Perguntas Frequentes RGPD AJAX
Noções Básicas
O que é o RGPD?
O Regulamento Geral sobre a Proteção de Dados (também conhecido como Regulamento 2016/679 ou "RGPD") é um Regulamento da legislação da UE sobre a proteção e privacidade de dados na UE e no Espaço Económico Europeu (EEE). Embora tenha sido redigido e aprovado pela União Europeia (UE), impõe obrigações de proteção de dados em organizações em todo o lado, desde que direcionem ou recolham dados relacionados com pessoas na UE.
O que são dados pessoais?
São considerados dados pessoais qualquer informação relacionada com um indivíduo que possa ser direta ou indiretamente identificado. As diferentes informações, que sejam recolhidas em conjunto, podem levar à identificação de uma pessoa em particular e também constituem dados pessoais.
Os dados pessoais que sejam anonimizados, encriptados ou pseudonimizados, mas que possam ser utilizados para voltar a identificar uma pessoa continuam a ser dados pessoais e estão abrangidos no âmbito da legislação.
Aqui estão alguns exemplos de dados pessoais:
- nome e apelido;
- endereço;
- endereço de email;
- número de cartão de identificação;
- dados de localização;
- endereço IP;
- identificadores de cookies;
- o identificador de publicidade do telefone.
O que significa tratar os dados?
A definição de Tratamento de Dados abrange uma vasta gama de operações realizadas nos dados pessoais, incluindo por meios manuais ou automatizados. Inclui a recolha, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou disponibilização de qualquer outra forma, alinhamento ou combinação, restrição, eliminação ou destruição de dados pessoais. Se fizer alguma coisa aos dados de qualquer uma das formas acima, está a tratar dados.
Qual é a diferença entre um Tratador de Dados e um Controlador de Dados?
Um controlador de dados refere-se a uma organização, instituição ou indivíduo que define as normas e regras para o tratamento de dados pessoais. Na prática, isso significa que um controlador de dados é responsável por determinar como e por que razão os dados serão utilizados por uma organização. Frequentemente, um controlador de dados é uma pessoa ou uma organização que realmente recolhe dados e, em seguida, determina como serão utilizados.
Isto contrasta com um tratador de dados. De acordo com o RGPD, um tratador de dados é uma organização, instituição ou indivíduo que implementa as normas de tratamento de dados estabelecidas pelo controlador de dados. Normalmente, um tratador de dados é uma parte que processa dados seguindo ordens e ao critério de um controlador de dados. Um tratador de dados não possui nenhum dos dados que trata e não controla os mesmos. Isso significa que um tratador de dados não pode alterar o significado dos dados, orientar a forma como os dados são utilizados e está obrigado a seguir as instruções.
Existem algumas perguntas de verificação para entender a diferença entre as funções do controlador e do tratador de dados:
O Controlador de Dados decide o seguinte:
- a organização que recolhe os dados em primeira instância e que dispõe da base jurídica para o fazer;
- para que devem ser utilizados os dados pessoais;
- se se devem divulgar os dados e, em caso afirmativo, a quem;
- se estão sujeitos ao acesso e se se aplicam outros direitos individuais ou se existem isenções;
- durante quanto tempo os dados são retidos ou se os dados devem ser alterados de uma forma não rotineira.
O Tratador de Dados decide o seguinte:
- os métodos utilizados para a recolha e armazenamento de dados pessoais;
- a forma como os dados são protegidos;
- os meios utilizados para transferir dados pessoais de uma organização para outra;
- a forma como os dados pessoais são recuperados;
- o método para garantir que o calendário de retenção é respeitado;
- a forma como os dados pessoais são eliminados.
Quais são as Condições do RGPD para o Tratamento de Dados Pessoais?
