REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Já começou a contagem decrescente para a aplicação legal do novo Regulamento Geral de Proteção de Dados (RGPD) da União Europeia (UE), que eleva a privacidade a princípio máximo e orientador da recolha e do tratamento da informação referente a cidadãos europeus. Para entender melhor o novo RGPD, que uniformiza a proteção dos dados dos cidadãos europeus e residentes nos 28 estados-membro da UE, importa perceber o que o motiva: o Regulamento atualmente em vigor, que data de 1995, já não acompanha a realidade de hoje, por ter sido elaborado numa altura em que a internet era ainda emergente e a economia digital inimaginável.

“O novo RGPD reconhece que o mundo evoluiu num sentido perigoso do ponto de vista dos dados e da liberdade dos direitos”, realça Renato Paço, consulting services lead na Claranet. “Trata-se do reconhecimento de que os proprietários dos dados são os indivíduos, as empresas são fiéis depositários. O novo RGPD vem recentrar todo o exercício dos direitos nos titulares”. Na categoria de dados pessoais, a diretiva contempla nomes, moradas, números de telefone, números de identificação fiscal, e-mails e até endereços IP, mas também dados de natureza médica ou financeiros.

Sem data para terminar

O cumprimento deste novo quadro legal tem data para começar – 25 de maio de 2018 –, mas não para terminar: o novo RGPD imporá acima de tudo uma mudança no “estilo de vida” das organizações. Não é um tema nem só jurídico, nem só tecnológico. É um tema de governança. Daniel Reis, sócio e coordenador da PLMJ TMT, fala em “regras muito restritivas sobre dados pessoais”, alertando para o “baixo grau de maturidade para o tema” das organizações portuguesas, do setor público e privado, e para um nível de incumprimento que classifica de “enorme".

Segundo Renato Paço, as organizações mais preparadas para o RGPD pertencem a setores regulados, como o farmacêutico, onde existe uma governança em torno das transformações necessárias à compliance. Nas outras, defende, ainda não se verifica uma cultura orientada para o cumprimento deste Regulamento. “Tudo isto se relaciona com o comportamento dos gestores em relação ao seu modelo de negócio e à informação que recolhem”.

Informar os titulares e obter consentimento

Com o Regulamento, as organizações que realizem operações que envolvam dados pessoais ficam obrigadas a prestar informações relacionadas com a base legal para o tratamento dos dados, o prazo de conservação dos mesmos e a própria possibilidade de apresentar queixa junto do regulador, a Comissão Nacional de Proteção de Dados (CNPD). A nova diretiva traz também novas exigências quanto à transparência da informação, que deve ser prestada de forma concisa e em linguagem inteligível. Do lado do consentimento, também há novas condições para a sua obtenção. O RGPD alarga o conceito, pelo que é importante verificar se o consentimento obtido até à data respeita integralmente as novas exigências. Caso assim não seja, torna- se obrigatório obter um novo consentimento explícito, sob pena de o tratamento de dados se tornar ilícito.

Direitos que os cidadãos podem exercer

O novo RGPD dotará o cidadão de ferramentas de que este hoje não dispõe para assegurar uma resposta às suas principais preocupações, contemplando por isso o direito a ser esquecido, o acesso facilitado aos próprios dados e à forma como estes são tratados, bem como o direito a ser-se informado se os dados estiverem comprometidos devido a uma quebra de segurança. Os titulares passam também a ter o direito de solicitar que os seus dados sejam eliminados por determinada empresa/ organização sempre que: já não sejam necessários para o propósito para o qual foram recolhidos; que o período de consentimento tiver expirado; quando o consentimento for revogado. Cada cidadão passa ainda a ter o direito à portabilidade dos dados, o que significa que pode mais facilmente “reutilizá-los” junto de diferentes organizações.

A Comissão Nacional de Proteção de Dados (CNPD) continuará a exercer, no âmbito do RGPD, as suas atuais funções de regulador, sendo a autoridade nacional que supervisiona o tratamento de dados pessoais e à qual devem ser notificadas as violações de dados pessoais, tal como previsto nos artigos 33.º e 34.º do Regulamento. Clara Guerra, porta-voz da CNPD, responde à IT Insight De que forma alarga o RGPD o conceito de consentimento e quais as novas condições para a sua obtenção? O RGPD exige que, para todos os tratamentos de dados, o consentimento seja explícito - essa é a novidade –, além de manter as caraterísticas atuais de o consentimento ter de constituir uma manifestação de vontade livre, específica e informada.

