Como surge o RGPDP
A 25 de maio de 2018 entrará em vigor o Regulamento Geral de Proteção dos Dados Pessoais (RGPDP). São procedimentos que terão de ser observados pelas empresas no âmbito das atividades que envolvem o tratamento de dados pessoais.
Desde cedo que que existem diretivas que visam a proteção dos dados na Internet. P.ex.:
- Em 1990, a comissão europeia apresenta a primeira diretiva relativa a proteção dos dados que viria a ser aprovada em 1995.
- Em 1991, em portugal, foi criada a Lei nº 10/91 de 29 de abril, “Lei da Proteção de Dados Pessoais face à Informática”. Esta lei deu também origem à Comissão Nacional de Proteção dos Dados (CNPD).
- Em 1995, é aprovada a diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro.
- Em 1998 surge a transposição da diretiva 95/46/CE pelo Estado Português e consequente aprovação da Lei nº 67/98 de 26 de outubro.
De notar que desde 1998, esta diretiva sofreu pequenas alterações, e é a diretiva ainda em vigor. Cada país tem o seu quadro de proteção de dados pessoais, tal como Portugal também tem a Lei nº 10/91 desde 1998. O Parlamento Europeu consegue com o RGPDP, harmonizar uma diretiva global, que tem de ser introduzida obrigatoriamente por todos os estados membros. Ou seja, consegue aqui, unificar um quadro de proteção de dados e a forma como os dados dos cidadão são tratados e manipulados em todos os estados membros.
Naturalmente, o RGPDP pode ser reforçado com outros quadros de proteção da informação implementados especificamente por cada país, mas estes têm obrigatoriamente de garantir e estar de acordo com a diretiva do RGPDP.
- Em 27 de abril de 2016 é aprovado o Regulamento Geral de Proteção dos Dados Pessoais, publicado mais tarde a 4 de maio de 2016.
- Os estados membros têm aproximadamente 2 anos para a transição e aplicação do regulamento que entra em vigor no dia 25 de maio de 2018.
Objetivo do RGPDP?
No fundo, algumas das diretivas trazidas com o regulamento já são implementadas por alguns países, corporações, sistemas, etc. No entanto, no meu ponto de vista, a capacidade de responsabilização, do cidadão decidir quem deve manipular os seus dados, ser informado da manipulação dos seus dados, limitar o acesso aos seus dados, exigir o direito ao esquecimento, e sobre tudo, ser informado de possível violação com os seus dados, é a grande novidade e um dos grandes objetivos. É necessário responsabilizar os provedores de serviços pela má gestão ao longo dos anos.
De forma a cristalizar esse sentido de responsabilização surge o Data Protection Officer (DPO). Mas quem é esta entidade?
Quem é o Data Protection Officer?
O DPO é uma pessoa nomeada pelas empresas – que sejam responsáveis ou que atuem como subcontratadas para o tratamento de dados pessoais – e a sua função será supervisionar e aconselhar a empresa a respeito das obrigações contidas no Regulamento.
A nomeação de um DPO é um dos exemplos da alteração do paradigma no que diz respeito ao cumprimento das regras legais sobre proteção de dados pessoais: a lei atual confere à Autoridade de Proteção de Dados (em Portugal, a Comissão Nacional de Proteção de Dados, CNPD) a avaliação dos procedimentos de cada empresa para tratamento dos dados pessoais, mediante a submissão de formulários de notificação ou de pedidos de autorização. Com o Regulamento, as empresas deverão adequar-se à lei independentemente destes processos. Deixarão de ter o dever de comunicar à CNPD para terem que ter, internamente, organizados os procedimentos para assegurarem o cumprimento do Regulamento. E este cumprimento deverá ser demonstrado através de documentação adequada, que deverá refletir os procedimentos aplicados no contexto do tratamento de dados pessoais.
É importante realçar que a CNPD tem sido entupida ao longo de todos estes anos, e não existe uma fiscalização da conformidade com o regulamento de 1998 porque não tem “mãos” a medir. Normalmente, e de forma compreensível, só atua perante denúncias ou casos iminentes de incumprimento. Com a introdução do DPO, a CNPD fica de certa maneira “liberta”, uma vez que as empresas têm uma entidade local (DPO) que assegura a conformidade com o regulamento, e também a maior parte das notificações à CNPD deixam de existir.
Com isso, entidades reguladoras como a CNPD, ASAE, Banco de Portugal, ANACOM, têm a capacidade de estar mais atentas, efetuar assim uma fiscalização mais acentuada, pois as penalizações são apetecíveis, e nasce assim um receio comum: a compliance (conformidade) — caça à multa.
O DPO não é uma entidade obrigatória em todas as instituições/empresas. O DPO deve ser uma pessoa com alguma experiência no ramo da segurança e proteção dos dados. O Regulamento prevê que a nomeação de um DPO é obrigatória apenas em três casos:
- quando o tratamento dos dados seja efetuado por uma autoridade ou entidade pública (com exceção dos tribunais),
- quando as principais atividades de tratamento do responsável ou do subcontratante consistam na monitorização regular e sistemática dos titulares dos dados em grande escala (como por exemplo, os grandes operadores de dados na Internet, motores de busca, redes sociais)
- quando as principais atividades do responsável ou do subcontratante consistam no tratamento em grande escala de dados pessoais sensíveis e dados relativos a condenações penais e contraordenações (são exemplos desta categoria os hospitais, as instituições financeiras e as seguradoras).
No entanto, as pequenas empresas com menos de 250 trabalhadores, que não processem dados pessoais a larga escala, como newsletters com menos de 5.000 utilizadores, também podem nomear um DPO. Aos “olhos” da CNPD estas empresas são bem vistas, demonstram rigor, sentido de responsabilidade e importância e relevância dos cuidados a ter no tratamento de dados.
Quais são as responsabilidade de um DPO?
De uma forma resumida, algumas responsabilidades são:
- Receber reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências;
- Receber comunicações de órgãos reguladores e adotar as providências cabíveis;
- Orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Treinar os funcionários envolvidos no tratamento de dados pessoais;
- Realizar Privacy Impact Assessments (PIA) para averiguar o risco no uso de dados pessoais e a conformidade regulatória da empresa;
- Manter registos de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas (Data Mapping);
- Auxiliar no desenvolvimento de produtos, serviços e práticas por meio da adoção de metodologias como privacy by design e data protection by design.
Se a conformidade com o quadro de proteção de dados de 25 de maio não era uma realidade no âmbito das empresas, passará a ser. O DPO têm um papel primordial e a tarefa de sensibilizar as corporações para a relevância do compliance no tratamento dos dados dos cidadãos. O nome, uma fotografia, o vídeo da câmera de vigilância, um endereço de IP, qualquer dado que vise identificar um cidadão é um dado sensível.
É uma figura que chega tarde mas ainda no tempo certo para uma melhor harmonização e sentido de responsabilidade para a nova era de proteção dos dados dos cidadãos.
Infográfico – Plano de 13 passos RGPD
Para mais informações sobre o RGPD, visite esta página.