RGPD

1. INTRODUÇÃO

O Regulamento Geral da Proteção de Dados (RGPD) regula a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/CE. O RGPD atualmente em vigor e de direta aplicação a partir de 25 de maio de 2018, introduz não só novas regras, como também elevadas coimas em caso de incumprimento, o que exige uma atenção cuidada das Organizações que lidam com dados pessoais.

Este Regulamento reveste-se de alguma complexidade, com novos princípios e conceitos, novos direitos para os titulares de dados que significam novos deveres para as empresas que com eles lidam. A avaliação de impacte, a privacidade na conceção de novos produtos ou serviços com dados e a privacidade por omissão, notificações das violações de segurança e a figura do Encarregado de Proteção de Dados (DPO), são alguns exemplos.

O novo regulamento impõe uma gestão rigorosa do tratamento de dados pessoais, o que implica significativas alterações nos processos e procedimentos em vigor em Ricardo Baptista Leite.

A aplicabilidade é abrangente a todas as operações que envolvam a recolha, consulta ou manipulação de dados pessoais no âmbito da atividade de Ricardo Baptista Leite, UNIPESSOAL LDA e exigem um controlo rigoroso, adequado e que assegure de forma evidente que são preservados os direitos individuais dos cidadãos e que os riscos de quebra de privacidade são minimizados.

A Segurança da Informação está diretamente relacionada com a proteção da informação de um conjunto de ameaças, com o objetivo de preservar a continuidade de negócio, minimizar o risco e preservar os respetivos valores.

Neste domínio a estratégia de Ricardo Baptista Leite é definida e orientada para a uniformização de normas gerais e especificas para as atividades de segurança, tendo como base o enquadramento dos seguintes ‘Pilares fundamentais da segurança de informação’:

Confidencialidade – princípio cujo objetivo é garantir que apenas os utilizadores autorizados tenham acesso à informação e não possa ser acessível a utilizadores não autorizados.

Integridade – implica assegurar a exatidão, precisão e consistência da informação durante todo o seu ciclo de vida.

Disponibilidade – princípio cujo objetivo é garantir que a informação está disponível sempre que existe necessidade e que o acesso não é interrompido durante o seu ciclo de vida.

Para garantir a segurança dos dados, deve existir ligação harmoniosa nas ferramentas tecnológicas (hardware e software), bem como, nas regras organizacionais internas adequadas:

  1. Informação regular a todos os funcionários das regras relativas à segurança dos dados e obrigações nos termos da legislação sobre proteção de dados – especialmente em matéria de confidencialidade.
  2. Distribuição clara das responsabilidades e descrição objetiva das competên­cias em matéria de tratamento de dados – especialmente no que diz respeito às decisões de tratamento de dados pessoais e de transferência de dados para terceiros.
  3. Utilização de dados pessoais unicamente em conformidade com instruções da pessoa competente (DPO) ou com regras gerais.
  4. Proteção no acesso a instalações, hardware e software do responsável pelo tratamento ou do subcontratante, incluindo controlos sobre a autorização de acesso; certificação que as autorizações de acesso a dados pessoais foram concedi­das pela pessoa competente e exigem documentação adequada.
  5. Protocolos automatizados sobre acesso a dados pessoais por meios eletrónicos e controlo regular pelo serviço de controlo interno; documentação detalhada para outras formas de divulgação diferentes do acesso automatizado a dados, com o objetivo de evidenciar que não ocorreram quaisquer trans­missões ilegais de dados.
  6. Disponibilização de formação e educação adequada sobre segurança de dados ao pessoal – medida preventiva de segurança importante e eficaz.
  7. Implementação de procedimentos de verificação, de forma a assegurar que as medidas adequadas estabelecidas no papel foram imple­mentadas e funcionam na prática – Auditorias.

2. ENQUADRAMENTO

2.1. A QUEM SE APLICA

A todas as entidades singulares e coletivas que efetuem o tratamento de dados pessoais de residentes da EU. A finalidade é um mercado único europeu de dados com uma legislação única para todos os Estados Membros da EU.

