RGPD – Dados, para que vos quero?

"Ao contrário de alguns, defendemos que este novo regulamento não será nenhum “papão” e muito menos, entendo, tenha um objetivo último no ónus da receita que resulte da sua aplicação".

208

 

O que muda: Habituámo-nos à máxima de que “informação é poder”. É um facto compreensível quando a informação serve determinados propósitos, sejam legais, noticiosos, empresariais, humanitários ou de investigação científica, e desde que recolhidos de forma lícita. Este é o grande tema: como aceder à informação, sem as constantes violações da privacidade de cada um de nós e na salvaguarda dos nossos mais elementares direitos constitucionais? Uma questão que poderá mesmo despoletar novas oportunidades de estar no mercado e evidências de vantagens competitivas

Ao contrário de alguns, defendemos que este novo regulamento não será nenhum “papão” e muito menos, entendo, tenha um objetivo último no ónus da receita que resulte da sua aplicação. Exatamente pela grandeza dos montantes fixados em caso de negligência total (diga-se), estou convicto de que o fim não está na coima, mas na prevenção desta. E esta prevenção deverá ser feita exatamente na salvaguarda da privacidade de cada um de nós. Num universo cada vez mais tecnológico (além de global), a nossa pegada digital está (muitas vezes) onde menos esperamos. E se hoje “posso” (eventualmente) ser o “predador”, amanhã posso bem ser a “presa”. Assim, tão pragmático.

Este regulamento traz algumas diferenças relativamente à Lei 69/98 (que transpôs a anterior Directiva 95/46/CE), no entanto, a mudança que merece mais relevante realce é de génese cultural: maior liberdade (não tendo mais que proceder às atuais autorizações ao regulador) e maior responsabilidade no tipo e forma da informação recolhida. Desta forma o mercado irá percorrer o seu percurso de maturidade na sua própria – como diz um advogado amigo e parceiro – auto-regulação.

Desengane-se ainda a organização que espera resolver a sua conformidade com o regulamento, com o simples clique num botão mágico, ou sequer de forma automatizada. Este assunto deve ser tratado de forma transversal às organizações, sensibilizando equipas e identificando os fluxos de informação que contenham dados pessoais. É um assunto de cariz jurídico e de governação, de pessoas, processos e tecnologias, que à semelhança do que já se faz em organizações maduras, em termos de gestão de segurança de informação e do risco, deverá ser patrocinado internamente pela gestão de topo das organizações, pois a perca de reputação por data leak precede há muito a existência deste regulamento. – Luis Lobo e Silva, Focus2Comply, Partner.

Desafios para a conformidade: Para um responsável pelo tratamento, e sem dúvida para cada seu subcontratante e num sentido extremamente minimalista, é fundamental para dar resposta aos requisitos do regulamento possuir: 1. registos de atividades de tratamento sob sua responsabilidade (inventário de dados, seus processamentos e licitudes para tal, entre outros) (art. 30º), 2. processos e procedimentos de resposta aos direitos dos titulares (Capítulo III Direitos do Titular dos Dados) e, igualmente muito importante, 3. processos e procedimentos para notificação de uma violação de dados pessoais e, eventualmente, a titulares (art. 33º e 34º).

Sem tomar em consideração todos os restantes requisitos legais a responder, por exemplo em sede de proteção/segurança de dados/informação, de avaliação de impacto da proteção de dados e consulta prévia, códigos de conduta e transferências de dados para países terceiros ou organizações internacionais, existe ainda a necessidade (potencial) de nomeação de um DPO (encarregado de proteção de dados), que deve ser envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais, que não deve receber instruções relativamente ao exercício das suas funções e que não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções, informando diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

Considerando tudo acima exposto, reforçando o facto de que o ónus de demonstração da conformidade com o regulamento passa indubitavelmente para a esfera do responsável pelo tratamento (e não para o DPO ou outras figuras ou instituições), cabe às organizações o desenvolvimento de mecanismos que permitam gerir este novo paradigma, que proporcionem evidencias objetivas de conformidade e, na medida possível, permitam reduzir ou eliminar as contraordenações e impactos negativos na imagem e reputação da organização e aumentar a confiança dos titulares dos dados, todos nós!

Existem normativos internacionais reconhecidos, tais como a BS 10012:2017, que identificam requisitos para uma gestão completa e melhoria contínua de um sistema de proteção de dados e privacidade em conformidade com este regulamento Europeu (em vigor desde 2016!).

Mas face à instabilidade de interpretação, difuso conhecimento e compreensão dos objetivos e espírito do regulamento e inexistente atempada nomeação de papéis, responsabilidades e autoridades em sede desta nova importante etapa para todos os titulares de dados, levada a cabo pelo Estado Português (não obstante a habitual tardia e deficiente “adaptação” de regulamentação europeia e outra legislação conexa) mais desafios se apresentam para o setor privado sobre a “melhor e eficaz” forma de gerir a conformidade legal face a estes novos requisitos.

Quanto ao setor público o caminho nos próximos três anos parece “facilitado”, a ter em consideração (se aprovado) o controverso nº 1 do artigo 44º da proposta de lei que “assegura” a execução a nível nacional do Regulamento Geral da Proteção de Dados (RGPD). – Fernando Fevereiro Mendes, Focus2Comply, Partner.

A voz a Luís Lobo e Silva e Fernando Fevereiro Mendes, Focus2Comply, Partners