Arquivos Físicos

ABC do RGPD – Parte 6 – Arquivo de Dados Pessoais em suporte físico

Conforme referido quer no considerando 15, quer no Artigo 2º, Nº1 os arquivos de dados, que contenham dados pessoais, em suporte físico estão no âmbito do RGPD.

Considerando 15

A fim de se evitar o sério risco sério de ser contornada a proteção das pessoas singulares, esta deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas. A proteção das pessoas singulares deverá aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros. Os ficheiros ou os conjuntos de ficheiros bem como as suas capas, que não estejam estruturados de acordo com critérios específicos, não deverão ser abrangidos pelo âmbito de aplicação do presente regulamento.

Artigo 2º, Nº1

O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

Como tal, as entidades deverão enumerar todos os dados pessoais que se encontram em suporte físico (por exemplo: recibos de vencimento, justificação de faltas e outros) e garantir que os mesmos se encontram guardados num local que garante a sua segurança e integridade.

O armazenamento dos documentos físicos, sobretudo os que contenham dados sensíveis, deve privilegiar locais de acesso restrito e condicionado e que ofereçam garantias de segurança e à prova de vulnerabilidades, perda, destruição e outros.

Os arquivos e documentos que contenham dados pessoais não poderão ser arquivados em local de fácil acesso, ou expostos em secretárias ou locais de fácil acesso por parte de terceiros ou de trabalhadores que não devam ter acesso a essa informação.

No tratamento de dados em suporte físico deve-se considerar:

  • Minimizar a disponibilidade e o fácil acesso a documentos físicos;
  • Política de proibição de fotografar documentos com dados pessoais;
  • Controlo de todas as fotocópias e documentos com dados pessoais para que não possam ser utilizadas como folhas de rascunho ou outras finalidades que impliquem a sua dispersão e acesso por parte de terceiros;
  • Não transportar arquivos e documentos com dados pessoais, a menos que tal seja estritamente inevitável;
  • Guardar todas as pastas com dados pessoais em local seguro e de acesso condicionado (idealmente um local de arquivo onde o acesso não seja livre, podendo também optar-se por armários com portas fechadas à chave e guardadas em sítio seguro);
  • Implementar uma política de segurança documental na qual cada trabalhador assuma a responsabilidade pelos documentos que lhe são confiados, não os deixando em cima da secretária sem vigilância ou noutro local onde não consiga garantir o sigilo;
  • Não utilizar o verso de fotocópias com dados pessoais como folhas de rascunho;
  • Não fornecer qualquer informação com dados pessoais pelo telefone, a menos que seja possível certificar a identidade da pessoa que solicita a informação.

No próximo ABC do RGPD iremos abordar a Arquivo de Dados Pessoais em suporte digital.

Está disponível uma oferta complementar de E-Learning para “Implementação e Gestão do RGPD” criada por Especialistas em Privacidade certificados pelo IAPP e com dezenas de implementações realizadas. Estes cursos combinam a elevada qualidade com um preço extremamente competitivo (a partir de 250€ por pessoa ao seu ritmo ou 350€ por pessoa em grupo com aulas síncronas ) que pode consultar em https://mydataprivacy.eu/formacao-rgpd-curso-completo-de-implementacao-e-gestao/  Para consultar mais informação sobre a privacidade e RGPD, aceda ao nosso blog