Assim o RGPD aplica-se a Ricardo Baptista Leite no âmbito de todos os tratamentos de dados pessoais.

2.2.  QUANDO ENTRE EM VIGOR E QUANDO SE APLICA

O RGPD está em vigor, foi publicado em 27 de Abril de 2016 no Parlamento Europeu com 95% dos votos a favor e tem aplicação obrigatória a partir de 25 de Maio de 2018, em todos os Estados Membros da EU, substituindo em Portugal a Lei 67/98, que transcreve a antiga diretiva 95/46/CE.

2.3. QUAL O SEU IMPACTE

Para as entidades abrangidas, impõe-se a implementação de políticas e medidas que garantam a conformidade com o RGPD, sob pena de incorrerem em multas até 20 milhões de euros ou 4% do volume de negócios global, do exercício financeiro anterior (a que for maior).

2.4. O QUE É NECESSÁRIO FAZER

  • Estabelecer políticas e procedimentos que permitam reagir a qualquer falha de segurança e notificar as autoridades competentes nos prazos estabelecidos;
  • Analisar com que fundamento legal o processamento dos dados. Caso seja com base no consentimento, terá de rever o consentimento dado, para apurar se respeita todas as novas exigências, ou se será necessário obter novo consentimento;
  • Rever impressos, formulários, políticas de privacidade. Verificar se a linguagem utilizada é clara, acessível e se são fornecidos aos titulares dos dados, toda a informação a que o RGPD obriga;
  • Rever os contratos de subcontratação de serviços realizados no âmbito de tratamento de dados pessoais, para verificar se cumprem com os requisitos exigidos pelo RGPD;
  • Preparar e estabelecer mecanismo de resposta ao exercício dos novos direitos pelos titulares dos dados: Direito ao Esquecimento; Direito à Portabilidade de Dados.
  • Garantir que tem regras especificas para provar que todos os requisitos legais são cumpridos;
  • Realizar uma auditoria/Assessment para verificar o que tem de fazer para cumprir com o RGPD (Accountability);
  • Preparar a designação e funções do Encarregado de Proteção de Dados (se aplicável). Deve documentar de forma detalhada todas as atividades relacionadas com tratamento de dados pessoais (se aplicável);
  • Verificar onde estão alojados os dados e se há transferência de dados para fora da União Europeia (e nesse caso se é legítima).

2.5. PRINCIPAIS DESAFIOS

2.5.1.  CONSENTIMENTO:

Qualquer tratamento de dados pessoais, mesmo que recolhidos antes do regulamento, terá de cumprir com o regulamento. Um dos alicerces é a necessidade de consentimento do titular de dados, para uma finalidade claramente definida. O consentimento tem de ser livre, específico, informado, explícito e por ato inequívoco. Retirar consentimento deverá ser tão simples quanto conceder.

É natural que muitos consentimentos já existentes não cumpram com todos os requisitos do RGPD, o que obriga a obter novo consentimento.

2.5.2. ACCOUNTABILITY

As organizações têm de conseguir provar que cumprem com o regulamento, nomeadamente:

  • Que os dados pessoais que possuem são legítimos e estão limitados ao que é necessário;
  • Que os dados estão atualizados, seguros e confidenciais;
  • Que têm políticas, procedimentos, códigos de conduta e instruções internas, formalizadas e capazes de serem disponibilizadas às entidades de supervisão;
  • Que possuem sistemas para monitorizar se as políticas e procedimentos estão a ser seguidas.

É assim necessário ter regras, mas também acautelar registos probatórios do cumprimento do RGPD.

2.5.3. NOVOS DIREITOS

O RGPD enumera um conjunto de direitos dos titulares de dados, alguns dos quais requerem alterações significativas da forma como se tem operado, a salientar:

  • Direito a ser esquecido: o titular de dados tem direito a solicitar que os dados sejam apagados;
  • Direito de portabilidade: o titular de dados pode solicitar que os dados que disponibilizou a um prestador de serviços sejam transferidos para outro prestador, desde que tecnicamente possível;
  • Direito de não sujeição a nenhuma decisão tomada apenas com base no tratamento automatizado.

