- Partilhar artigo
- ...
1 |
A figura do Encarregado de Protecção de Dados (DPO) é uma das mais relevantes inovações do novo regulamento. Um significativo número de organizações será obrigado a nomear um DPO e assegurar que este tem condições para o exercício das suas funções, como sejam: o apoio activo da administração; tempo suficiente para o cumprimento das suas tarefas; recursos financeiros, infra-estruturas (instalações, equipamentos) e pessoal, quando apropriado; comunicação oficial da designação a todos os funcionários e autoridade de controlo; acesso a outros serviços dentro da organização para que possam receber suporte, opiniões ou informações essenciais desses outros serviços, bem como formação contínua.
Do ponto de vista das competências, o DPO deverá ter um profundo conhecimento da legislação e práticas nacionais e europeias de protecção de dados, incluindo uma compreensão aprofundada do regulamento, conhecimento das operações de processamento realizadas, conhecimento das tecnologias de informação e de segurança dos dados, conhecimento do sector empresarial e da organização e capacidade de promover uma cultura de protecção de dados dentro da organização.
Note-se que, apesar dos DPO não se substituírem às empresas no que concerne à responsabilidade civil ou contra-ordenacional, serão um pilar essencial no cumprimento do regulamento e na criação de garantias para as organizações. (CMS Rui Pena & Arnaut)
2 |
Do que temos observado no nosso contexto nacional, diríamos que a maior parte das organizações ainda não estará pronta em Maio de 2018 neste tema. A questão da portabilidade de dados tem um factor muito importante para a sua boa operacionalização, o formato comum para a portabilidade dos dados. Essa é uma preocupação que cremos que deverá passar obrigatoriamente por uma concertação sectorial para acordarem um modelo e formato comum para a portabilidade desses dados. Percebemos que esse será um dos principais desafios deste regulamento para os sectores dos serviços essenciais (Utilities e Telcos), serviços financeiros e saúde. (Axians)
3 |
Do ponto de vista estritamente tecnológico e no que toca à componente da protecção de dados/encriptação dos dados pessoais em repouso nas bases de dados, será de destacar que a solução Vormetric da Thales permite a segregação de acesso em função do perfil de acesso concedido aquando da atribuição das políticas de acesso. O caso referido na pergunta é paradigmático, pois no caso de dados de saúde os mesmos possuem um cariz relevante e sensível, sendo portanto recomendável, senão necessário, assegurar o acesso "atomizado" aos dados em específico que a cada função cabe aceder para o exercício das suas funções, não obstante no global o dado pessoal ser o mesmo e provavelmente armazenado de forma única no mesmo registo, no caso dos pacientes. Assim, a cada profissional de saúde caberá aceder apenas aos dados pessoais do paciente que são relevantes para a sua função no exercício do seu contributo para o acto médico daquele paciente. (Thales)
4 |
De acordo com a definição da Comissão Europeia, o DPIA (Data Privacy Impact Assessment - Avaliação de Impacto da Privacidade de Dados) é um processo destinado a descrever o processamento de dados privados, avaliar a necessidade e a proporcionalidade de um processamento dos dados e ajudar a gerir os riscos aos direitos e liberdades das pessoas resultantes do processamento de dados pessoais (avaliando-os e determinando as medidas para os abordar).
O DPIA é uma avaliação de risco, que avalia o impacto da concretização de ameaças de privacidade de dados com a sua probabilidade de ocorrência, com o objectivo de serem identificadas estratégias de tratamento desses riscos num nível aceitável através de um racional de custo-benefício. (Axians)
5 |
O recurso ao consentimento para a recolha e tratamento de dados pessoais tem constituído uma prática recorrente em Portugal. As organizações têm privilegiado o consentimento como solução prática para assegurar a licitude do tratamento de dados pessoais de terceiros. O regulamento, contudo, veio criar barreiras adicionais às actuais práticas, e introduz regras muito mais rígidas às empresas quando se trata de obter o consentimento para recolha e tratamento de dados pessoais. As organizações são, assim, obrigadas a considerar mecanismos alternativos, como sejam o contrato com o titular dos dados, o cumprimento de uma obrigação jurídica, a defesa de interesses vitais do titular dos dados, o exercício de funções de interesse público ou os interesses legítimos do responsável pelo tratamento.
Concretamente, a utilização de caixas pré-marcadas, o silêncio, a inactividade, o consentimento genérico ou obtenção do consentimento através de termos e condições genéricas deixarão de ser permitidos, na medida em que qualquer dos referidos mecanismos deixará de configurar como um meio de demonstração do cumprimento dos requisitos de consentimento do regulamento. Caso, ainda assim, as organizações pretendam privilegiar o consentimento como fundamento para o tratamento de dados pessoais, as regras mudam e são mais exigentes: o consentimento deverá ser concedido de forma desagregada dos demais termos e condições; deverão ser utilizados mecanismos que indiciem práticas activas dos titulares dos dados; o consentimento deverá ser óbvio, granular e facilmente identificável; a linguagem adoptada, simples e concisa; o titular deverá estar identificado, bem como as organizações que terão acesso aos dados; o consentimento deverá estar documentado em permanência e ser, com a periodicidade possível, renovado; deverá ser concedido em situações de equilíbrio entre as partes; e, por fim, deverá ser facilmente revogável. (CMS Rui Pena & Arnaut)
6 |
Do ponto de vista estritamente tecnológico e no que toca à componente da protecção de dados/encriptação dos dados pessoais em repouso nas bases de dados, a solução Vormetric da Thales assegura que tal não será necessário, garantido uma continuidade nos processos sem quaisquer impactos para as empresas. É um sistema não intrusivo, "agnóstico" e não degradante da performance das infra-estruturas existentes (desde que estas estejam a operar abaixo dos 80% da sua capacidade). Assim, o processo de migração de um ambiente não protegido para um ambiente encriptado e protegido processa-se de forma suave, não disruptiva e sem perda de quaisquer dados ou contexto. Acresce que não serão necessárias adaptações nas bases de dados existentes e a encriptação e supervisão dos acessos às bases de dados, assim como, a sua protecção e monitorização são efectuadas pela solução Vormetric da Thales independentemente dos modelos, versões e fabricantes das bases de dados. (Thales)
Todas as empresas devem dar atenção ao tema, mesmo que as exigências sejam diferentes.
7 |
O maior desafio para a conformidade com o novo regulamento será o nível de organização, gestão, controlo e estruturação dos seus dados, onde as organizações, independentemente da sua dimensão, que tiverem menores níveis de maturidade sobre a governação dos seus dados (físicos ou digitais), terão um maior esforço para conseguir atingir este nível de controlo e monitorização dos riscos de privacidade, bem como na operacionalização dos imperativos do regulamento ao nível processual sobre os direitos dos cidadãos europeus.
A abordagem de estar em conformidade deverá ser a mesma seja qual for a dimensão da organização. Com algumas diferenças particulares em função da natureza do seu negócio (por exemplo, se necessita ou não de um DPO - Data Privacy Officer), o modelo funcional da organização, e o estado actual da gestão e controlo dos seus dados, que pode implicar técnicas distintas de inventariação e desenho dos fluxos de dados pessoais, bem como no desenho e implementação dos controlos de privacidade. (Axians)