PT EN   
 

Segurança Eletrónica

Proteção de Dados

O novo enquadramento da proteção de dados

A primeira lei de proteção de dados foi elaborada na Alemanha, em 1970, mas em Portugal esta matéria só foi legislada em 1991, com a Lei n.º 10/91, de 29 de abril. Mais tarde, em 1995, foi criada a Diretiva Europeia de Proteção de Dados (Diretiva 95/46/CE) que acabou por ser substituída pelo atual RGPD que atingiu a sua versão final em 2016. O Regulamento foi publicado em abril de 2016 e entrou em vigor em maio do mesmo ano, com um período de transição de 2 anos até à sua implementação em todos os Estados Membros da UE, com aplicação a partir de 25 de maio de 2018.

A criação deste novo Regulamento foi principalmente impulsionada pelo progresso tecnológico e pela globalização, que são em grande parte responsáveis pela grande quantidade de dados transacionados e armazenados, comumente designada de “Big Data”. O conceito de Big Data não engloba apenas o volume e a diversidade dos dados tratados, mas também a possibilidade de serem analisados de forma a que se consigam extrair conclusões úteis para processos de decisão que digam respeito a indivíduos ou a grupos de pessoas. A utilização de Big Data tem implicações éticas e sociais para o exercício dos direitos, liberdades e garantias dos cidadãos e é por isso fundamental que as entidades saibam como tratar estas grandes quantidades de dados pessoais.

Para além disso, o novo regulamento vem harmonizar a legislação de todos os Estados Membros e contribuir para um mercado único europeu de dados, bem como para um enquadramento jurídico mais rigoroso. Mas importa saber, antes de mais, a quem se aplica este regulamento e qual o seu real impacto no dia-a-dia das empresas.

Em termos de aplicação, o Regulamento abrange todas as entidades que tratem dados pessoais em todo o território da UE, sem a necessidade dos Estados Membros o transporem para o seu ordenamento jurídico. Ou seja, as entidades públicas ou privadas que realizem operações com dados de pessoas singulares vão estar sujeitas às novas exigências. Estes dados pessoais são os dados relativos a pessoas singulares identificadas ou identificáveis como o nome, morada, correio eletrónico, estado civil, idade, situação patrimonial ou dados financeiros ou de saúde, independentemente do tipo de suporte (som, imagem, papel ou eletrónico). Uma chamada telefónica, as imagens relativas a pessoas, gravadas por sistemas de videovigilância, a gravação de chamadas telefónicas e a localização de pessoas através de geolocalização são também exemplos de dados pessoais. Uma pessoa é considerada identificável se for possível obter informações adicionais que permitam identificar quem é o titular dos dados, sem necessidade de um esforço desproporcionado. Já no conceito de tratamento de dados entram todas as operações que possam ser realizadas com os mesmos, como a recolha, o registo, a conservação, a alteração, a consulta ou eliminação, quer seja de forma automática ou manual. 

O regulamento abrange ainda as entidades estabelecidas fora do espaço da UE, desde que prestem serviços a cidadãos europeus. Mas por se falar em cidadão não significa que um turista que esteja em território europeu não possa invocar os seus direitos relativos à proteção de dados. Aliás, a abrangência do Regulamento pode ir ainda mais além. Por exemplo, o regulamento pode ser aplicado a uma empresa que trate dados de um cliente, mesmo que ambos estejam situados fora do espaço da União Europeia, desde que exista um Tratado ou Acordo Internacional que aplique Direito Europeu.

 

O QUE PRECISA DE SABER

O direito à proteção de dados surgiu do direito ao respeito pela vida privada, por isso as pessoas singulares são as principais beneficiárias da proteção de dados. Importa assim compreender em que situações o processamento destes dados é lícito.

A situação mais óbvia é a do consentimento do titular dos dados, mas o tratamento também pode ser lícito se o processamento for imprescindível para cumprir uma obrigação legal, para proteger o interesse vital da pessoa em causa ou para fins e interesses legítimos do responsável pelo tratamento de dados. Se o processamento for necessário para o desempenho de um contrato no qual a pessoa em causa seja parte, o tratamento também é considerado lícito. Para além de conhecerem as situações em que podem tratar os dados, as empresas devem ter presentes os direitos dos titulares dos dados. Entre estes direitos destacam-se o Direito ao esquecimento, o Direito de portabilidade dos dados e o Direito à oposição a profiling. O direito ao esquecimento é a possibilidade de o titular dos dados obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada. Já o direito à portabilidade dos dados pessoais permite aos titulares receberem os dados pessoais que lhes digam respeito, num formato estruturado, de uso corrente e de leitura automática, bem como o direito de transmitir esses dados a outro responsável pelo tratamento. O direito à oposição a profiling possibilita que o titular dos dados se oponha a qualquer forma automatizada de processamento da sua informação pessoal e que tenha como objetivo avaliar e tipificar indivíduos.