2.5.4. INFORMAR VIOLAÇÃO DE DADOS (DATA BREACH)

A CNPD ou a instituição de controlo que possa vir ser nomeada para o efeito, terá de ser notificada (em 72 horas) de todas as violações de dados com risco para o titular. Para tal, as Organizações têm de ser capazes de detetar qualquer violação de dados, logo que ocorra, ou que tenham o seu conhecimento.

2.5.5. CONTER E MINIMIZAR O IMPACTE DA VIOLAÇÃO DE DADOS

Após uma deteção confirmada de uma violação de dados, a Organização deve tomar todas as medidas incluídas no seu Plano de Contingência para conter a propagação e disseminação da violação dos dados, recuperar os mesmos se possível e aplicável, e quando não possível, tentar apagar de forma irrecuperável os mesmos remotamente.

2.5.6. ENCARREGADO DA PROTEÇÃO DE DADOS / DATA PROTECTION OFFICER (DPO)

Autoridade ou organismos públicos, entidades que controlem regularmente dados pessoais em grande escala e/ou que tratem dados sensíveis em grande escala devem nomear um DPO, um Encarregado da Proteção de Dados.

Mesmo nas entidades em que não seja obrigatório o DPO, a entidade deverá designar um responsável pelo tratamento e proteção dos dados pessoais.

2.5.7.  SEGURANÇA DOS DADOS

A Segurança passa pela capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento, o que na prática significa a obrigatoriedade (por lei) de implementação de um sistema de gestão de segurança da informação.

É determinante localizar dados pessoais e eliminar os não conformes, quer nos diversos sistemas quer em papel, quer nas Organizações quer nos subcontratados para tratamento. Poderão existir custos significativos de adaptação dos sistemas às novas regras e a técnicas de proteção recomendadas.

É introduzido o conceito Privacy by Design, a proteção de dados desde a conceção e por omissão, o que requer a inclusão desta temática nos processos de desenvolvimento do tratamento de dados.

2.5.8. OUTSOURCING E PROCESSAMENTO DE DADOS

É muito comum que os dados pessoais sejam, total ou parcialmente, tratados por terceiros subcontratados. Os subcontratados passam a ter responsabilidades, o que implica, entre outros, que haja contratos que definam regras entre as partes. Os contratos existentes têm de ser revistos.

Ao subcontratado cabe provar que cumpre com todas as regras do contrato e do próprio RGPD, nomeadamente em matérias de confidencialidade e segurança.

2.6. CONCEITOS

2.6.1. DADOS PESSOAIS

Informação relativa a uma pessoa singular identificada ou identificável («titular dos  dados»); é considerada identificável uma pessoa singular que possa ser identificada,  direta ou indiretamente, em especial por referência a um identificador, como por  exemplo um nome, um número de identificação, dados de localização, identificadores  por via eletrónica ou a um ou mais elementos específicos da identidade física,  fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

2.6.2. DADOS GENÉTICOS

Dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa.

2.6.3. DADOS BIOMÉTRICOS

Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos.

2.6.4. DADOS RELATIVOS À SAÚDE

Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

2.6.5. DADOS PESSOAIS E DADOS SENSÍVEIS

O Regulamento é aplicável a todos os dados a partir dos quais um indivíduo possa ser identificado ou identificável, direta ou indiretamente. O pressuposto da Diretiva “todos os meios razoavelmente suscetíveis de serem utilizados” para a identificação é mantido.

São ainda destacadas certas categorias de dados online que podem ser qualificadas como pessoais, por exemplo, identificadores online, identificadores de dispositivos, IDs de cookies e endereços IP.

Categorias Especiais de Dados” (Dados Sensíveis) são mantidos e aprofundados – para cobrir os dados genéticos e dados biométricos.