O artigo 6 do RGPD lista as várias condições (também conhecidas como base) sob as quais é legal tratar os dados pessoais:
- Consentimento. Consentimento significa que o titular dos dados deu consentimento explícito para uma atividade de tratamento de dados pessoais para um ou mais propósitos específicos. A noção de propósito é fundamental neste caso. Se o sujeito dos dados, também conhecido como pessoa natural, der consentimento para o tratamento sem saber o(s) propósito(s) específico(s) de forma completa e fácil de entender, o consentimento não constitui um fundamento jurídico para o tratamento, uma vez que o consentimento deve ser dado de forma livre, específico, informado e inequívoco. Além disso, o consentimento não pode ser agrupado. Portanto, para cada atividade de tratamento de dados dentro de uma operação mais ampla, a regra geral é que é necessário um consentimento separado para cada atividade.
- O tratamento é necessário para executar ou para preparar a celebração de um contrato no qual o sujeito dos dados é um outorgante. Uma organização pode confiar nesta base jurídica se precisar de tratar os dados pessoais de alguém para lhe disponibilizar um serviço contratual ou porque foi solicitado à organização que faça algo antes de celebrar um contrato (por exemplo, dar um orçamento).
- É necessário tratar dados para cumprir com uma obrigação legal. Se o controlador tiver um dever legal para o qual seja necessário tratar dados pessoais em particular, o tratamento é permitido. Esse cumprimento de uma obrigação legal para a qual o tratamento é necessário e a que o controlador está sujeito também não é novidade.
- É necessário tratar os dados para salvar a vida de alguém. Esta base também é conhecida como "interesse vital". Neste caso, a pessoa natural não precisa de ser um sujeito de dados; também pode ser outra pessoa natural. Naturalmente, não cabe ao controlador definir o que é um interesse vital. Esta base diz respeito a circunstâncias de perigo de vida em que não existe outro fundamento jurídico para o tratamento, mas em que o não tratamento de dados pessoais significa essencialmente que alguém pode morrer se o tratador não fizer nada e, por esse motivo, precisa de saber algumas coisas sobre a pessoa natural que está em perigo.
- O tratamento é necessário para desempenhar uma tarefa de interesse público ou para desempenhar alguma função oficial. Uma organização pode contar com esta base jurídica se precisar de tratar os dados pessoais "para o exercício de uma autoridade oficial". Isto abrange as funções e poderes públicos que estão previstos por lei, ou para desempenhar uma tarefa específica de interesse público prevista na lei.
- O controlador tem um interesse legítimo para tratar os dados pessoais de alguém. O tratamento de dados pessoais neste contexto pode não ser necessariamente justificado por uma obrigação legal ou realizado para executar os termos de um contrato com um indivíduo. Nesses casos, o tratamento de dados pessoais pode ser justificado com o fundamento de interesse legítimo. Por exemplo, um tratador tem o interesse legítimo quando o tratamento decorre no âmbito de uma relação com o cliente, para finalidades de marketing direto, para prevenir fraudes, ou para assegurar a segurança de rede e informação dos sistemas de TI.
Como funciona o consentimento ao abrigo do RGPD?
Existem regras estritas sobre o consentimento de um titular de dados para o tratamento da respetiva informação:
- O consentimento tem de "ser dado de livre vontade, específico, informado e inequívoco."
- Os pedidos de consentimento têm de ser "claramente distintos de outras questões" e apresentados em "linguagem clara e simples".
- Os titulares dos dados podem retirar o consentimento dado previamente quando quiserem, e deve honrar a decisão dos mesmos. Não é possível alterar simplesmente a base jurídica do tratamento para uma das outras justificações.
- É necessário manter provas documentais do consentimento.
Quais são os direitos individuais ao abrigo do RGPD?
