RGPD e denúncia de infrações: conservação de dados

RGPD e denúncia de infrações

As pessoas que reportam algo por meio de um sistema de denúncia de infrações podem incluir dados pessoais na sua mensagem. As organizações que pretendem implementar um sistema de denúncia de infrações para os seus colaboradores, fornecedores ou outras partes interessadas devem considerar os aspetos de privacidade envolvidos. Por exemplo: como lidar com os prazos de conservação de dados em conformidade com o RGPD em sistemas de denúncia de infrações?

Os dados devem ser conservados pelo mínimo tempo possível.  Conforme estabelecido no artigo 5.º, n.º 1, alínea e), do Regulamento (UE) 2016/679 (o Regulamento Geral sobre a Proteção de Dados ou RGPD): ‘os dados pessoais são «conservados (…) apenas durante o período necessário para as finalidades para as quais são tratados».

Por isso, deve considerar o período de tempo durante o qual pode conservar dados pessoais e para que finalidade os está a conservar.

O Grupo de trabalho do Artigo 29.º para a Proteção de Dados oferece indicações adicionais no seu parecer 1/2006: «Os dados pessoais tratados no âmbito de um sistema de denúncia devem ser apagados rapidamente e, regra geral, nos dois meses a seguir ao termo da investigação dos factos alegados na denúncia.».

No entanto, no contexto de denúncia de infrações, é necessário ponderar um pouco mais antes que possamos afirmar que «apagamos e/ou tornamos tudo anónimo após dois meses.»

Como implementar regras de conservação de dados em conformidade com o RGDP na denúncia de infrações?

Em primeiro lugar, é necessário decidir quando é que uma investigação pode ser encerrada. Tal pode variar, consoante o caso. Os «não-casos» podem ser encerrados de imediato, ao passo que as investigações de má conduta grave podem demorar anos. Algumas investigações terminarão em processos judiciais. Por vezes, irão verificar-se exceções, tais como obrigações relacionadas com Recursos Humanos, que exigem a conservação de determinados dados por mais tempo (por exemplo, para registos disciplinares).

É importante ter isto em consideração ao estabelecer as suas políticas de tratamento e encerramento de casos. Esta não é uma questão linear. Sempre que um caso é reportado, o tratamento dado em seguida é diferente, consoante o caso. Este facto influencia o período de conservação e a data a partir da qual este começa a contar.

O principal objetivo de todas as regras da conservação de dados é assegurar que as organizações pensam de forma crítica sobre a forma como armazenam os dados e como informam devidamente as pessoas. Deste modo, as suas políticas podem ser transparentes no que respeita a assuntos relacionados com dados e fornecer instruções harmonizadas aos gestores de casos.

E, claro, não se esqueça de verificar se as pessoas estão a proceder de acordo com a sua política de encerramento de casos.