O Regulamento Geral de Proteção de Dados (RGPD) entra em vigor a 25 de Maio de 2018, com o intuito de tornar as leis da União Europeia (UE) mais homogéneas, em termos do tratamento e processamento de dados dos cidadãos. Mas as novas normas repercutem-se em todo o mundo, já que mesmo as empresas de fora da UE terão que respeitar o RGPD, desde que lidem com dados de cidadãos europeus.

Este artigo não visa abordar regra por regra do regulamento, mas tem o objetivo de apresentar uma visão do estado da informação antes e depois do RGPD (informação mais detalhada sobre o regulamento aqui).

O Antes

A Internet começou a alcançar a maioria da população já nos anos 90. O seu crescimento a larga escala levou a uma partilha de informação massiva e inicialmente descontrolada, os utilizadores não tinham regras, nem sabiam qual seria a dimensão daquela rede e o impacto que isso poderia vir a ter mais tarde. Ao longo dos anos foi partilhada para a rede informação sensível, surgiram também os primeiros web-sites, sistemas online, p.ex., de e-commerce, e-banking, entre outros, em geral, a Internet começava por se tornar o maior canal de partilha de informação sem fronteiras.

Com o evoluir e amadurecimento da tecnologia começaram também os problemas de segurança em vários planos. Dois desses planos, e que podem aqui ser enumerados, são o da segurança e design de aplicações e websites e também da não consciencialização dos utilizadores no que à partilha de informação diz respeito. Tal como no ínicio, ainda hoje não existe uma regulamentação que proteja os dados dos cidadãos. Tornou-se viral hoje em dia falar em comprometimento de informação , p.ex., fugas de informação do linkedin, uber, equifax, são muitos  os casos ao longo dos últimos anos.

Este tipo de fuga de dados normalmente é disseminada por diversos canais na Internet, e essa informação fica disponível durante anos.

Já tentou escrever o seu nome por extenso no Google?

É normal encontrar pautas da faculdade, editais de concursos públicos, informação extremamente sensível que provavelmente foi leaked de alguma plataforma onde se tenha registado ou com ela interagido.

Foi-lhe comunicado que essa informação foi comprometida e disseminada na Internet? Ou até disseminada porque o sistema não protege a privacidade da informação dos utilizadores?
Provavelmente, não.

Podiam descrever-se milhentos exemplos de como a informação está mal estruturada na maioria dos sistemas e que levam a estas pequenas catástrofes digitais, fruto de uma regulamentação fraca, e quase inexistente nestes últimos anos.

Mas o RGPD irá resolver isso? 

O Depois

O RGPD não irá, de facto, resolver a curto prazo o problema da falta de políticas de proteção de dados, nem impedir que informação associada aos indívidos “desapareça” por si só das pesquisas na Internet. O RGPD tem como um dos objetivos “iniciar um novo ciclo“. Um ciclo onde a proteção das informações dos cidadãos passará a ser uma preocupação obrigatória pelos provedores de serviço.

Este regulamento trará várias implicações, nomeadamente:

  • Os sistemas terão que ser pensados desde o seu início e desenhados conforme aquilo que são as normas do regulamento – privacy by design;
  • Os cidadãos terão que ser informados sobre qualquer comprometimento de dado pessoal até no máximo 72h depois do incidente;
  • O cidadão tem o direito do “esquecimento”, isto é, exigir ao provedor de serviço que todas a informação a ele associada seja totalmente eliminada do sistema.

Mais ainda, os provedores de serviço, grandes, médias e até pequenas empresas, devem eleger um Data Protection Officer (DPO), isto é, um encarregado de proteção dos dados.

O DPO terá como principais tarefas a monitorização da conformidade com o RGPD, a metodologia e quando realizar DPIA, a cooperação com o regulador, o acompanhamento do risco associado às operações de processamento de dados e o garantir do registo das evidências necessárias para demonstrar a conformidade junto do regulador.

O RGPD pode não resolver os problemas com a informação dos cidadãos dos anos passados, mas marcará um novo ciclo, um caminho que vai ser seguido rigorosamente e que visa salvaguardar de uma forma mais rígida, tudo aquilo o que são dados pessoais dos utilizadores.

Os nossos dados pessoais são a nossa identidade. Devemos ser nós a escolher que informação deve ser partilhada, e com quem a vamos partilhar.