O RGPD confere os seguintes direitos aos indivíduos:
- O direito à informação (os indivíduos têm o direito de estar informados sobre a forma como as empresas recolhem e utilizam os seus dados pessoais, durante quanto tempo planeiam manter esses dados e com quem os pretendem partilhar);
- O direito de acesso (os indivíduos têm o direito de saber exatamente qual a informação que as empresas recolheram, como armazenam e tratam esses dados e o que vão fazer com os mesmos);
- O direito à retificação (os indivíduos têm o direito de exigir que os dados incompletos sejam completados e que os dados incorretos sejam corrigidos);
- O direito à eliminação (os indivíduos têm o direito de exigir a eliminação permanente dos seus dados pessoais. Isto também é conhecido como o “direito a ser esquecido”);
- O direito de restringir o tratamento (se os indivíduos não puderem exigir a eliminação das suas informações pessoais aos controladores de dados, podem restringir a capacidade dos controladores de dados para tratarem esses dados);
- O direito de portabilidade de dados (os indivíduos têm o direito de obter e reutilizar os seus dados pessoais para os seus próprios fins e em diferentes serviços);
- O direito de objeção (os indivíduos têm o direito de objeção ao tratamento dos seus dados pessoais em determinadas circunstâncias);
- Direitos em relação à tomada de decisão e elaboração de perfil automatizados (os indivíduos têm o direito de exigir a intervenção humana, em vez de deixarem as decisões importantes serem tomadas por algoritmos).
Quais são os sete princípios do RGPD?
Existem sete princípios chave de proteção e responsabilidade dos dados de acordo com o RGPD:
- Legalidade, justiça e transparência — o tratamento tem de ser legal, justo e transparente para o titular dos dados.
- Limitação de propósito — os dados têm de ser tratados para os propósitos legítimos especificados explicitamente ao titular dos dados aquando da recolha.
- Minimização de dados — devem ser recolhidos e tratados apenas os dados absolutamente necessários para os propósitos especificados.
- Precisão — os dados pessoais têm de ser mantidos atualizados e precisos.
- Limitação de armazenamento — só podem ser armazenados dados de identificação pessoal pelo tempo necessário para o propósito especificado.
- Integridade e confidencialidade — o tratamento deve ser feito de forma a garantir segurança adequada, integridade e confidencialidade (por exemplo, recorrendo a encriptação).
- Responsabilidade — o controlador de dados é responsável pela demonstração de conformidade com o RGPD de todos estes princípios.
O RGPD exige que os dados pessoais dos residentes na UE permaneçam na UE?
O RGPD não tem uma restrição direta para que os dados pessoais dos residentes na UE permaneçam apenas na UE. No entanto, a Proteção de Dados da UE funciona sob o princípio de que "o RGPD fica com os dados", o que significa que as regras que protegem os dados pessoais continuam a aplicar-se, independentemente do local onde os dados acabam por ir parar. Este princípio também se aplica quando os dados pessoais são transferidos para um país que não é membro da UE.
Tratamento pela Ajax
A Ajax trata os meus dados pessoais?
Sim, a Ajax pode tratar os seus dados pessoais. Existem 4 principais cenários em que poderemos tratar os seus dados:
- através dos nossos dispositivos de segurança (como o Hub ou outros);
- através das nossas apps (como a Ajax Security System e a Ajax PRO: Ferramenta para Engenheiros) e aplicações de ambiente de trabalho (chamamos a estas os nossos Produtos ou Serviços);
- se visitar o site https://ajax.systems/
- no âmbito da cooperação empresarial entre si e a Ajax (quer seja um Parceiro ou Subcontratante direto ou indireto da Ajax)
Que tipos dos meus dados podem ser tratados pela Ajax?
A Ajax pode tratar diferentes tipos de dados, dependendo do cenário da interação consigo.
Através dos nossos dispositivos de segurança, podemos tratar:
- Informação sobre o seu Hub (como o seu modelo e o número de série, informação de rede, incluindo o endereço IP, registos de atividade do dispositivo, configuração histórica e atual do dispositivo e a sua localização).
- Dados de telemetria e ambientais.
Para fornecer aos utilizadores informações sobre o sistema na forma de estados e eventos, processamos os Dados de telemetria.
O termo “Dados de Telemetria” (adiante também “Telemetria”) refere-se a dados e outras indicações que são automaticamente recolhidos, transmitidos e medidos por sensores incorporados nos nossos dispositivos para determinar o estado do ambiente e a operacionalidade, etc., e para detetar possíveis anomalias no funcionamento dos dispositivos.
