Reading Time: 4 minutes

Como surge o RGPDP

A 25 de maio de 2018 entrará em vigor o Regulamento Geral de Proteção dos Dados Pessoais (RGPDP). São procedimentos que terão de ser observados pelas empresas no âmbito das atividades que envolvem o tratamento de dados pessoais.

Desde cedo que que existem diretivas que visam a proteção dos dados na Internet. P.ex.:

  • Em 1990, a comissão europeia apresenta a primeira diretiva relativa a proteção dos dados que viria a ser aprovada em 1995.
  • Em 1991, em portugal, foi criada a Lei nº 10/91 de 29 de abril, “Lei da Proteção de Dados Pessoais face à Informática”. Esta lei deu também origem à Comissão Nacional de Proteção dos Dados (CNPD).
  • Em 1995, é aprovada a diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro.
  • Em 1998 surge a transposição da diretiva 95/46/CE pelo Estado Português e consequente aprovação da Lei nº 67/98 de 26 de outubro.

 

De notar que desde 1998, esta diretiva sofreu pequenas alterações, e é a diretiva ainda em vigor. Cada país tem o seu quadro de proteção de dados pessoais, tal como Portugal também tem a Lei nº 10/91 desde 1998. O Parlamento Europeu consegue com o RGPDP, harmonizar uma diretiva global, que tem de ser introduzida obrigatoriamente por todos os estados membros. Ou seja, consegue aqui, unificar um quadro de proteção de dados e a forma como os dados dos cidadão são tratados e manipulados em todos os estados membros.

Naturalmente, o RGPDP pode ser reforçado com outros quadros de proteção da informação implementados especificamente por cada país, mas estes têm obrigatoriamente de garantir e  estar de acordo com a diretiva do RGPDP.

  • Em 27 de abril de 2016 é aprovado o Regulamento Geral de Proteção dos Dados Pessoais, publicado mais tarde a 4 de maio de 2016.
  • Os estados membros têm aproximadamente 2 anos para a transição e aplicação do regulamento que entra em vigor no dia 25 de maio de 2018.

Objetivo do RGPDP?

No fundo, algumas das diretivas trazidas com o regulamento já são implementadas por alguns países, corporações, sistemas, etc. No entanto, no meu ponto de vista, a capacidade de responsabilização, do cidadão decidir quem deve manipular os seus dados, ser informado da manipulação dos seus dados, limitar o acesso aos seus dados, exigir o direito ao esquecimento, e sobre tudo, ser informado de possível violação com os seus dados, é a grande novidade e um dos grandes objetivos. É necessário responsabilizar os provedores de serviços pela má gestão ao longo dos anos.

De forma a cristalizar esse sentido de responsabilização surge o Data Protection Officer (DPO). Mas quem é esta entidade?

Quem é o Data Protection Officer?

O DPO é uma pessoa nomeada pelas empresas – que sejam responsáveis ou que atuem como subcontratadas para o tratamento de dados pessoais – e a sua função será supervisionar e aconselhar a empresa a respeito das obrigações contidas no Regulamento.

A nomeação de um DPO é um dos exemplos da alteração do paradigma no que diz respeito ao cumprimento das regras legais sobre proteção de dados pessoais: a lei atual confere à Autoridade de Proteção de Dados (em Portugal, a Comissão Nacional de Proteção de Dados, CNPD) a avaliação dos procedimentos de cada empresa para tratamento dos dados pessoais, mediante a submissão de formulários de notificação ou de pedidos de autorização.  Com o Regulamento, as empresas deverão adequar-se à lei independentemente destes processos. Deixarão de ter o dever de comunicar à CNPD para terem que ter, internamente, organizados os procedimentos para assegurarem o cumprimento do Regulamento. E este cumprimento deverá ser demonstrado através de documentação adequada, que deverá refletir os procedimentos aplicados no contexto do tratamento de dados pessoais.


É importante realçar que a CNPD tem sido entupida ao longo de todos estes anos, e não existe uma fiscalização da conformidade com o regulamento de 1998 porque não tem “mãos” a medir. Normalmente, e de forma compreensível, só atua perante denúncias ou casos iminentes de incumprimento. Com a introdução do DPO, a CNPD fica de certa maneira “liberta”, uma vez que as empresas têm uma entidade local (DPO) que assegura a conformidade com o regulamento, e também a maior parte das notificações à CNPD deixam de existir.

Com isso, entidades reguladoras como a CNPD, ASAE, Banco de Portugal, ANACOM, têm a capacidade de estar mais atentas, efetuar assim uma fiscalização mais acentuada, pois as penalizações são apetecíveis, e nasce assim um receio comum: a compliance (conformidade) — caça à multa.


O DPO não é uma entidade obrigatória em todas as instituições/empresas. O DPO deve ser uma pessoa com alguma experiência no ramo da segurança e proteção dos dados. O Regulamento prevê que a nomeação de um DPO é obrigatória apenas em três casos:

  1. quando o tratamento dos dados seja efetuado por uma autoridade ou entidade pública (com exceção dos tribunais),
  2. quando as principais atividades de tratamento do responsável ou do subcontratante consistam na monitorização regular e sistemática dos titulares dos dados em grande escala (como por exemplo, os grandes operadores de dados na Internet, motores de busca, redes sociais)
  3. quando as principais atividades do responsável ou do subcontratante consistam no tratamento em grande escala de dados pessoais sensíveis e dados relativos a condenações penais e contraordenações (são exemplos desta categoria os hospitais, as instituições financeiras e as seguradoras).


No entanto, as pequenas empresas com menos de 250 trabalhadores, que não processem dados pessoais a larga escala, como newsletters com menos de 5.000 utilizadores, também podem nomear um DPO. Aos “olhos” da CNPD estas empresas são bem vistas, demonstram rigor, sentido de responsabilidade e importância e relevância dos cuidados a ter no tratamento de dados.

Quais são as responsabilidade de um DPO?

De uma forma resumida, algumas responsabilidades são:

  • Receber reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências;
  • Receber comunicações de órgãos reguladores e adotar as providências cabíveis;
  • Orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Treinar os funcionários envolvidos no tratamento de dados pessoais;
  • Realizar Privacy Impact Assessments (PIA) para averiguar o risco no uso de dados pessoais e a conformidade regulatória da empresa;
  • Manter registos de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas (Data Mapping);
  • Auxiliar no desenvolvimento de produtos, serviços e práticas por meio da adoção de metodologias como privacy by design e data protection by design.


Se a conformidade com o quadro de proteção de dados de 25 de maio não era uma realidade no âmbito das empresas, passará a ser. O DPO têm um papel primordial e a tarefa de sensibilizar as corporações para a relevância do compliance no tratamento dos dados dos cidadãos. O nome, uma fotografia, o vídeo da câmera de vigilância, um endereço de IP, qualquer dado que vise identificar um cidadão é um dado sensível.

É uma figura que chega tarde mas ainda no tempo certo para uma melhor harmonização e sentido de responsabilidade para a nova era de proteção dos dados dos cidadãos.

 

Infográfico – Plano de 13 passos RGPD

Plano de 13 passos RGPD - Sage

Para mais informações sobre o RGPD, visite esta página.