Ao desenhar um projeto científico que trata dados pessoais, o investigador deve integrá-lo na perspetiva do que se designa por proteção de dados desde a conceção e por defeito, conforme previsto no artigo 25.º do RGPD. Isto significa que, logo na fase de planeamento, prévia à implementação, devem ser incorporadas salvaguardas técnicas e organizativas (por exemplo, escolha de metodologias que reduzam a recolha de dados pessoais, seleção de ferramentas seguras e definição prévia de regras de acesso). E que, na fase de implementação e utilização das ferramentas, por defeito, apenas sejam tratados os dados estritamente necessários, garantindo que não são recolhidos dados excessivos nem disponibilizados a pessoas não autorizadas.
Entre várias medidas aplicáveis, destacam-se as seguintes, tipicamente transversais a qualquer projeto e nível de risco:
• Armazenamento seguro em servidores institucionais ou serviços validados pela instituição, evitando soluções pessoais ou não verificadas (ex.: discos externos, serviços de nuvem sem contrato adequado com a instituição).
• Minimização dos dados, incluindo a anonimização e pseudonimização, sempre que possível.
• Cifragem (encriptação) dos dados, em particular dos dados brutos recolhidos e de informação que possa identificar diretamente os participantes.
• Utilização de software adequado, de preferência — ou obrigatoriamente, dependendo da política da instituição — com licença institucional válida e que cumpra requisitos de segurança e a legislação aplicável.
• Controlo rigoroso de acessos, garantindo que apenas pessoas devidamente autorizadas têm acesso aos dados.
• Se possível, registo de acessos e operações (logs), permitindo rastrear quem acedeu, quando e com que finalidade, de modo a prevenir usos indevidos e reforçar a responsabilização. No caso de dados sensíveis, e em larga escala, esta medida assumir carácter obrigatório.
• Acesso aos dados por membros da equipa de investigação apenas quando existam cláusulas contratuais de confidencialidade (no caso de docentes e investigadores da instituição) ou mediante a assinatura de um termo de responsabilidade e confidencialidade (no caso de alunos, colaboradores ou investigadores externos).
• Definição de prazos de conservação, estabelecendo o período máximo de retenção dos dados, findo o qual estes devem ser eliminados de forma segura ou anonimizados, de acordo com a finalidade do estudo e com as obrigações legais aplicáveis.