Durante a utilização dos nossos Produtos ou Serviços, podemos tratar:
- Informações sobre si (como nome, apelido, email, número de telefone e a sua fotografia de conta).
- Informação que partilha connosco da lista de contactos do seu dispositivo ao convidar utilizadores para aderir ao Produto (como o email ou o número de telefone de uma pessoa que convide para o Produto).
- Identificadores únicos para os nossos Serviços (como o seu nome de utilizador e palavra-passe).
- Identificadores únicos dos utilizadores ligados por si ao Produto, como o nome do utilizador, o papel do utilizador no Produto e o seu endereço de email; informações sobre os seus dispositivos móvel e desktop, como o tipo de dispositivo, sistema operativo e idioma do sistema.
- Dados baseados na localização de forma a podermos fornecer-lhe lembretes para armar/desarmar o sistema, se ativar a função Geofence na nossa app.
- Para utilizadores Android e iOS, SMS com o código de autorização solicitado durante o registo ou alterações da conta.
- Informações sobre a forma como utiliza os nossos Produtos e Serviços (como pedidos da app ao nosso servidor).
Se visitar o nosso website, podemos tratar:
- As informações que fornece ao preencher os formulários, que podem conter os seus dados pessoais e de contacto.
- Identificadores de cookies (através da ferramenta em conformidade com RGPD).
- O seu endereço IP para definir o país da sua localização.
Em caso de cooperação empresarial, podemos tratar:
- Informações pessoais e de contacto de representantes da empresa (nome, posição, email e número de telefone).
Qual é o propósito e a base jurídica para o tratamento?
- Todos os dados que recebemos através dos nossos dispositivos de segurança ou enquanto estiver a utilizar os nossos Produtos ou Serviços são tratados apenas para lhe fornecer os serviços de segurança solicitados. Isto significa que tratamos todos esses dados para executar um contrato que temos consigo. Significa também que não recolhemos quaisquer dados que não sejam especificamente necessários para lhe prestarmos tais serviços.
- Se decidir subscrever a nossa newsletter, enviar-lhe-emos emails com algumas informações sobre nós e as nossas últimas atualizações. Contamos com o consentimento que nos dá ao confirmar a sua subscrição. Para além disso, personalizaremos estes emails com base na informação que temos sobre a sua pessoa, de modo a torná-los mais relevantes e mais úteis para si.
- Se tiver partilhado registos de operações da sua aplicação, no caso de ter tido algum problema, processaremos esses registos para resolver o seu problema técnico e para melhorar os nossos Produtos e Serviços. Processamos tais registos com base no nosso interesse legítimo, com o objetivo de tornar as nossas ofertas de mercado mais competitivas.
- Utilizamos os dados que partilha connosco da lista de contactos do seu dispositivo quando convida utilizadores para aderir ao Produto (como o email ou o número de telefone de uma pessoa que convide para o Produto) apenas para enviar o convite a essas pessoas.
Onde é armazenada a informação?
Todos os tipos de dados que Ajax pode recolher de si são armazenados no armazenamento em nuvem localizado na Irlanda, na Alemanha e na França (dentro do EEE); a escolha de onde armazenar os dados (na Irlanda, na Alemanha, ou na França) está sujeita à disponibilidade de infraestruturas da AWS.
Durante quanto tempo é armazenada a informação?
Todos os dados são armazenados durante todo o período da relação com o cliente, exceto pela memória de notificações push, que é limitada a 500 transações. Para o registo de eventos de conta PRO Desktop, a duração do armazenamento de notificações de eventos é de 2 anos. No entanto, alguns tipos de dados (como o nome, posição e as informações de contacto dos representantes mencionados nos contratos) podem ser armazenadas durante mais tempo do que o período de cooperação para cumprir as nossas obrigações legais.
