Articles

Moodle e o RGPD - Regime Geral de Proteção de dados

10 of April of 2018

Moodle e o RGPD – Regime Geral de Proteção de dados

O novo Regulamento Geral de Proteção de Dados da União Europeia, também conhecido por RGPD, entra em vigor em 25 de maio de 2018, depois de um período de transição de 2 anos, e deverá ser cumprido por todas as organizações que armazenam dados pessoais de cidadãos da União Europeia.

Acerca do RGPD

O RGPD introduz um conjunto de direitos para o titular dos dados pessoais, entre os quais se destacam:

  • Licitude do tratamento – Os dados pessoais só podem ser obtidos, armazenados ou objeto de qualquer tratamento se forem cumpridas as regras estabelecidas no regulamento, como, por exemplo, se o seu titular tiver dado o seu consentimento ou se este for necessário para a execução de um contrato;
  • Informação ao titular – No momento da obtenção dos dados pessoais o titular deve ser informado sobre a identidade e os contactos do responsável pelo tratamento, as finalidades do tratamento, o prazo de conservação dos dados, os seus direitos relativos aos dados e outras informações previstas no regulamento;
  • Direito de acesso - O titular dos dados tem o direito de obter do responsável pelo tratamento as finalidades do tratamento dos dados, as categorias dos dados pessoais em questão, o prazo previsto de conservação dos dados pessoais, entre outras informações.
  • Direito de retificação - O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito.
  • Direito ao apagamento dos dados - O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada.
  • Direito à limitação do tratamento - O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento.
  • Direito de oposição - O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito.
  • Segurança no tratamento - O responsável pelo tratamento deve aplicar as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, se adequado a pseudonimização e a cifragem dos dados pessoais.
  • Direito a indemnização - Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização pelos danos sofridos.

Consequências do incumprimento do RGPD

Para além da indemnização referida no ponto anterior, o incumprimento do regulamento prevê ainda a aplicação por parte da autoridade nacional de proteção de dados de coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4% do seu volume de negócios anual.

Moodle e o RGPD

O RGPD tem impacto em praticamente todas as organizações que utilizem o Moodle pois, cada conta de utilizador do Moodle e toda a sua atividade associada são considerados dados pessoais.

Neste contexto, o Moodle HQ tem estado a trabalhar com os Parceiros Moodle, especialistas da comunidade e especialistas legais na área da privacidade de dados para que os sites Moodle sejam compatíveis com o RGPD.

Em 19 de Março, o Moodle lançou as versões 3.3.5 e 3.4.2, as quais já estão preparadas para suportar a instalação de dois módulos adicionais, desenvolvidos especificamente para implementar o RGPD. A versão 3.5 do Moodle, que será lançada em maio de 2018, já incorporará os dois módulos e toda a funcionalidade requerida pelo RGPD.

Estes novos módulos contemplam a seguinte funcionalidade:

1.Processo de admissão de novos utilizadores, incluindo:

  • Exibir todas as políticas de privacidade necessárias;
  • Listar e solicitar consentimento para cada entidade que pode ter acesso aos dados pessoais;
  • Estabelecer o processo para o consentimento de menores de idade;
  • Obter e registar cada consentimento específico dado por cada utilizador;
  • Gerir atualizações e versões de todas as políticas.

2.Processo para cumprir os direitos de um utilizador em particular, incluindo:

  • Pedido para consultar toda a informação do utilizador no Moodle;
  • Pedido para apagar toda a informação pessoal identificável do Moodle;
  • Pedido para modificar a informação do utilizador;
  • Funcionalidade para administrador processar os pedidos anteriores
  • Permitir configurar período de retenção para os dados pessoais guardado pelas várias atividades.

A versão 3.5 do Moodle já abrangerá, com grande probabilidade, todos os dados pessoais registados em todos os módulos de atividade nativos do Moodle, como o teste, o fórum, etc….  Todavia a maioria dos módulos extra não estarão preparados para interagir com estas novas funcionalidades, e alguns provavelmente nunca estarão, pelo que, embora continuem a funcionar, não permitirão o integral cumprimento do RGPD.

O que fazer para o Moodle cumprir o RGPD?

Se está a usar uma versão do Moodle anterior à 3.3, deve proceder à sua atualização pois a sua versão não será compatível com as funcionalidades do RGPD. Se está a usar a versão 3.3 ou 3.4, deve atualizar o seu Moodle para as versões mais recentes que já suportam as funcionalidades do RGPD. Deverá em seguida configurar estas funcionalidades, com o apoio jurídico-legal, para responder aos requisitos específicos da atividade que desenvolve.

Deve igualmente rever todos os módulos extra que tem instalados e verificar os dados pessoais que estes guardam. Uma vez que a maioria destes módulos não terá ainda implementado a API do RGPD, deverá considerar a sua desinstalação ou desativação temporária.

Por último, deverá efetuar uma auditoria de segurança ao seu Moodle para demonstrar que está a usar todas as medidas técnicas e organizativas para proteger os dados pessoais dos titulares de dados contra eventuais perdas de dados ou acessos indevidos aos mesmos.

Want to receive these articles?