Nesse contexto, o consentimento pode ser revogado a qualquer momento, de forma tão fácil quanto foi dá-lo. É ao responsável do tratamento que compete demonstrar que obteve o consentimento, isto é, fazer prova do consentimento e de como foi obtido. Há também algumas especificidades em relação à obtenção do consentimento quando estiver em causa o tratamento de dados pessoais de crianças, em circunstâncias muito específicas, mas tal matéria pode ainda vir a sofrer alterações por via de legislação nacional suplementar.

No que diz respeito à natureza dos dados, quais os que passarão a enquadrar- se no conceito de “dados sensíveis”? Os dados sensíveis estão listados no artigo 9.º do RGPD, designados por categorias especiais de dados. De qualquer modo, em relação à lei de proteção de dados (Lei n.º 67/98), apenas são expressamente acrescentados os dados biométricos e os dados relativos à orientação sexual. O que é fundamental ter em conta nos casos em que existem contratos de subcontratação? A subcontratação é uma das áreas mais inovadoras do RGPD. As entidades que são subcontratadas para realizar operações de tratamento de dados passam a ter muitas e novas obrigações e passam a ser responsáveis por demonstrar que cumprem tudo o que lhes é exigido pelo regulamento. Os contratos de subcontratação vão precisar de ser muito mais específicos do que até agora, com vantagens para ambas as partes.

Conhece o seu perfil de risco?

As implicações que advêm do não cumprimento do RGPD podem paralisar por completo os negócios. O ponto de partida para a ação é identificar o perfil de risco da organização


Dois aspetos previstos no novo Regulamento prometem ter enorme impacto sobre a atividade das empresas. O primeiro diz respeito ao valor máximo das coimas, que passa de 30 mil para 20 milhões de euros, ou 4% do volume de negócios. A segunda grande alteração, explica Daniel Reis, reside no facto de passar a existir um sistema de autorregulação, inteiramente baseado no risco “As notificações e as autorizações por parte do regulador desaparecem”, frisa o advogado. Ou seja, a análise do impacto que o tratamento dos dados pessoais tem sobre a privacidade de cada pessoa, bem como as medidas de proteção a tomar, são da exclusiva responsabilidade das organizações.

Não depende da dimensão dos negócios

O Regulamento não supõe exceções para empresas de menor dimensão ou com menores valores de faturação: as mesmas regras aplicam-se a todas as empresas, de igual modo. Assim, aconselha Renato Paço, da Claranet, “é em função do seu risco que as empresas têm de decidir quais as medidas a adotar”. O consultor diz que a escala é um fator “que contribui para a determinação do risco”, não apenas o real, mas também o risco percebido, “tendo em conta o tipo de negócio”. Empresas que têm no seu ADN um comportamento de maior agressividade face aos dados do consumidor final, caso de algumas startups, devem estar mais preocupadas.

Multas advirão das queixas

As empresas com elevada exposição ao consumidor final, como as do retalho, estão a preparar-se mais rapidamente. À medida que os cidadãos ficam mais educados sobre os seus direitos, as queixas à CNPD tenderão a aumentar. “Uma parte muito importante das potenciais multas não virá da auditoria, mas dos utilizadores”, defende Rui Barata Ribeiro, da IBM. O risco não está circunscrito à fronteira de cada país. O responsável da IBM lembra que, se a empresa manipular dados de um cidadão de outros Estados-membro da UE, terá de prestar contas não ao regulador português, mas ao desse país. “A aplicação europeia do RGPD é crítica”, avisa.

A privacidade pensada de raiz

Todos os processos da organização têm de estar imbuídos, desde o início, de princípios que assegurem a implementação do conceito de Privacy by Design


Com o novo Regulamento, as organizações ficam obrigadas a demonstrar, a todo o momento, que estão em conformidade com a diretiva. Um dos aspetos mais importantes da compliance é a implementação do conceito de Privacy by Design, que o Regulamento torna num requisito legal “A lógica subjacente passa por embeber elementos de privacidade, de início, em todos os processos”, esclarece Rui Barata Ribeiro, da IBM. O novo RGPD torna o conceito numa obrigatoriedade para data controllers e data processors, expressando de forma explícita a data minimization e a possibilidade de recorrer a pseudonimização para salvaguarda da privacidade.

