A Proteção de Dados Pessoais, isto é, a proteção da informação relativa a uma pessoa singular identificada ou identificável («titular dos dados») vai entrar em vigor no dia 25 de Maio deste ano. Quando confrontadas com a questão do seu nível de preparação para esta nova realidade, a reação inicial de muitas empresas é afirmar que têm poucas ou nenhumas bases de dados pessoais. Esta reação resulta, na sua grande maioria, no desconhecimento da amplitude e abrangência do conceito.
Este desconhecimento começa na definição simples de pessoa identificável. Esta consiste numa pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um elemento identificador. Os elementos identificadores podem ser, por exemplo, um nome, um número de identificação, dados de localização, identificadores eletrónicos ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Estando este conceito base clarificado, o próximo desafio é saber como podem as organizações assegurar o nível esperado de adequação ao novo regulamento. A primeira sugestão é que estas procurem identificar os profissionais já certificados neste tema da Privacidade e Proteção de Dados que possam clarificar as suas obrigações no tocante ao tratamento de dados. Um outro aspeto importante a ter em consideração é a definição de um Programa de Conformidade para RGPD, o qual poderá ser realizado recorrendo a um processo simples de quatro passos
- Auditoria e Avaliação;
- Inventariação e Mapeamento dos Dados Pessoais e Análise de Conformidade e Avaliação de Risco;
- Plano de ação;
- Implementação das ações preconizadas.
Este plano deverá atribuir prioridades com base nos riscos e nível de esforço para as organizações.
Para a Auditoria e Avaliação, é essencial obter uma compreensão da organização e da sua conformidade. Para o fazer, as empresas deverão rever uma lista de formalidades, sendo elas nas áreas da Transparência (ou seja, Política de Privacidade), Recolha e Limitação das Finalidade, Consentimento, Qualidade dos Dados, Gestão do Programa de Privacidade, Segurança no Contexto de Privacidade, Prontidão e resposta à Violação de Dados, Direitos Individuais e Soluções. Uma vez completada a Inventariação e Mapeamento dos Dados Pessoais, seguida da uma Análise de Conformidade e Avaliação de Risco, o terceiro passo é construir um plano atribuindo prioridades com base nos riscos e nível de esforço para as Organizações. Depois de termos concluído o plano e obtido apoio organizacional, podemos dar início ao quarto passo, a implementação de todas as medidas de correção para a conformidade. Para desconstruir a aparente complexidade dos processos anteriormente identificados, apresentamos em seguida um conjunto de exemplos práticos dos passos a seguir.
Ação definida: Verificar se os contratos têm cláusulas que regulem a privacidade e a proteção de dados.
O que fazer: Integrar nos contratos cláusulas que estabeleçam as responsabilidades de ambas as partes do negócio.
Ação definida: quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
O que fazer: Ter uma declaração escrita e, se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples.
Ação definida: os Titulares dos Dados têm o direito de serem informados de quem é o Responsável pelo Tratamento dos seus dados pessoais.
O que fazer: informar por escrito quem é o Encarregado de Proteção de Dados da Empresa, divulgar no site, etc.
Ação definida: se o consentimento for exigido pelo Responsável pelo Tratamento para tratar os dados pessoais o titular dos dados, poderá, a qualquer momento, revogar tal consentimento.
O que fazer: Como? Através de notificação por escrito ao Encarregado de Proteção de Dados.
Ação definida: Os Titulares dos Dados têm o direito de solicitar que todos os dados pessoais imprecisos sobre si sejam corrigidos, bloqueados, apagados ou destruídos;
O que fazer: Estar preparado do ponto de vista dos Processos e da Tecnologia.
Ação definida: Os Titulares dos Dados têm o direito de solicitar ao Responsável pelo Tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao seus dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
O que fazer: Mudar mentalidades, delinear processos e validar a tecnologia porque, por exemplo, o titular dos dados tem o direito de obter, sem demora injustificada, do Responsável pelo Tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Para além de que, tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
Quais as novas obrigações para os colaboradores e responsáveis da empresa, a nível do tratamento da informação?
No quadro geral do princípio da “responsabilidade” o responsável pelo tratamento tem de poder comprovar o respeito pelos seis Princípios da Privacidade. As empresas responsáveis pelo tratamento de dados devem saber, como se traduzem, na prática, os princípios da privacidade, que são:
- Licitude, lealdade e transparência;
- Limitação das finalidades;
- Minimização dos dados;
- Exatidão (exatos e atualizados sempre que necessário);
- Limitação da conservação;
- Integridade e confidencialidade.
Isto significa, por exemplo, que uma empresa que queira cumprir o princípio da licitude deve obter um consentimento válido. Logo, quem tinha no seu site a cruzinha do sim já preenchida, irá ter de alterar a forma de obter consentimento, porque o RGPD exige um comportamento ativo por parte das pessoas. Também neste âmbito, será necessário garantir que é tão fácil retirar o consentimento como dá-lo, logo, é necessário instalar formas rápidas de retirar o consentimento e estar preparado para apagar dados.
Que direitos têm os titulares dos dados?
Os direitos dos Titulares dos Dados podem ser elencados como o direito à informação, o direito de acesso aos seus dados, o direito de retificação de dados inexatos, o direito ao apagamento dos dados («direito a ser esquecido»), direito de oposição, direito à limitação do tratamento (inexatidão ou oposição em avaliação), direito a notificação de retificação ou apagamento ou limitação de tratamento, direito de portabilidade, direito de oposição a decisões individuais automatizadas.
O que é o Data Protection Officer?
O DPO – Data Protection Officer, ou Encarregado da Proteção de Dados, não é um requisito obrigatório para todas as organizações, pelo que é importante validar em cada caso se é necessário designar um encarregado da proteção de dados. De forma genérica, sempre que existam operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala, este é necessário. Em qualquer caso, é importante validar as condicionantes específicas em cada caso.
O Data Protection Officer pode desempenhar as funções em part-time ou a tempo inteiro, pode ser um colaborador interno ou em outsourcing, tem que ter formação relevante e experiência na proteção de dados pessoais. Adicionalmente, também deve trabalhar diretamente com a gestão de topo, deve permanecer independente e protegido. As suas funções incluem o controlo da conformidade, o fornecimento de conselhos e orientações sobre questões de proteção de dados, incluindo, a repartição de responsabilidades, a sensibilização e formação das equipas, e auditorias correspondentes. Tem ainda responsabilidade pela cooperação com a autoridade de controlo e constitui o ponto de contacto primário.