Data protection law in the UK has changed as a result of Brexit. Você pode encontrar a mais recente orientação aqui.
nos termos do Regulamento Geral de protecção de dados (GDPR), as organizações devem criar uma política de retenção de dados para as ajudar a gerir a forma como lidam com as informações pessoais.
se mantiver os dados sensíveis por muito tempo – mesmo que sejam mantidos em segurança e não sejam utilizados de forma abusiva-poderá estar a violar os requisitos do Regulamento.
isso pode parecer muito rigoroso, mas há uma boa razão para isso. Neste blog, explicamos por que é esse o caso, como as Políticas de retenção de dados funcionam e como você pode criar um em linha com os requisitos do GDPR.
o que é uma política de retenção de dados?
uma política de retenção de dados é um conjunto de diretrizes que ajuda as organizações a manter o controle de quanto tempo a informação deve ser mantida e como eliminar a informação quando ela já não é necessária.
a política deve também delinear a finalidade para o tratamento dos dados pessoais. Isso garante que você tem provas documentadas que justificam seus períodos de retenção de dados e eliminação.
objectivos e objectivos
se voltar ao pânico que precedeu a entrada em vigor do GDPR, terá uma compreensão perfeita da razão pela qual os períodos de retenção de dados são essenciais.
organizações que não interagiam connosco há anos, saíram da floresta para pedir o nosso consentimento para manter os nossos dados.
mostrou com que frequência os nossos registos se encontram nas bases de dados da organização muito tempo depois de termos acabado de utilizar os seus serviços.
a organização não quer se livrar da informação, porque não custa praticamente nada armazenar detalhes do cliente, mas mantê-lo desnecessariamente expõe-lo a ameaças de segurança.
é preciso apenas um pedaço de má sorte para que os sistemas de uma organização sejam quebrados, seja um ataque cibernético ou um erro interno.
assim, para limitar os danos que as violações de dados podem causar, os reguladores determinaram que as organizações baseadas na UE devem conservar os dados pessoais apenas se houver uma razão legítima para mantê-los.
quanto tempo os dados pessoais podem ser armazenados?
apesar do rigor aparente dos períodos de retenção de dados do GDPR, não existem regras sobre limitação de armazenamento.
as organizações podem, em vez disso, fixar os seus próprios prazos com base nos motivos que considerarem mais adequados. O único requisito é que a organização deve documentar e justificar por que razão estabeleceu o prazo de que dispõe.
a decisão deve basear-se em dois factores fundamentais: a finalidade do tratamento dos dados e quaisquer requisitos regulamentares ou legais para a sua conservação.
os dados não devem ser mantidos por mais tempo do que o necessário e não devem ser mantidos “apenas no caso” de ter necessidade dele no futuro.
desde que um dos seus propósitos ainda se aplique, você pode continuar a armazenar os dados.
deve também considerar os seus requisitos legais e regulamentares para conservar os dados. Por exemplo, quando os dados são sujeitos a impostos e auditorias, ou para cumprir com normas definidas, haverá Diretrizes de retenção de dados que você deve seguir.
você pode planejar como seus dados serão usados e se serão necessários para uso futuro, criando um mapa de fluxo de dados. Este processo também é útil quando se trata de localizar dados e removê-lo uma vez que o seu período de retenção expira.
existem duas maneiras de evitar prazos de retenção de dados. O primeiro é o anonimato dos dados, o que significa que a informação não pode ser ligada a uma pessoa identificável.
se os seus dados são anônimos, o GDPR permite-lhe mantê-los durante o tempo que quiser.No entanto, deve ter cuidado ao fazer isto. Se a informação puder ser utilizada juntamente com outras informações de que a organização dispõe para identificar um indivíduo, então não será devidamente anonimizada.
pode também contornar os prazos de retenção de dados se a informação estiver a ser guardada para fins de arquivo no interesse público, para fins de investigação científica ou histórica ou para fins estatísticos.
o que fazer com os dados após o período de retenção
tem duas opções quando o prazo para a retenção de dados expirar: eliminá-lo ou torná-lo anónimo.
se optar por apagar os dados, deve assegurar-se de que todas as cópias foram eliminadas. Para fazer isso, você precisará descobrir onde os dados são armazenados. É um ficheiro digital, cópia em papel ou ambos?
é fácil apagar dados em papel, mas os dados digitais muitas vezes deixam um traço e as cópias podem residir em servidores de arquivos esquecidos e bases de dados.
para cumprir com o GDPR, você terá que colocar os dados “além do uso”. Todas as cópias dos dados devem ser removidas dos sistemas vivos e de backup.
como criar uma política de retenção de dados
a sua política de retenção de dados deve fazer parte do seu processo global de documentação de segurança da informação.
o primeiro passo é obter uma imagem completa de exatamente quais dados você está processando, para o que está sendo usado e quais regulamentos se aplicam à sua empresa.
estes regulamentos incluem, mas não estão necessariamente limitados a, o GDPR. Por exemplo, se você processar informações de débito ou cartão de crédito de indivíduos, você pode estar sujeito ao PCI DSS (Payment Card Industry Data Security Standard).
da mesma forma, se você pretende cumprir com a norma ISO 27001, a norma internacional que descreve as melhores práticas para a segurança da informação, você deve tomar nota dos seus requisitos.
estes requisitos de Conformidade ditarão quais as informações que devem ser incluídas na sua política e as regras que ela deve seguir.
uma política simples de retenção de dados irá abordar:
- os tipos de informação abrangidos pela política
diferentes tipos de informação estarão sujeitos a regras diferentes, por isso deve manter um registo dos dados que está a processar – seja nomes, endereços, contactos, registos financeiros, etc.
- durante quanto tempo tem direito a manter informações
os clientes ficam por vezes surpreendidos quando lhes dizemos que o GDPR não estabelece prazos específicos para os dados a serem conservados. O período de tempo para o qual você mantém dados específicos é uma decisão subjetiva para você fazer com base em suas razões para o processamento dos dados.
- o Que você deve fazer com os dados, quando não é mais necessário
eliminação Regular de dados desnecessários também reduz a quantidade de dados que você precisa percorrer para cumprir com o assunto solicitações de acesso. Também reduz os custos de armazenamento e gerenciamento de documentos.
passar pela sua política de retenção de dados regularmente permite-lhe limpar a casa e remover ficheiros duplicados e desactualizados para evitar confusão e acelerar quaisquer pesquisas necessárias.
tente nosso modelo de política de retenção de dados
criar uma política de retenção de dados pode parecer uma tarefa difícil, mas com o nosso kit de ferramentas GDPR, o processo é feito simples.
contém tudo o que você precisa para cumprir com o regulamento, incluindo um modelo de política de retenção de dados do GDPR que as organizações do Reino Unido podem usar para formalizar a sua abordagem de Conformidade, poupando tempo e dinheiro.
Este kit de ferramentas também contém:
- Uma Análise de Gap Ferramenta que você pode usar para medir a sua taxa de cumprimento práticas;
- Orientação sobre como concluir o seu documentação de requisitos, modelos de cria ção de pseudónimos, minimização e criptografia, para citar alguns;
- Uma papéis e responsabilidades matriz para ajudar você a entender quem supervisiona a realização de certas tarefas e função.
Uma versão deste blog foi originalmente publicado em 12 de novembro de 2018.