É, aliás, imperativo que as próprias organizações percebam a que categoria pertencem: Data controller: quem determina os meios e os fins do processamento de dados pessoais, a entidade que decide o que fazer com eles. Exemplo: um banco que recolhe os dados dos seus clientes quando estes abrem uma nova conta. Data Processor: quem na realidade processa os dados pessoais em nome do data controller (desde que não seja um funcionário deste). Exemplo: prestadores de serviços na área dos recursos humanos e da contabilidade, que lidam com informação pessoal tendo em conta as instruções de quem contrata o serviço (controller).

Se a empresa for o data controller, é a responsável máxima pela segurança, processamento e privacidade dos dados. Por conseguinte, é responsável por assegurar que os data processors (prestadores de serviços) tomam as medidas necessárias ao controlo e proteção da informação pessoal. As empresas podem fazer o outsourcing do tratamento, mas não do risco.

Fornecedores de software preparados

Aliada ao Privacy by Design está a obrigação de proteção de dados por defeito e o Regulamento estipula que deve ser uma caraterística integrada de raiz nos sistemas e serviços. “Quando estão a desenhar as soluções, os fornecedores de software têm de ter em mente esta obrigação”, realça Cristina Francisco, da Sage. Estas empresas estão sensibilizadas para o cumprimento deste requisito, e tudo começa na forma como se constroem as soluções. “Se, em vez de haver o silo dos recursos humanos, da faturação, do CRM, a informação estiver agregada numa mesma ‘caixa’, é muito mais fácil de controlar”, observa. No entanto, ressalva, continua a ser imperativo que exista um “processo de evangelização” por parte da empresa, para que se verifique uma utilização adequada das ferramentas. “O mais importante é perceber que não são as empresas de software que vão solucionar o tema do Privacy by Design, porque este é também um tema de governança”.

Uma visão holística

O conceito de Privacy by Design (e por defeito), à semelhança do próprio RGPD, diz respeito também à forma como a organização assegura que as políticas de proteção de dados são executadas. Em suma: exige uma visão totalmente integrada do negócio e o fim dos silos. “O Privacy by Design diz respeito a um conjunto de processos de governança”, observa Renato Paço, que o compara a um stack com várias camadas, das processuais às de governança, abrangendo as tecnológicas: “Trata-se de equacionar qual a base de dados que se está a utilizar, o servidor onde corre, a segurança de perímetro implementada”, referiu. “O Privacy by Design é um conceito end-to- -end. A sua fragilidade depende do elo mais fraco do stack. Todos os elementos têm de ser coerentes”.

Quem é o Data Protection Officer?

O Data Protection Officer deverá assegurar que a organização cumpre a nova diretiva. No entanto, do ponto de vista legal, a responsabilidade última é sempre da organização

O novo RGPD introduz o princípio de accountability, ou responsabilidade, o que significa, segundo Daniel Reis, advogado da PLMJ, que “não é só necessário cumprir a lei, é necessário deter a capacidade de demonstrar que se cumpre a lei”. Para algumas organizações poderá fazer sentido nomear um Data Protection Officer (DPO), um encarregado de proteção de dados a quem são confiadas as obrigações de garantir que dentro da organização existe conformidade com o que está disposto no Regulamento.

No entanto, nem todas as organizações têm de nomear um. Assim, a sua organização deverá nomear um DPO quando: (1) for uma autoridade pública (exceto tribunais no exercício das suas funções judiciais); (2) a sua atividade principal envolver monitorização de titulares de dados em larga escala (apesar da diretiva não especificar o que significa “larga escala”); (3) a atividade principal envolver o processamento em “larga escala” de “categorias especiais” de dados, como por exemplo relatórios médicos ou relativos a cadastros policiais.

Quem deverá ser?

Segundo Daniel Reis, “o DPO tem de ser independente e não pode estar numa posição de conflito de interesses”. No entanto, o Regulamento “não fecha nenhuma porta sobre o seu perfil nem sobre a sua forma de operar”. Nos setores mais regulados, o advogado refere que tende a ser um perfil jurídico, ao passo que nas áreas mais tecnológicas por norma assume a lógica de um Chief Information Security Officer (CISO), de alguém mais ligado à cibersegurança. A figura do DPO já existe na lei de proteção de dados alemã - na Alemanha existe até a figura do DPO como um serviço (em outsourcing). “Por norma, nas empresas de média dimensão, corresponde a um advogado, independente do IT”, indica Daniel Reis.

