Safetica > Resources > POPI Act: âmbito, objetivo e como cumprir

POPI Act: âmbito, objetivo e como cumprir

mar 28, 2023

O POPI Act, ou POPIA, é a lei de proteção de dados da África do Sul. O "Protection of Personal Information Act" é equivalente ao GDPR da UE. Responde às questões de como, porquê e quem pode recolher, armazenar e distribuir dados sensíveis. O que significa exatamente isto e como pode garantir que a sua organização cumpre a regulamentação?

Vamos analisar mais a fundo o que é o POPIA antes de discutirmos passos concretos que a sua organização precisa de tomar para cumprir a regulamentação.

popi-act

Qual é o âmbito do POPIA?

Qualquer entidade, privada ou pública, com sede na África do Sul, ou sem sede na África do Sul mas que processe informação pessoal na África do Sul, está abrangida pelo âmbito do POPIA.

 

Primeiro, vejamos algumas definições.

"Informação pessoal" é definida de forma muito ampla no POPIA e inclui:

  • Qualquer tipo de identificação ou informação de contacto
  • Biometria
  • Informação demográfica (idioma, raça, estado civil, etc.)
  • Informação sobre escolaridade
  • Nomes de utilizador e palavras-passe
  • Registos financeiros, laborais e criminais

Ao contrário do GDPR, o POPIA protege não apenas os dados de pessoas vivas, mas também os de outras empresas e organizações.

Por "processamento", o POPIA entende qualquer operação ou atividade relacionada com informação pessoal. Isto resulta novamente num âmbito muito amplo de ações, como a recolha, receção, registo, armazenamento, distribuição ou destruição de dados pessoais, para nomear apenas algumas.

Existem algumas isenções, como para entidades públicas que processem informação pessoal para efeitos de segurança nacional ou outras razões similares. Está também isento do POPIA se estiver a tratar de informação pessoal relacionada com atividades domésticas regulares.

Qual é o objetivo do POPIA?

O objetivo do POPIA é proteger os dados pessoais contra roubo, utilização indevida e ações maliciosas. As regras do POPIA foram concebidas para "dar efeito ao direito constitucional à privacidade".

De forma geral, o POPIA faz 3 coisas:

  1. Define 8 condições nas quais qualquer pessoa ou organização pode processar legalmente informação sensível.
  2. Descreve as multas e sanções por incumprimento.
  3. Cria um Information Regulator que serve como entidade que promove e aplica o POPI Act.

Um breve resumo das 8 condições do POPIA

O cumprimento das 8 condições é obrigatório tanto para entidades públicas como privadas ao abrigo do POPIA. Essas condições são:

  1. Responsabilização:  Quem processa a informação pessoal deve cumprir as disposições do POPIA.
  2. Limitação do processamento: Apenas pode ser processada informação pessoal relevante.
  3. Especificação da finalidade: A finalidade da recolha de dados deve ser definida. Os dados não podem ser conservados por mais tempo do que o necessário.
  4. Limitação do processamento posterior: Devem ser ponderadas as consequências dos meios de recolha dos dados pessoais e da sua partilha.
  5. Qualidade da informação: A informação pessoal recolhida deve ser correta e não enganadora.
  6. Transparência: A finalidade da recolha de dados deve ser claramente declarada e deve ser obtido consentimento explícito.
  7. Salvaguardas de segurança: A informação pessoal recolhida deve ser protegida contra perda, danos e acesso ilícito.
  8. Participação do titular dos dados: Qualquer pessoa pode pedir para ver que parte da sua informação pessoal está armazenada, bem como pedir a remoção de registos.

 

Como cumprir o POPIA

O período de transição de um ano para cumprir o POPIA terminou em 30 de junho de 2021, o que significa que começou a ser aplicado a 1 de julho de 2021.

Para se manter dentro da lei, a sua organização terá de tomar várias medidas para cumprir as 8 condições do POPIA. Esses passos incluirão:

  • Designar um Information Officer. Este responsável ficará encarregado de garantir que a organização cumpre o POPIA e comunicará com o Information Regulator.
  • Externamente: publicar uma política de privacidade na qual explique todos os seus direitos e responsabilidades relacionados com o processamento de dados pessoais.
  • Requisitos internos: formar os colaboradores, implementar processos, atualizar a tecnologia, alterar contratos com fornecedores, garantir a comunicação adequada de violações de dados, etc.

Como em qualquer conformidade regulatória, irá querer começar por realizar uma análise de lacunas para mapear onde a sua organização se encontra face aos vários requisitos. A nomeação de um Information Officer será também um passo importante para se posicionar de forma a satisfazer todas as exigências do POPIA.

Lembre-se: a proteção de dados é um processo contínuo e exige monitorização e gestão constantes.

Como é que a Safetica protege os seus dados para a conformidade com o POPIA?

  1. A Safetica encripta os seus dados e mantém-nos protegidos em caso de perda ou roubo do dispositivo.
  2. A Safetica é uma solução de DLP que protege os seus dados contra ameaças internas. Defina que operações podem ser arriscadas e bloqueie-as, ou faça com que a Safetica o notifique a si e aos seus colaboradores sobre potenciais riscos.
  3. Com a Safetica, é fácil adotar políticas de segurança e definir colaboradores autorizados que podem trabalhar com os seus ficheiros sensíveis. Pode definir as suas políticas de segurança e monitorizar se os dados sensíveis da sua empresa estão a ser utilizados indevidamente, permitindo apenas que pessoas autorizadas lhes acedam.
  4. Forme regularmente os seus colaboradores. A Safetica notifica os seus colaboradores em caso de operações arriscadas para que tenham maior consciência da segurança de dados.
  5. Proteja o seu local de trabalho e adote políticas sobre como trabalhar com documentos sensíveis. A Safetica realiza auditorias de segurança e fornece-lhe relatórios regulares que lhe permitem ajustar as suas políticas de segurança.

Similar posts