Para além deste reforço dos direitos dos titulares dos dados, verificam-se diversas outras alterações à anterior legislação. Entre estas, destacam-se a inclusão dos dados genéticos e dos dados biométricos na definição de dados pessoais, a eliminação da necessidade de pedido de autorização prévia à CNPD, a maior transparência das políticas de privacidade e consentimento expresso, a introdução de conceitos como privacy by design e privacy by default e da figura de Data Protection Officer, os procedimentos em caso de violação dos dados e até mesmo o regime sancionatório mais rígido.

MEDIDAS PARA GARANTIR O CUMPRIMENTO

Não é apenas a sua abrangência nem a introdução de novos conceitos que tem sido motivo de alarme nas empresas. O regime sancionatório, com coimas que podem atingir 4% da faturação global anual das empresas ou 20 milhões de euros e a necessidade de realizar muito trabalho interno de adaptação num período de tempo que está a terminar são talvez os maiores motivos de preocupação. O Regulamento não se limita a questões legais e muito menos diz apenas respeito aos técnicos de informática das empresas. Toda a organização deve ser envolvida através da adoção de novos comportamentos e da implementação de sistemas de gestão de risco e de segurança da informação.

Tanto as empresas como as entidades públicas podem, no entanto, reduzir facilmente o risco de incumprimento da lei em matéria de proteção de dados pessoais se implementarem um programa de conformidade adequado, que permita identificar as operações de tratamento de dados que normalmente efetuam e instituírem mecanismos de controlo do cumprimento da lei.

Uma vez que cada entidade tem necessidades próprias, decorrentes das suas características, estrutura e mercado em que atua, o programa de conformidade a adotar deverá ser concebido à medida. Assim, apesar de não existir uma solução tipo que permita alcançar a conformidade com o Regulamento de proteção de dados, podem-se destacar algumas etapas essenciais para preparar a sua implementação:
 
  1. Mapear o tratamento de dados pessoais
    Consiste em registar os tratamentos de dados que são realizados. O objetivo é perceber o impacto que o regulamento terá nesses tratamentos de dados. Podem-se identificar as categorias de dados tratados e as finalidades dos respetivos tratamentos, as pessoas ou entidades que executam os referidos tratamentos e a possível existência de transferências de dados para fora da União Europeia. Pode ser necessário nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer) que será o responsável pela monitorização e cumprimento das obrigatoriedades previstas no Regulamento. A sua nomeação é normalmente necessária se a entidade for pública ou se tratarem dados em grande escala ou dados sensíveis.
     
  2. Identificar as ações a tomar
    Esta etapa deve ser realizada tendo por base o mapeamento dos dados efetuado anteriormente. É essencial começar por garantir que apenas são recolhidos e tratados os dados pessoais estritamente necessários para a finalidade pretendida. Em seguida é necessário rever se as políticas de privacidade estão conformes com o novo Regulamento. Caso existam subcontratantes, é necessário assegurar que estes conhecem as novas obrigatoriedades e que as relações contratuais incluem secções relativas à segurança e confidencialidade dos dados pessoais. Deve ainda ficar definido como é que os titulares dos dados podem aceder aos seus dados e exercer todos os seus direitos.
     
  3. Efetuar uma avaliação de impacto de risco
    Esta avaliação deve ser realizada para os tratamentos que apresentem riscos de violação de privacidade. Estando identificadas as principais vulnerabilidades e existindo uma previsão do impacto que essas vulnerabilidades de segurança possam causar, será possível identificar as medidas de segurança mais adequadas às necessidades da empresa.
     
  4. Implementar medidas para proteção de dados
    A implementação de procedimentos internos implica a adoção de medidas de privacy by design. Estas medidas visam a privacidade e a segurança logo na fase de conceção dos sistemas tecnológicos e dos processos de tratamento. Isto é, quando se concebem soluções que envolvam o tratamento de dados pessoais deve-se considerar de imediato como será realizado o tratamento e como vão ser protegidos os dados e cumpridos todos os direitos dos titulares dos dados. Para os procedimentos de recolha de dados que já se encontrem implementados é necessário incluir mecanismos que permitam proteger esses mesmos dados - privacy by default.
     
  5. Documentar o cumprimento do RGPD
    As empresas devem conservar todos os documentos relativos ao tratamento de dados por forma a demonstrar o cumprimento com o Regulamento, por exemplo, resultados de avaliação de impacto de risco, políticas de privacidade, formulários de consentimento, procedimentos que permitem o exercício dos direitos dos titulares dos dados, contratos com subcontratantes e evidências de consentimentos.