Tal como acontece com a atual Diretiva de Proteção de Dados, o processamento destes dados está sujeito a condições mais rigorosas do que outros tipos de dados pessoais.

2.6.6. TRATAMENTO

Uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissãodifusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

2.6.7. LIMITAÇÃO DO TRATAMENTO

A inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro.

2.6.8. DEFINIÇÃO DE PERFIS

Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações.

2.6.9. FICHEIRO

Qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.

2.6.10. RESPONSÁVEL PELO TRATAMENTO

A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.

2.6.11. SUBCONTRATANTE

Uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

2.6.12. DESTINATÁRIO

Uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários.

O tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento.

2.6.13. TERCEIRO

A pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais.

2.6.14. ESTABELECIMENTO PRINCIPAL

No que se refere a um responsável pelo tratamento com estabelecimentos em  vários Estados-Membros, o local onde se encontra a sua administração central na  União, a menos que as decisões sobre as finalidades e os meios de tratamento dos  dados pessoais sejam tomadas noutro estabelecimento do responsável pelo  tratamento na União e este último estabelecimento tenha competência para  mandar executar tais decisões, sendo neste caso o estabelecimento que tiver  tomado as referidas decisões considerado estabelecimento principal;

No que se refere a um subcontratante com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União ou, caso o  subcontratante não tenha administração central na União, o estabelecimento do  subcontratante na União onde são exercidas as principais atividades de tratamento  no contexto das atividades de um estabelecimento do subcontratante, na medida  em que se encontre sujeito a obrigações específicas nos termos do presente  regulamento.

2.6.15. REPRESENTANTE

Uma pessoa singular ou coletiva estabelecida na União que, designada por escrito pelo responsável pelo tratamento ou subcontratante, representa o responsável pelo tratamento ou o subcontratante no que se refere às suas obrigações respetivas nos termos do presente regulamento.

2.7. PRINCÍPIOS

Nos termos do artigo 5º do Regulamento Geral da Proteção de Dados, o tratamento de dados deverá orientar-se pelos seguintes princípios:

2.7.1. LICITUDE

Os dados apenas devem ser processados com um fundamento legal (consentimento, contrato, obrigação legal).

O tratamento só é lícito se, e na medida em que se verifique pelo menos uma das seguintes situações:

  1. O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
  2. O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
  3. O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
  4. O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
  5. O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
  6. O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

2.7.2. TRANSPARÊNCIA

As informações fornecidas aos titulares dos dados devem estar em formato preciso e de fácil entendimento (por exemplo, o fim para o consentimento não deve ser “misturado” em longos termos e condições de um documento).

2.7.3. LEALDADE

A organização deve fornecer ao titular dos dados, informações suficientes sobre o processamento dos seus dados e os meios de exercício dos seus direitos.

2.7.4. EXATIDÃO

Os dados pessoais devem ser precisos e atualizados (identificados dados inexatos quanto aos fins para os quais são tratados, devem ser apagados ou retificados sem demora).

2.7.5. LIMITAÇÃO DAS FINALIDADES

Os dados pessoais são recolhidos apenas para uma finalidade específica, explícita e legítima e não devem ser processados posteriormente para outro propósito.

2.7.6. MINIMIZAÇÃO DOS DADOS

O processamento de dados pessoais deve ser adequado, relevante e limitado ao necessário aos fins para os quais são tratados.

2.7.7. LIMITAÇÃO DA CONSERVAÇÃO

Os dados pessoais não devem ser mantidos em formato que permita a identificação do titular por um período superior ao necessário.

2.7.8. DA SEGURANÇA

Os dados devem ser tratados ​​de forma a garantir a sua segurança e proteção contra eventuais ataques ilícitos, perda acidental, sua danificação e destruição.

2.7.9. AUDITABILIDADE

O responsável (ou subcontratante) deve ser capaz de demonstrar a sua conformidade do tratamento dos dados com o RGPD.