Moodle e o RGPD – Regime Geral de Proteção de dados
O novo Regulamento Geral de Proteção de Dados da União Europeia, também conhecido por RGPD, entra em vigor em 25 de maio de 2018, depois de um período de transição de 2 anos, e deverá ser cumprido por todas as organizações que armazenam dados pessoais de cidadãos da União Europeia.
Acerca do RGPD
O RGPD introduz um conjunto de direitos para o titular dos dados pessoais, entre os quais se destacam:
- Licitude do tratamento – Os dados pessoais só podem ser obtidos, armazenados ou objeto de qualquer tratamento se forem cumpridas as regras estabelecidas no regulamento, como, por exemplo, se o seu titular tiver dado o seu consentimento ou se este for necessário para a execução de um contrato;
- Informação ao titular – No momento da obtenção dos dados pessoais o titular deve ser informado sobre a identidade e os contactos do responsável pelo tratamento, as finalidades do tratamento, o prazo de conservação dos dados, os seus direitos relativos aos dados e outras informações previstas no regulamento;
- Direito de acesso - O titular dos dados tem o direito de obter do responsável pelo tratamento as finalidades do tratamento dos dados, as categorias dos dados pessoais em questão, o prazo previsto de conservação dos dados pessoais, entre outras informações.
- Direito de retificação - O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito.
- Direito ao apagamento dos dados - O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada.
- Direito à limitação do tratamento - O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento.
- Direito de oposição - O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito.
- Segurança no tratamento - O responsável pelo tratamento deve aplicar as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, se adequado a pseudonimização e a cifragem dos dados pessoais.
- Direito a indemnização - Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização pelos danos sofridos.
Consequências do incumprimento do RGPD
Para além da indemnização referida no ponto anterior, o incumprimento do regulamento prevê ainda a aplicação por parte da autoridade nacional de proteção de dados de coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4% do seu volume de negócios anual.
Moodle e o RGPD
O RGPD tem impacto em praticamente todas as organizações que utilizem o Moodle pois, cada conta de utilizador do Moodle e toda a sua atividade associada são considerados dados pessoais.
Neste contexto, o Moodle HQ tem estado a trabalhar com os Parceiros Moodle, especialistas da comunidade e especialistas legais na área da privacidade de dados para que os sites Moodle sejam compatíveis com o RGPD.
Em 19 de Março, o Moodle lançou as versões 3.3.5 e 3.4.2, as quais já estão preparadas para suportar a instalação de dois módulos adicionais, desenvolvidos especificamente para implementar o RGPD. A versão 3.5 do Moodle, que será lançada em maio de 2018, já incorporará os dois módulos e toda a funcionalidade requerida pelo RGPD.
Estes novos módulos contemplam a seguinte funcionalidade:
1.Processo de admissão de novos utilizadores, incluindo:
- Exibir todas as políticas de privacidade necessárias;
- Listar e solicitar consentimento para cada entidade que pode ter acesso aos dados pessoais;
- Estabelecer o processo para o consentimento de menores de idade;
- Obter e registar cada consentimento específico dado por cada utilizador;
- Gerir atualizações e versões de todas as políticas.
2.Processo para cumprir os direitos de um utilizador em particular, incluindo:
- Pedido para consultar toda a informação do utilizador no Moodle;
- Pedido para apagar toda a informação pessoal identificável do Moodle;
- Pedido para modificar a informação do utilizador;
- Funcionalidade para administrador processar os pedidos anteriores
- Permitir configurar período de retenção para os dados pessoais guardado pelas várias atividades.
A versão 3.5 do Moodle já abrangerá, com grande probabilidade, todos os dados pessoais registados em todos os módulos de atividade nativos do Moodle, como o teste, o fórum, etc…. Todavia a maioria dos módulos extra não estarão preparados para interagir com estas novas funcionalidades, e alguns provavelmente nunca estarão, pelo que, embora continuem a funcionar, não permitirão o integral cumprimento do RGPD.
O que fazer para o Moodle cumprir o RGPD?
Se está a usar uma versão do Moodle anterior à 3.3, deve proceder à sua atualização pois a sua versão não será compatível com as funcionalidades do RGPD. Se está a usar a versão 3.3 ou 3.4, deve atualizar o seu Moodle para as versões mais recentes que já suportam as funcionalidades do RGPD. Deverá em seguida configurar estas funcionalidades, com o apoio jurídico-legal, para responder aos requisitos específicos da atividade que desenvolve.
Deve igualmente rever todos os módulos extra que tem instalados e verificar os dados pessoais que estes guardam. Uma vez que a maioria destes módulos não terá ainda implementado a API do RGPD, deverá considerar a sua desinstalação ou desativação temporária.
Por último, deverá efetuar uma auditoria de segurança ao seu Moodle para demonstrar que está a usar todas as medidas técnicas e organizativas para proteger os dados pessoais dos titulares de dados contra eventuais perdas de dados ou acessos indevidos aos mesmos.