Tendo em conta as melhores técnicas disponíveis, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, o IPST, IP compromete-se a utilizar as medidas técnicas e organizativas adequadas para promover um nível de segurança adequado ao risco, em especial para:
• Impedir o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento («controlo de acesso ao equipamento»);
• Impedir que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização («controlo dos suportes de dados»);
• Impedir a introdução não autorizada de dados pessoais, bem como a alteração ou apagamento não autorizados de dados pessoais conservados («controlo da conservação»);
• Impedir que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas («controlo dos utilizadores»);
• Assegurar que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham acesso aos dados pessoais abrangidos pela sua autorização de acesso («controlo do acesso aos dados»);
• Assegurar que possa ser verificado quais os dados pessoais que foram ou podem ser transmitidos utilizando equipamento de comunicação de dados («controlo da comunicação»);
• Assegurar que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos sistemas de tratamento automatizado, quando e por quem («controlo da introdução»);
• Impedir que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização («controlo do transporte»);
• Assegurar que os sistemas utilizados possam ser restaurados em caso de interrupção («recuperação»);
• Assegurar que as funções do sistema funcionem, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por um disfuncionamento do sistema («integridade»).
O IPST,IP compromete-se, ainda, a aplicar medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados dados pessoais necessários para cada finalidade específica do tratamento.
Os dados pessoais só podem ser acedidos por um número limitado de profissionais, autorizados para o efeito, os quais independentemente do tipo de vínculo existente estão obrigados ao dever de sigilo ou de confidencialidade.
O dever de sigilo ou de confidencialidade mantem-se em vigor mesmo após a cessação das funções ou dos contratos celebrados.