Não tem responsabilidade final

Nomear um DPO não significa, todavia, fazer um “seguro” à prova do RGPD: em caso de incumprimento legal, a figura do DPO não iliba a organização das sanções legais. “Tem o papel de um conselheiro, porque a responsabilidade final é sempre da organização. Não é possível delegar a responsabilidade”, realça Renato Paço, da Claranet. Fazer um outsourcing da compliance é “uma impossibilidade”, alerta Daniel Reis, porque esta “pertence sempre à empresa”. É possível, sim, externalizar as tarefas inerentes à função de DPO. Também neste cenário, de DPO-as-a-service, quem presta o serviço não pode ser responsabilizado legalmente em caso de incumprimento.

O papel da tecnologia

Processos e tecnologia têm de andar de mãos dadas. Monitorizar os comportamentos é mais imperativo do que nunca

Tecnologia sem processos é a receita para o incumprimento. Nuno Martins, country manager da Ingecom, distribuidor de valor acrescentado dedicado à área da cibersegurança, realça que “ou se começa por impor a tecnologia, e com isso condicionar os processos, ou definir os processos e aplicar a tecnologia". No entanto, isto tem de ser feito em torno de dois pontos essenciais: “Perceber onde está a informação e de que informação dispomos”. Muitas empresas desconhecem a informação que gerem no seu dia-a- -dia, pelo que a tecnologia dá uma importante ajuda, a começar precisamente pela identificação da informação. “E depois importa não descurar a componente humana, nomeadamente a gestão dos colaboradores que têm acesso à informação”, lembra. Se o comportamento das pessoas dentro das organizações não for controlado, existe uma dificuldade acrescida no cumprimento de qualquer regulação.

Cifra e reputação

Outro aspeto em que a tecnologia pode dar uma importante ajuda são as ferramentas de cifra da informação. O Regulamento dita que, caso ocorra uma perda de informação pessoal, as empresas têm de notificar, num prazo de 72 horas, as autoridades competentes – em Portugal, a CNPD. No entanto, se a informação em questão for ininteligível, por estar cifrada, a empresa/organização não tem de comunicar a perda dos dados aos seus titulares (ao data subject), o que evita algumas dores de cabeça do ponto de vista reputacional, elemento crítico quando se fala de proteção da informação pessoal e que pode ter consequências tão ou mais devastadoras para os negócios do que as multas. Para assegurar um controlo absoluto sobre a informação e antecipar eventuais fugas, de dentro para fora, serão também cada vez mais importantes soluções de DLP (data loss prevention) e NAC (network access control), para controlar o acesso à infraestrutura de rede.

Além da cibersegurança

Contudo, realça Nuno Martins, por vezes confunde-se a gestão da informação com ciberataques. “O RGPD vai muito além da componente de cibersegurança. Foca-se sobretudo no comportamento das pessoas”. As empresas têm de conseguir auditar esses comportamentos e tecnologia que o permita não falta. “Existe tecnologia para garantir a proteção da informação e diminuir o risco. Ainda assim, os comportamentos, os indivíduos e os processos é que vão ditar o êxito da aplicação das tecnologias”, alerta.

Ferramentas Úteis

Rui Barata Ribeiro reitera que não existe uma solução tecnológica “mágica” e que, se a organização não repensar a forma como opera, a montante da implementação de determinadas tecnologias, estas de nada valem. O responsável da IBM aponta uma dimensão a não descurar e para a qual as ferramentas tecnológicas também são importantes: a comunicação, tanto na perspetiva interna (entre colaboradores) como externa (com os clientes): “Na interna, passa por assegurar que os colaboradores estão conscientes do que se espera deles
ao nível da manipulação dos dados.

O RPGD pode ser uma oportunidade para a empresa informar os seus clientes de que tem uma vantagem competitiva na forma como trata a informação pessoal”. Ao nível da comunicação externa, sublinha a sua relevância, defendendo que em Portugal “não há muitas organizações que consigam fazer em 72 horas as comunicações da perda de dados a cada um dos envolvidos” e que o domínio das pessoas “continuará a exigir investimento”.