Dando continuidade à série sobre a nova regulamentação da União Europeia (UE) para uso de dados pessoais por parte de organizações públicas e privadas, focamos agora na distribuição dessas responsabilidades entre os países que integram o bloco. Cada Estado-membro da UE estabeleceu uma autoridade independente para fiscalizar o cumprimento do regulamento.
Essas entidades devem ter, funções análogas e poderes efetivos, inclusive de investigar e punir, caso alguém preste queixa. É possível que uma empresa acabe tendo o tratamento de dados de pessoas físicas limitado ou suspenso — talvez até definitivamente, a depender da gravidade do caso.
Os princípios da proteção de dados se aplicam a quaisquer informações relacionadas a uma pessoa identificada ou identificável, via aparelhos, aplicativos, ferramentas e protocolos (endereços IP, por exemplo). Fica proibido utilizar dados pessoais que revelem a origem racial ou étnica de alguém, suas opiniões políticas, convicções religiosas ou filosóficas, a filiação sindical, além de dados genéticos, biométricos, e aqueles relativos à saúde e à vida sexual de um usuário. A exceção se dá quando for dado um consentimento explícito e com fins bem definidos.
Além disso, o cumprimento desse novo regulamento requer que uma empresa que trate dados pessoais de terceiros leve em consideração a tecnologia disponível para garantir a segurança e a confidencialidade de quem estiver envolvido no processo. Para isso, devem-se adotar orientações internas e aplicar medidas que respeitem os princípios de proteção e concessão de informações. Isso pode incluir desde a minimização do tratamento de dados pessoais à total transparência.
O profissional encarregado da proteção de dados tem, pelo menos, as seguintes funções:
- aconselhar quem estiver responsável pelo tratamento de dados;
- monitorar se há a conformidade com o regulamento;
- avaliar, se for solicitado, eventuais impactos na proteção de dados;
- cooperar com a autoridade de controle.
No desempenho dessas atividades, o profissional deve sempre manter-se atento aos riscos associados às operações de tratamento de dados, tendo em mente a natureza, o âmbito, o contexto e as finalidades desse processo.
Texto escrito por Cristina Malta (Graduada em Biblioteconomia, pela ECA-USP, em 1986, é fundadora da empresa Quality Doc, sediada em Amsterdã, Holanda, país onde também participou de diversos cursos de gestão da informação e de arquivos empresariais. Tem mais de 30 anos de experiência em implantação e gestão de arquivos, estruturação de centros de documentação e informação, e conservação passiva de obras e documentos raros. Presta consultoria nas áreas de política de governança e estratégias para acervos digitais, e organização da informação).