Tipo de dados | Propósito do tratamento | Base jurídica | Período de armazenamento |
Informação sobre o Hub (modelo e o número de série, informação de rede, incluindo os registos de atividade do dispositivo, configuração histórica e atual do dispositivo, localização) | Para que o Hub, dispositivos e apps funcionem devidamente | Contrato, em caso de apoio ao serviço — interesse legítimo | Durante todo o período de relação com o cliente ou até à eliminação conforme seja pedido/executado pelo utilizador. Cópias de segurança até 12 meses |
Identificadores únicos (nome de utilizador e palavra-passe) | Autorização do utilizador | Contrato | Durante todo o período de relação com o cliente ou até à eliminação conforme seja pedido/executado pelo utilizador. Cópias de segurança até 12 meses |
Dados de localização | Para que o Hub, dispositivos e apps funcionem devidamente | Contrato e/ou interesse legítimo | Durante todo o período de relação com o cliente ou até à eliminação conforme seja pedido/executado pelo utilizador. Cópias de segurança até 12 meses |
Informações sobre a utilização dos nossos Produtos e Serviços (como pedidos da app ao servidor) | Para que o Hub, dispositivos e apps funcionem devidamente | Contrato | Durante todo o período de relação com o cliente ou até à eliminação conforme seja pedido/executado pelo utilizador. Cópias de segurança até 12 meses |
Informações fornecidas ao preencher os formulários, que podem conter dados pessoais e de contacto | Comunicação, serviço de entrega de produto, promoções de marketing | Consentimento | Durante todo o período de relação com o cliente ou até à eliminação conforme seja pedido/executado pelo utilizador. Cópias de segurança até 12 meses |
Endereço IP | Para que o Hub, dispositivos e apps funcionem devidamente | Contrato ou Consentimento | Durante todo o período de relação com o cliente ou até à eliminação conforme seja pedido/executado pelo utilizador. Cópias de segurança até 12 meses |
Nome, apelido e informações de contacto | Para que o Hub, dispositivos e apps funcionem devidamente | Consentimento | Durante todo o período de relação com o cliente ou até à eliminação conforme seja pedido/executado pelo utilizador. Cópias de segurança até 12 meses |
Imagens tiradas através de dispositivos Ajax | Para que o Hub, dispositivos e apps funcionem devidamente | Contrato | -App — O período de retenção de ficheiros multimédia para as contas de Utilizador e PRO é de 2 anos. As fotografias podem ser eliminadas antecipadamente, bem como os eventos associados, se for atingido o limite de eventos da app (500 eventos). -Ajax PRO Desktop (conta da empresa) — consoante as configurações (de 7 dias a 2 anos). -O Ajax Translator não armazena imagens; no entanto, as ligações permanecem ativas durante 7 dias a partir do momento da sua criação |
Quem tem acesso ao sistema e à informação do lado da Ajax?
A Ajax segue os princípios de minimização da disponibilidade e de restrição de privilégios no que diz respeito a acesso a dados. Assim, o acesso aos dados pode ser concedido apenas aos funcionários Ajax responsáveis por dar apoio ao processo dos serviços e disponibilização do projeto. Quando os funcionários da Ajax têm acesso aos dados, o seu equipamento está protegido com encriptação e outras ferramentas, conforme exigido pelas normas técnicas de mercado mais exigentes. Todos os funcionários assinaram um contrato de confidencialidade no local e passam anualmente por uma avaliação de proteção de dados. Todas as ações dos funcionários são registadas e os registos são automaticamente verificados em tempo real. Em caso de suspeita de acesso excessivo, restringimos o acesso e começamos imediatamente a investigar o caso. No entanto, destacamos que a Ajax nunca acede a dados sem uma base jurídica válida para o fazer. Nalguns casos, um utilizador pode pedir à Ajax (por sua conta e risco) que conceda acesso aos dados do utilizador a prestadores terceiros designados pelo utilizador (empresas de segurança, instaladores) através das apps móvel e para desktop. Nesses casos, as empresas escolhidas pelo utilizador também terão acesso aos dados que o utilizador deseja transferir.
