixo, é essencial notar que o RGPD está enraizado na Carta dos Direitos Fundamentais da União Europeia.
De seguida, apresentamos dez quadros de retenção de reguladores que o DMCS suporta de imediato.
1. UE: Regulamento Geral sobre a Proteção de Dados (RGPD):
Nos termos do RGPD, a retenção de dados é um aspeto fundamental para garantir a conformidade. As organizações devem estabelecer políticas claras de retenção de dados que determinem o período durante o qual os dados pessoais podem ser armazenados. O princípio da minimização dos dados é realçado, o que significa que os dados pessoais só devem ser conservados durante o tempo necessário para o objetivo especificado. As organizações devem documentar os seus períodos de retenção e informar os indivíduos sobre a duração do armazenamento dos seus dados. O GDPR também exige que as organizações implementem medidas de segurança adequadas para salvaguardar os dados retidos durante o armazenamento.
2. EUA: California Consumer Privacy Act (CCPA):
A CCPA concede aos consumidores o direito de solicitar a eliminação das suas informações pessoais na posse das empresas. Consequentemente, as organizações devem estabelecer políticas de conservação de dados que estejam em conformidade com estes direitos. Embora a CCPA não especifique um período de retenção específico, sublinha a necessidade de as organizações informarem os indivíduos sobre as suas práticas de retenção de dados. As empresas devem divulgar as categorias de informações pessoais recolhidas, a finalidade da recolha e o período durante o qual os dados serão conservados. O cumprimento das políticas de retenção de dados e a eliminação atempada dos dados mediante pedido é crucial para cumprir os requisitos da CCPA.
https://oag.ca.gov/privacy/ccpa
3. Canadá: Lei sobre a proteção das informações pessoais e dos documentos electrónicos (PIPEDA):
A PIPEDA exige que as organizações tenham políticas claras e razoáveis de retenção de dados. Sublinha a importância de limitar a retenção de informações pessoais apenas ao necessário para cumprir os objectivos identificados. As organizações devem especificar a forma como os dados pessoais são recolhidos e conservados e comunicar esses objectivos às pessoas. Além disso, a PIPEDA exige que as organizações tenham directrizes e procedimentos para destruir ou tornar anónima a informação pessoal quando esta já não for necessária para os fins identificados.
4. Do Brasil: Lei Geral de Proteção de Dados (LGPD):
A LGPD reconhece a importância das políticas de retenção de dados para garantir a proteção e a privacidade dos dados pessoais. Ela exige que as organizações estabeleçam finalidades específicas para o processamento de dados e retenham os dados pelo tempo necessário para atingir essas finalidades. As organizações devem informar os indivíduos sobre o período de retenção e os critérios utilizados para determinar a duração do armazenamento de dados. Além disso, a LGPD enfatiza a necessidade de medidas de segurança adequadas para proteger os dados retidos e impedir o acesso ou divulgação não autorizados.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
5. Singapura: Lei sobre a proteção dos dados pessoais (PDPA):
Nos termos da PDPA, as organizações devem estabelecer políticas de retenção de dados que estejam em conformidade com a finalidade da recolha. Os dados pessoais não devem ser retidos mais tempo do que o necessário para cumprir os objectivos declarados e as organizações devem documentar os seus períodos de retenção. A PDPA também sublinha a importância de implementar medidas de segurança adequadas para proteger os dados conservados contra o acesso não autorizado, a divulgação ou a perda.
https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
6. Lei australiana sobre a privacidade: (APA)
Embora a Lei da Privacidade australiana não defina explicitamente períodos específicos de retenção de dados, sublinha o princípio da minimização dos dados. Espera-se que as organizações estabeleçam políticas de conservação de dados que garantam que as informações pessoais sejam conservadas apenas durante o tempo necessário para cumprir os objectivos identificados. Além disso, a lei sublinha a necessidade de as organizações implementarem salvaguardas de segurança adequadas para proteger os dados conservados contra o acesso não autorizado, utilização indevida, interferência, perda ou divulgação.
https://www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act
7. Lei de Portabilidade e Responsabilidade dos Seguros de Saúde dos EUA (HIPAA):
A HIPAA inclui disposições relativas à retenção de dados no sector dos cuidados de saúde. As entidades abrangidas e os associados comerciais são obrigados a reter informações de saúde protegidas (PHI) durante períodos específicos para cumprir os requisitos legais e comerciais. A HIPAA não prevê um período de retenção específico, mas sublinha a necessidade de implementar políticas e procedimentos para a retenção e eliminação de dados. As organizações devem ter em conta as leis estatais e federais quando estabelecem políticas de retenção de dados para PHI.
https://www.hhs.gov/hipaa/index.html
8. REINO UNIDO: Lei da Proteção de Dados:
A Lei de Proteção de Dados de 2018, em conjunto com o RGPD, exige que as organizações tenham políticas de retenção de dados em vigor. Os dados pessoais só devem ser conservados durante o tempo necessário para os fins especificados. A lei sublinha a necessidade de as organizações informarem as pessoas sobre os períodos de conservação e os critérios utilizados para determinar a duração da conservação dos dados. Além disso, devem ser aplicadas medidas de segurança adequadas para proteger os dados conservados.
9. China: Lei sobre a proteção das informações pessoais (PIPL):
A PIPL na China obriga as organizações a estabelecer políticas de retenção de dados para efeitos de processamento de dados. As informações pessoais só devem ser conservadas durante o tempo necessário para cumprir os objectivos especificados. As organizações devem informar os indivíduos sobre o período de retenção e os critérios utilizados para determinar a duração do armazenamento dos dados. A lei também exige que as organizações apliquem medidas de segurança para proteger os dados conservados contra o acesso não autorizado, a divulgação ou a perda.
http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm
Índia: Projeto de lei sobre a proteção dos dados pessoais (PDPB):
A proposta de PDPB na Índia sublinha a importância das políticas de conservação de dados. As organizações devem estabelecer períodos de retenção baseados nos objectivos do processamento de dados. Os dados pessoais não devem ser conservados mais tempo do que o necessário para cumprir os objectivos especificados. A PDPB exige que as organizações informem os indivíduos sobre os períodos de retenção e implementem medidas de segurança adequadas para proteger os dados retidos.
Como sempre, leia as fontes - não confie em ninguém