Recuperação de Coronavírus – seis etapas de proteção de dados para organizações

Recuperação de Coronavírus – seis etapas de proteção de dados para organizações

À medida que as restrições de bloqueio começam a diminuir e os negócios começam a reabrir, a OIC estabeleceu as principais etapas que as organizações precisam considerar em relação ao uso de informações pessoais.

A Comissária da Informação Elizabeth Denham disse:

“Sabemos por conversar com as empresas que você entende que existe uma responsabilidade que vem com essa fase de recuperação. Temos respondido perguntas sobre as regras em torno das organizações que coletam informações pessoais adicionais para fornecer um ambiente seguro para sua equipe.

“A proteção de dados não impede que você pergunte aos funcionários se eles estão sentindo algum sintoma de COVID-19 ou se estão introduzindo testes apropriados, desde que os princípios da lei – transparência, justiça e proporcionalidade – sejam aplicados.

“As orientações adicionais que publicamos hoje ajudarão você a cumprir esses princípios, para que os dados das pessoas sejam tratados com cuidado, pois todos continuamos nossa jornada de volta à normalidade”.

As seis etapas principais da proteção de dados são:

Apenas colete e use o necessário

Para ajudar você a decidir se é necessário coletar e usar os dados de saúde das pessoas para manter sua equipe segura, faça algumas perguntas:

Como a coleta de informações pessoais extras ajuda a manter seu local de trabalho seguro?
Você realmente precisa da informação?
O teste que você está pensando realmente ajudará a fornecer um ambiente seguro?
Você poderia obter o mesmo resultado sem coletar informações pessoais?

Se você puder mostrar que sua abordagem é razoável, justa e proporcional às circunstâncias, é improvável que surja preocupações com a proteção de dados. Veja nossas orientações adicionais sobre necessidade (em inglês).

Mantenha-as no mínimo

Ao coletar informações pessoais, incluindo os sintomas de COVID-19 das pessoas ou quaisquer resultados de testes relacionados, as organizações devem coletar apenas as informações necessárias para implementar suas medidas de forma adequada e eficaz. O ICO possui orientações sobre minimização de dados para ajudá-lo a tomar essa decisão (em inglês).

Não colete dados pessoais que você não precisa. Algumas informações precisam ser mantidas apenas momentaneamente e não há necessidade de criar um registro permanente.

Seja claro, aberto e honesto com a equipe sobre seus dados

Algumas pessoas podem ser afetadas por algumas das medidas que você pretende implementar. Por exemplo, a equipe pode não ser capaz de trabalhar. Você deve estar ciente disso e não se esqueça de informar às pessoas como e por que deseja usar as informações pessoais delas, incluindo quais serão as implicações para elas. Você também deve informar aos funcionários com quem você compartilhará as informações e por quanto tempo pretende mantê-las. Você pode fazer isso através de um aviso de privacidade claro e acessível (em inglês).

Trate as pessoas de maneira justa

Se você estiver tomando decisões sobre sua equipe com base nas informações de saúde coletadas, verifique se sua abordagem é justa. Pense com cuidado sobre qualquer prejuízo que eles possam sofrer como resultado de sua política e verifique se sua abordagem não causa nenhum tipo de discriminação.

Mantenha as informações das pessoas seguras

Quaisquer dados pessoais que você mantenha devem ser mantidos em segurança e mantidos apenas pelo tempo necessário. Também é uma boa prática ter uma política de retenção que defina quando e como as informações pessoais precisam ser revisadas, excluídas ou anônimas.

Os funcionários devem poder exercer seus direitos de informação

Como em qualquer coleta de dados, esperamos que as organizações informem os indivíduos sobre seus direitos em relação aos dados pessoais, como o direito de acesso ou retificação. Os funcionários devem ter a opção de exercer esses direitos, se assim o desejarem, e discutir quaisquer preocupações que possam ter com as organizações.

Se você decidiu implementar a verificação ou teste de sintomas, há requisitos adicionais que você precisa seguir. Isso inclui a identificação de uma base legal para o uso das informações coletadas e, se você estiver processando dados de saúde em larga escala, realizando uma avaliação de impacto na proteção de dados. Essas etapas são abordadas em nossas orientações e garantirão que você esteja cumprindo a lei de proteção de dados.

Uma abordagem justa para lidar com os dados das pessoas, transparente em seu propósito e compatível com a lei de proteção de dados, ganhará a confiança de colegas e comunidades neste momento excepcional.

O ICO continuará ajudando organizações e empresas na atual fase de recuperação, apoiando a inovação e o crescimento econômico, garantindo ao mesmo tempo que os direitos de informação das pessoas não sejam deixados de lado.

Fonte: ICO – Information Commssioner’s Officer

Tradução livre e voluntária.