Resposta
O tipo e a quantidade de dados pessoais que uma empresa/organização pode tratar dependem do motivo pelo qual estão a efetuar o tratamento (motivo jurídico) e da finalidade do mesmo. A empresa/organização deve respeitar várias regras fundamentais, nomeadamente:
- os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados («licitude, lealdade e transparência»);
- devem existir finalidades específicas para o tratamento dos dados e a empresa/organização deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais. Uma empresa-organização não pode simplesmente recolher dados pessoais para fins indefinidos («limitação das finalidades»);
- a empresa/organização deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade («minimização dos dados»);
- a empresa/organização deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique («exatidão»);
- a empresa/organização não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha;
- a empresa/organização deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos («limitação da conservação»);
- a empresa/organização deve instalar garantias técnicas e organizativas adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas («integridade e confidencialidade»).
Exemplo
A sua empresa/organização é uma agência de viagens. Quando recolhe os dados pessoais dos seus clientes, deve explicar em linguagem clara e simples o motivo pelo qual precisa dos dados, de que modo os irá utilizar e durante quanto tempo tenciona conservá-los. O tratamento deve ser efetuado de forma a respeitar os princípios fundamentais da proteção de dados.
Referências
Example
Your company/organisation runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.