O que é que o Ajax está a fazer para cumprir as leis globais de proteção de dados? Como é que a Ajax demonstra conformidade com o RGPD?
Para cumprir as leis internacionais de proteção de dados, a Ajax aplica um número significativo de medidas, mecanismos e procedimentos. Por exemplo, a Ajax aplica os princípios da limitação do tratamento de dados (privacidade por design e por padrão), minimização de dados, controlo de acesso, políticas de tratamento de dados (políticas de armazenamento, processamento, eliminação, etc.). Como parte das transferências de dados, a Ajax recorre a várias medidas, incluindo medidas organizacionais e técnicas e Cláusulas Contratuais Padrão. Pode encontrar mais informações sobre este tema na secção de Transferência de Dados.
Como posso exercer os meus direitos de privacidade?
Para exercer os seus direitos de privacidade (para eliminar, opor-se ou ser informado sobre os seus dados pessoais, para restringir o tratamento, etc.) pode entrar em contacto connosco através do e-mail support@ajax.systems.
Transferência de Dados
Com quem pode a Ajax os partilhar os meus dados? Que tipos de dados podem ser partilhados e em que casos?
Por norma, só podemos partilhar os seus dados pessoais quando tal é necessário para lhe fornecer os serviços solicitados. Esses dados podem ser divulgados aos nossos fornecedores e prestadores de serviços que executam determinados trabalhos para que os nossos Produtos e Serviços funcionem. Isso inclui alojamento de dados, apoio técnico, comunicação, etc. Certificar-nos-emos de que esses prestadores tratam os seus dados com o mesmo nível de proteção que nós temos.
Podemos partilhar os seus dados de contacto (como número de telemóvel, alcunha e email) com prestadores de serviços de segurança física, se assim nos solicitar, selecionando um prestador na nossa app. Tenha em atenção que esses prestadores de serviços tornar-se-ão responsáveis pelo tratamento dos seus dados pessoais. Apesar de escolhermos e oferecermos na nossa app parceiros respeitáveis, recomendamos-lhe que verifique as políticas de privacidade dos mesmos, antes de nos solicitar a transferência dos seus dados para as empresas selecionadas.
Para determinadas necessidades, a Ajax pode utilizar os serviços de sub-tratadores de terceiros fora do EEE. Essas necessidades podem incluir alojamento de dados, comunicação técnica para registo, instalação e outras atividades organizacionais por e-mail ou telefone.
A Ajax faz o seu melhor esforço para garantir que essas transferências sejam efetuadas em conformidade com todas as leis aplicáveis de proteção de dados. Portanto, a Ajax assinou Acordos para o Tratamento de Dados com todos os sub-tratadores (incluindo Cláusulas Contratuais Padrão em caso de transferências de dados além fronteiras), assim como medidas suplementares adicionais que ocorrem durante as transferências e tratamento de dados. Todos os sub-tratadores Ajax têm as suas próprias políticas de privacidade e outros documentos relacionados com a privacidade, que são regularmente revistos pelos profissionais da Ajax para garantir a conformidade.
Lista dos sub-tratadores aprovados pela Ajax:
Serviço | Prestador | Propósito da utilização | Ligação para a Política de Privacidade e Acordo para o Tratamento de Dados |
AWS | Amazon | Alojamento de dados e cópia de segurança | https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html |
Twilio | Twilio Group | SMS programável | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Comunicação por email programável | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Serviço de email transacional | https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ |
MongoDB | MongoDB Inc | Prestador de serviços de base de dados | https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa |
Google BigQuery | Google LLC | Análise, melhoria dos serviços | https://policies.google.com/privacy |
O que são Cláusulas Contratuais Padrão?
