 |
fazer |
- Tratar os dados exclusivamente para as finalidades para que foram recolhidos ou gerados;
- Apenas divulgar dados pessoais a parceiros e outros investigadores do estudo, e só dentro do estritamente necessário ao exercício de funções no âmbito do estudo;
- Utilizar ferramentas compatíveis com o RGPD para tratar e armazenar dados pessoais dos participantes do estudo;
- Valorizar a segurança das comunicações, criar e implementar protocolos dedicados ao projeto, em função das necessidades;
- Fazer cópias de segurança (backups), contra o risco de perda acidental;
- Privilegiar o uso de sistemas de armazenamento e partilha de ficheiros disponibilizados pela UC;
- Verificar os termos e condições de todos os serviços prestados (software, aplicativos, armazenamento, etc.) para tratar dados pessoais no projeto, a fim de identificar e mitigar riscos para os titulares;
- Apagar os dados pessoais antes de enviar o dispositivo para reparação ou abate;
- Criptografar os dados do estudo e/ou os dispositivos nos quais esses dados estão armazenados e, ainda, garantir que as chaves de acesso estão devidamente protegidas;
- Cifrar os ficheiros com dados pessoais antes de os enviar por email;
- Garantir a seguinte composição das passwords (com padrão de autenticação do tipo 2FA);
- Restringir e controlar o acesso físico aos equipamentos (utilização de cadeados, por exemplo);
- Eliminar os dados após o tratamento ou após os prazos de conservação previamente comunicados aos participantes;
- Consultar o EPD-UC sobre garantias de segurança proporcionais aos riscos para os titulares;
- Informar o EPD sobre qualquer violação de dados pessoais, efetiva ou potencial, de que tome conhecimento;
 |
não fazer |
- Tratar dados pessoais fora das situações legal e regulamentarmente previstas;
- Recolher dados em dispositivos pessoais, como smartphones, sem garantir que estão devidamente protegidos (por exemplo, considerar as implicações das cópias de segurança automáticas na cloud e as funcionalidades de segurança do dispositivo);
- Partilhar ou conceder acesso a terceiros ao correio eletrónico utilizado para fins profissionais;
- Usar endereço de email pessoal para transmitir informação que contenha dados pessoais tratados no âmbito do estudo;
- Utilizar serviços gratuitos que possam aceder aos dados utilizando-os para outros fins;
- Recolher dados ou comunicar com os participantes da investigação através de plataformas de redes sociais, sem avaliação prévia das implicações na proteção de dados;
- Utilizar e partilhar dispositivos da UC para aceder a informação pessoal;
- Usar e-mail não criptografado, SMS ou plataformas não seguras de VOIP para comunicar com pessoas vulneráveis;
- Expor dados pessoais a acesso ou utilização não autorizada, ao aceder aos mesmos remotamente (usar ligações wifi não seguras) ou ao viajar para países onde os dispositivos possam ser inspecionados ou apreendidos;
- Publicar imagens ou som de terceiros em sítios da Internet ou nas redes sociais, sem que tal esteja devida e previamente autorizado pelos titulares dos dados em causa;
- Assumir, sem verificar, que os parceiros de investigação, colaboradores ou prestadores de serviços têm políticas adequadas de segurança da informação e de proteção de dados.