Introdução

Nos últimos dias, o Regulamento Geral de Proteção de Dados (RGPD) tem sido tema de conversa. Entra em vigor a 25 de maio de 2018 e prevalece sobre quaisquer leis de proteção de dados — é a maior alteração relativamente à forma como deve ser realizado todo o tipo de tratamento de dados pessoais.

Este novo quadro de proteção aplica-se a empresas, mas também a qualquer pessoa singular, organização, autoridade pública ou outro organismo que proceda ao tratamento de dados pessoais de cidadãos da UE.

O seu impacto é gigantesco em todos os aspetos. É muito provável que a maioria das empresas necessite de implementar práticas e salvaguardas, sendo por isso recomendável um planeamento cuidadoso e a realização de uma auditoria de forma a obter conformidade.

 

Infográfico – Visão Geral sobre o RGPD

RGPD-infografico

 

 

O que é o “tratamento de dados pessoais”?

Conforme o disposto no RGPD, Artigo 4º, Nr. 2), Definições:

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

Um dado pessoal deve ser considerado uma informação que diga respeito a um cidadão, ou que associável, seja possível a identificação do cidadão. O nome, morada, NIF, a matrícula do automóvel, uma fotografia ou até uma imagem da câmara de vigilância são exemplos de dados pessoais. Os smartphones também armazenam uma grande quantidade de dados pessoais e o cidadão raramente se questiona quanto a isso.

 

Então e uma palavra-passe ou até um número de identificação pessoal (PIN)?

Para Sara Vieira de Almeida, Advogada,  “o conceito de dados pessoais foi objeto de um alargamento, passando a integrar um conjunto muito mais vasto de informação”.

Sara refere ainda que, “tal conceito pretende designar a informação relativa a uma pessoa singular identificada ou identificável, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.”

Existindo, ou não, uma ligação com outros dados, “um PIN, que é um código de segurança, correspondente a um conjunto de dígitos, dizendo sempre respeito a uma pessoa em concreto, e em particular, a determinado sistema ou rede que lhe pertença, terá sempre que ser considerado um dado pessoal” — refere Sara.

Dados desta natureza devem ser tratados com o maior cuidado por parte das empresas. É necessário manter a conformidade, e não é despropositado dizer que quase todas as empresas tratam dados pessoais. Neste contexto, é um dever para as organizações a obtenção do consentimento junto dos titulares dos dados.

 

Tem uma newsletter de contactos?
É necessário obter o consentimento junto dos titulares caso não seja possível provar o seu consentimento e respetivo propósito da recolha.

 

Período de conservação dos dados

Todo o cidadão tem o direito de decidir quem deve manipular os seus dados, a finalidade do seu tratamento e o seu prazo de conservação.

O prazo da conservação dos dados deve ser claro, sublinha Viviane Nobrega Maldonado, Juíza de Direito no Tribunal de Justiça do Estado de São Paulo e especialista no que toca a matéria do RGPD,  “quaisquer dados devem ser conservados apenas durante o período necessário para as finalidades para as quais são tratados.”

Se o objetivo da recolha de dados for uma campanha de marketing, essa campanha deve ter uma data limite relativa à conservação dos dados. Consequentemente, os dados devem ser eliminados.

Viviane diz ainda que, “em alguns casos é possível saber previamente qual será o período e em outros não. O direito ao esquecimento nessa hipótese surge quando os dados pessoais deixarem de ser necessários para a finalidade que motivou a recolha”.

De forma a manterem conformidade, “os procedimentos de segurança devem ser revistos e reavaliados pelas empresas de forma permanente”, diz Viviane.

Um caso preocupante dentro deste contexto é, por exemplo, a partilha de e-mails dentro de uma organização. O e-mails transportam dados sensíveis, não são encriptados e o re-encaminhamento de um e-mail é um processo natural e está vinculado ao quotidiano de qualquer utilizador. Todavia, podem estar a ser partilhadas informações de terceiros sem o seu prévio consentimento.

Caso tenha acontecido troca de informação sensível, via e-mail, através de um ficheiro excel em anexo, relativa a uma conta de um cliente — e isto representa ainda uma prática comum em muitas organizações — qualquer dado do cidadão deve ser eliminado do sistema em caso de pedido de esquecimento?

Foi o que tentamos saber junto de Ana Luísa Guerreiro, Advogada, “o cidadão tem direito a exigir o seu esquecimento, nos termos da alínea b) do art.º 17º/1 do RGPD, e o responsável pelo tratamento, após tal solicitação, tem o dever de tomar as medidas razoáveis para efetuar o apagamento dos dados e das ligações, cópias e/ou reproduções de tais dados.

Este exemplo representa um dos possíveis cenários relativo à obrigação de pedido de esquecimento dos dados. Esta é uma matéria que, de facto, deve ser trabalhada a velocidade cruzeiro pelas empresas. O adoção de ferramentas de Data Discovery direcionadas ao RGPD, e o cruzamento e identificação de dados pessoais em diversos planos irá despoletar um crescimento exponencial nos próximos trimestres de 2018.

 

Notificações de violações de dados pessoais

Outra das obrigações impostas pelo regulamento é a capacidade das empresas responderem perante violações de dados pessoais. Por lei, o regulamento estabelece um período máximo relativo à comunicação de violações de dados pessoais. As coimas para o incumprimento são elevadas e podem atingir 4% da faturação anual ou 20 milhões de euros. E se essa notificação não for comunicada durante as 72h legais? É aplicada automaticamente a coima?

Ana explicou que, “caso não seja possível notificar a autoridade de controlo em 72 horas, quando a notificação for realizada, deve ser acompanhada dos motivos do atraso”. Dessa forma, “não deve ser automaticamente, aplicada coima, uma vez que pode haver motivo justificativo para o não cumprimento do prazo de 72 horas” — esclareceu Ana.

O RGPD impõem um conjunto de diretivas bastante rigorosas. Deve ser analisado com cautela, e se possível com a intervenção de um especialista em direito com formação em proteção de dados, juntamente com um profissional de segurança da informação — muitas vezes referido como Data Protection Officer (DPO). O DPO pode ser uma figura crucial durante todo o processo. É uma pessoa nomeada pelas empresas e a sua função é supervisionar e aconselhar a empresa a respeito das obrigações contidas no regulamento — fiscalizar e consciencializar são as palavras em foco.

25 de maio é a data limite estabelecida. Representa o ponto de viragem, a oportunidade das empresas avaliarem os seus sistemas e os seus processos.

O RGPD chega assim no momento certo, e com a missão de harmonizar as leis relativas a proteção de dados e sentido de responsabilidade relativo ao tratamento de dados. Marca também uma nova era de proteção dos dados dos cidadãos.

 

Pedro Tavares is a professional in the field of information security, currently working as IT Security Engineer. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.