As Cláusulas Contratuais Padrão (CCPs) são cláusulas de proteção de dados modelo padronizadas e pré-aprovadas que permitem aos controladores e tratadores cumprir com as suas obrigações ao abrigo da lei da proteção de dados da UE. Podem ser incorporadas por controladores e tratadores nas suas disposições contratuais com outras partes, tais como parceiros comerciais. As cláusulas podem ser utilizadas de forma voluntária para demonstrar o cumprimento dos requisitos em matéria de proteção de dados, que exige um compromisso contratual vinculativo de as respeitar. A Comissão Europeia tem a autoridade de adotar CCPs (1) no que se refere à relação entre controladores e tratadores e (2) à transferência de dados pessoais para países fora do EEE.
O que são Medidas Complementares?
As medidas complementares são procedimentos técnicos e organizacionais especialmente implementados, que são utilizados para alcançar um nível eficaz de segurança sobre os dados transferidos equivalente ao tratamento dos dados no EEE.
A Ajax implementou, inclusive mas sem limitação, as seguintes medidas organizacionais:
- formação e avaliação de consciencialização regular dos funcionários da Ajax;
- sistema automatizado para monitorização em tempo real das violações e vulnerabilidades;
- registo contínuo de todos os processos;
- inspeção e validação personalizadas regulares do sistema Ajax no que diz respeito a vulnerabilidades.
A Ajax implementou, inclusive mas sem limitação, as seguintes medidas técnicas:
- Medidas para prevenir que pessoas não autorizadas tenham acesso aos sistemas de tratamento de dados disponíveis nas instalações (incluindo bases de dados, servidores de app e hardware correspondente), onde os dados pessoais são processados, incluindo o estabelecimento de áreas de segurança, restrição de caminhos de acesso, o estabelecimento de autorizações de acesso para funcionários e terceiros, bloqueio de portas (abertura de portas elétrica, etc.).
- Medidas para impedir que os sistemas de tratamento de dados sejam utilizados por pessoas não autorizadas, incluindo a identificação do utilizador e procedimentos de autenticação, procedimentos de segurança de ID/palavra-passe, encriptação de dados multimédia arquivados.
- Medidas para assegurar que as pessoas com direito a utilizar o sistema de tratamento de dados só têm acesso a esses dados pessoais de acordo com os seus direitos de acesso e que os dados pessoais não podem ser lidos, copiados, modificados ou eliminados sem autorização, incluindo políticas e procedimentos internos, esquemas de autorização de controlo, direitos de acesso diferenciados (perfis, funções, transações e objetos), monitorização e registo de acessos, ação disciplinar contra funcionários que acedam a dados pessoais sem autorização.
- Medidas para garantir que os dados pessoais não possam ser lidos, copiados, modificados, ou eliminados sem autorização durante a transmissão eletrónica, transporte ou armazenamento em multimédia de armazenamento (manual ou eletrónico), e que pode ser verificado a quais as empresas ou outras entidades legais podem ser divulgados Dados Pessoais, incluindo encriptação, registo, segurança de transporte. Todos os dados pessoais são encriptados com o algoritmo SHA256 em repouso e são sujeitos a transferência via HTTPS com encriptação SHA128 e TLS 1.2.
- Medidas para monitorizar se os dados foram inseridos, alterados ou removidos (eliminados) e por quem, dos sistemas de tratamento de dados, incluindo sistemas de registo e relatórios, pistas de auditoria e documentação.
- Medidas para garantir que os dados pessoais estão protegidos contra destruição ou perda acidentais (física/lógica), incluindo procedimentos de cópia de segurança, fonte de alimentação ininterrupta (UPS), armazenamento remoto, sistemas antivírus/firewall, plano de recuperação de desastres, plano de sustentabilidade da empresa.
- Medidas para garantir que os dados pessoais recolhidos para diferentes propósitos possam ser tratados separadamente, incluindo a separação de bases de dados, limitação de utilização, segregação de funções (produção/testagem).
O que é uma Avaliação do Impacto da Transferência?
A Avaliação do Impacto da Transferência (AIT) é uma análise realizada por um controlador de dados ou pelo tratador de dados sobre as implicações de segurança de uma transferência de dados pessoais para países fora da UE/EEE ou que beneficiam de uma decisão de adequação.