- Partilhar artigo
- ...
"As empresas recolhem muitos dados de que têm de extrair valor e os transformam numa vantagem competitiva. Não é um desafio apenas jurídico, processual, de organização, ou tecnológico. Se excluirmos uma destas dimensões estamos a ver o problema de uma forma muito redutora", refere o responsável da Axians. Pedro Faustino afasta o cenário de drama e da apologia do medo que o quadro sancionatório provoca: "Grande parte das organizações já tem parte deste trabalho feito. O tema da segurança dos dados pessoais e digitais não é um tema novo, por isso há organizações que já fizeram parte deste percurso." Falta o resto.
Auditoria de dados
"As empresas têm de se questionar como é que fazem a protecção de dados, que tecnologias têm, como vão cumprir os aspectos legais e de compliance", refere Ignacio Berrozpe. "Esta regulação toca em vários aspectos pois tem a ver com a protecção de dados, mas também de uma forma mais geral com segurança dos dados e envolve vários objectivos e funções da empresa."
Executive director da Axians
A abordagem começa por entender a cadeia de valor da organização de acordo com a missão a que se propõe, refere Pedro Faustino. Depois tem de se perceber os processos que suportam essa cadeia de valor e só depois ver que dados é que estão por trás desses processos. "À medida que vamos percorrendo esta cadeia e estas fases vamos afunilando o problema e ver se há dados ou processos a que se aplique este regulamento", explica Pedro Faustino. No final faz-se a cartografia da informação, o que é que se tem do ponto de vista de dados, o que são, como é que entram e saem, o que é que acontece dentro da empresa. "Depois vemos quais são os riscos associados à perda daquela informação, e que impacto é que têm, o que depende do grau de profundidade dos dados pessoais detidos e conforme o tipo de impactos assim se aplicam medidas diferentes", conclui o especialista da Axians.
No final surge a recomendação sobre a aplicação a este universo de dados de um conjunto de processos e regras de tratamento e um conjunto de medidas de natureza tecnológica que se podem revelar necessárias para garantir que existe protecção de dados.
Segurança e credibilidade
"O regulamento é mais do que uma moldura legal, é uma mudança de abordagem à questão da segurança e da privacidade dos dados pessoais. Este regulamento é uma coisa boa porque também a acrescenta à economia digital a dimensão da segurança e, portanto, da credibilidade das organizações", acentua Pedro Faustino.
Foram incluídas entidades que não estavam abrangidas pela directiva, como por exemplo os subcontratantes, os business processers. Por outro lado, as entidades que não estão estabelecidas no Espaço Económico Europeu (que inclui a União Europeia e países como a Noruega, a Islândia e o Liechtenstein) podem, em certas situações, ser sujeitos à aplicação deste regulamento. "Para isso é necessário que essas entidades tratem de dados pessoais de residentes na União Europeia em conexão com bens ou serviços que são oferecidos aos mesmos ou quando exista um controlo dos comportamentos dos cidadãos sitiados no Espaço Económico Europeu", refere João Leitão Figueiredo, advogado da CMS Rui Pena & Arnaut.
Mantém-se um conjunto de excepções e continuam a ser actividades que não estão abrangidas pelo regulamento como tratamentos de dados para fins criminais, controlo de actividades de segurança pública, tratamentos para fins exclusivamente domésticos ou pessoais.
O provedor da protecção de dados
Esta figura do encarregado da protecção de dados não tem uma definição jurídica específica, mas tem uma importância fulcral para um conjunto significativo de empresas.
"Aparentemente o DPO (Data Protection Officer ou Encarregado de Protecção de Dados) não é uma figura obrigatória para 90% das empresas", diz João Leitão Figueiredo. Um dos grupos de trabalho emitiu uma série de "guidelines" sobre as funções do DPO e quais as empresas que deveriam ter; não chegou a uma conclusão definitiva, por isso "nos 'guidelines' aconselha-se as empresas, em caso de dúvida, a nomearem um DPO". Até porque "tradicionalmente a protecção de dados estava longe de ser uma prioridade e o que este regulamento faz é pegar numa questão não prioritária e transporta-a para o topo das preocupações da empresa, porque o DPO passa a reportar ao nível mais elevado de uma empresa", conclui o advogado da CMS Rui Pena & Arnaut.
Apesar de haver pouca rigidez jurídica sobre esta figura, ela é absolutamente essencial, até pelas suas funções, havendo alguma margem para as empresas criarem o posto. O artigo 37 do regulamento enuncia apenas três situações em que o encarregado da protecção de dados é obrigatório. As entidades públicas - excepto os tribunais no exercício das suas funções jurisdicionais -, quando a actividade principal da empresa, mesmo que seja por subcontratação, seja o tratamento de dados em grande escala ou quando tenham como actividade principal o tratamento em grande escala de categorias especiais de dados e de dados pessoais relacionados com condenações penais e infracções. "Em alguns países inclinam-se para tornar esta obrigatoriedade genérica, como a Alemanha" diz João Leitão Figueiredo.
O DPO serve de intermediário entre as várias entidades com as quais as empresas se vão relacionar, como as autoridades de controlo, os trabalhadores, os clientes, os parceiros, e a estrutura de gestão. "O DPO terá poderes reforçados, e é obrigação das empresas apreenderem algo que é fundamental. O DPO pode ser ou não um trabalhador da empresa, conforme a opção da empresa, mas tem de ser garantido ao mesmo um grau de independência na execução das suas funções" alerta João Leitão Figueiredo. Não existe em termos legais uma proibição em relação à acumulação de cargos na empresa. Mas existem pistas do modo como deve ser interpretado o DPO e o espírito não é o da acumulação de cargos que gerem conflito de interesses.
Esta é uma figura que "tem funções técnicas, legais e de gestão" refere Ignacio Berrozpe, sales engineer da Thales. Tem de fazer o mapeamento dos dados, definir as políticas de protecção de dados, implementar e monitorizar a protecção, fazer "assessment" sobre a utilização e o funcionamento do sistema, auditoria sobre o mesmo, e implementar soluções para as falhas detectadas pela auditoria e comunicar com as autoridades.
O consenso que muda
"O consentimento do titular dos dados deverá ser dado mediante um acto positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato electrónico, ou uma declaração oral" é o que está escrito no Regulamento Geral de Protecção de Dados. Houve pois um acréscimo dos requisitos para o consentimento.
Advogado da CMS Rui Pena & Arnaut
O regulamento tentou eliminar alguns dos erros que foram detectados na vigência de duas décadas da directiva. "A figura do consentimento tem uma relação muito directa com a transparência, que surge reforçada ao longo do articulado", diz João Leitão Figueiredo.
Para tratar dados pessoais, as empresas têm de prestar muito mais informações ao titular dos dados. Têm de explicar o tipo de dados a recolher, tempo de armazenamento, os fins a que se destinam, se há tratamento automatizado, se são transferidos para outras entidades ou para fora do espaço económico europeu. Há um acréscimo de responsabilidade em que as empresas têm de considerar mecanismos alternativos para a recolha e tratamento de dados como por exemplo o contrato, que tem de ser feito em linguagem mais comum pois, caso contrário, leva à nulidade do mesmo.
