A regulação ao serviço da segurança dos dados

A nomeação do encarregado de proteção de dados deve ser assumida como uma vantagem competitiva para as empresas e uma garantia de regulação para quem tem visto os seus dados sistematicamente usados indevidamente.

Em 22 de março, o Conselho de Ministros aprovou a proposta de lei que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Apesar de se tratar de um Regulamento, o diploma requer a intervenção do legislador nacional. Com a futura lei, que tarda em ser publicada, aprova-se a legislação nacional exigida pelo Regulamento e adotam-se as soluções que o legislador português considera mais adequadas para a proteção dos direitos dos titulares de dados pessoais.

O Regulamento Geral de Proteção de Dados (RGPD) entrou plenamente em vigor a 25 de maio de 2018, sem que se tenha verificado uma completa rotura, razão pela qual se devem manter algumas matérias previstas na Lei de Proteção de Dados, Lei n.º 67/98, de 26 de outubro, que será agora revogada pela nova lei. No entanto, podemos desde já observar que o Regulamento proporciona às empresas um quadro de cumprimento modernizado, assente numa maior responsabilidade relativamente ao tratamento dos dados das pessoas singulares e à sua livre circulação.

O Regulamento constitui uma preocupação para as empresas na medida em que agrava a moldura máxima das coimas por incumprimento. Especial atenção deve ser dada à sua recolha, tratamento e transmissão dos dados pessoais, com especial destaque para os dados de natureza sensível, nomeadamente dados de saúde e dados relativos à vida privada. Em face das coimas elevadas, que em alguns casos poderá ascender aos 20 milhões de euros ou 4% do seu volume anual de faturação, as empresas passam a olhar seriamente para as questões da privacidade, pois o seu incumprimento traduz-se num risco muito relevante a ser considerado.

Em face do novo contexto legal, são dois os desafios que as empresas enfrentam: agir em conformidade com os princípios básicos do tratamento, incluindo as condições de consentimento de clientes e colaboradores, e implementar os instrumentos de responsabilização. Nessa conformidade, o consentimento continua a ser um dos fundamentos para a legitimidade do tratamento de dados pessoais, embora o Regulamento contenha regras mais exigentes. É lícito o tratamento de dados pessoais quando prestado para execução de um contrato ou para diligências pré-contratuais. É igualmente lícito quando em causa estejam interesses vitais do titular dos dados ou de outra pessoa singular ou interesses legítimos prosseguidos pelo responsável pelo tratamento da empresa ou por terceiros.

Ainda a propósito do consentimento, este deve consistir numa manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceite, mediante declaração ou ato positivo inequívoco, que os seus dados pessoais sejam objeto de tratamento. É assim afastado o consentimento tácito e não são permitidas decisões individuais automatizadas.

Com o Regulamento institui-se a figura do encarregado de proteção de dados (EPD) conhecido também como DPO, acrónimo, em inglês, para Data Protection Officer, que deverá obrigatoriamente ser nomeado pelas empresas que tratem informação sensível e\ou em grande escala. Assim, o tratamento desses dados, poderá determinar diferentes níveis de obrigações e responsa­bilidades por parte dos responsáveis pelo tratamento e empresas subcontratantes, dependendo do grau de risco que oferece aos titulares dos dados e à sociedade.

Até ao momento atual, 122 países já adotaram uma Lei de Proteção de Dados em todo o mundo e em alguns Estados a figura do EPD foi sendo voluntariamente instituída. No caso particular do Brasil, país de exportação e importação das empresas portuguesas, discute‑se no Senado uma proposta de lei sobre a proteção de dados, num claro esforço de aproximação ao RGPD.

No novo quadro legal, o EPD desempenha as funções de aconselhamento e monitorização das regras de proteção de dados; formação e sensibilização para matérias de proteção de dados pessoais; realização de auditorias; aconselhamento em avaliações de impacto sobre proteção de dados; colaboração com as autoridades de proteção de dados e de relacionamento com os titulares dos dados nomeadamente no âmbito do exercício dos seus direitos. Desta forma, torna-se evidente que ao nomear o EPD a empresa promove de uma forma mais célere a conformidade exigida pelo Regulamento, traduzindo-se esta celeridade numa vantagem competitiva.

A função de encarregado de proteção de dados pode ser exercida por um trabalhador da empresa ou ser externalizada com recurso a prestadores de serviços. Independentemente do modelo adotado pela empresa, o EPD terá um papel central, na medida em que irá facilitar o cumprimento das disposições legalmente exigidas nesta matéria. Por essa razão, a figura do encarregado da proteção dos dados deve ser instituída em todas as empresas, tal como recomenda o Grupo de Trabalho 29.º (GT 29) para a Proteção de Dados.

Ao encarregado de proteção de dados é-lhe atribuído um papel essencial enquanto participante no novo sistema de governação de dados e como tal, deve ficar vinculado à obrigação de sigilo e gozar de um estatuto de independência dentro da instituição. Para o cumprimento das suas funções exige‑se conhecimentos técnicos ao nível da proteção de dados, para além do conhecimento da estrutura e da cultura organizacional da empresa. Será de evitar qualquer conflito de interesses, quando exerça outras funções e atribuições dentro ou fora da organização. O EPD não é pessoalmente responsável pelo incumprimento do disposto no Regulamento. Porém, assume uma função axial na criação de uma cultura de compliance na área da proteção de dados dentro da sua organização, sendo por isso recomendável a formalização dos seus direitos e deveres numa carta de missão ou em documento semelhante.

Importa ainda sublinhar que o novo Regulamento incentiva à criação de códigos de conduta, como mecanismo de autorregulação, pelas entidades representativas de categorias de responsáveis pelo tratamento ou de empresas subcontratadas; consagra a emissão de selos e marcas de proteção às empresas e remete para a CNPD e para o Instituto Português de Acreditação, I.P. (IPAC) as competências para proceder à acreditação dos organismos de certificação. Cabe ao IPAC certificar procedimentos e emitir selos e marcas de proteção de dados, destinados a atestar o cumprimento do Regulamento por parte das empresas.

O Regulamento Geral de Proteção de Dados é um instrumento ao serviço do novo mundo virtual, essencial às empresas, aos consumidores e à sociedade em geral, que pode ser definido em três palavras: informação, responsabilidade e transparência.

Ler mais

Exclusivos

Premium

Nuno Artur Silva

Notícias da frente da guerra

Passaram cem anos do fim da Primeira Guerra Mundial. Foi a data do Armistício assinado entre os Aliados e o Império Alemão e do cessar-fogo na Frente Ocidental. As hostilidades continuaram ainda em outras regiões. Duas décadas depois, começava a Segunda Guerra Mundial, "um conflito militar global (...) Marcado por um número significativo de ataques contra civis, incluindo o Holocausto e a única vez em que armas nucleares foram utilizadas em combate, foi o conflito mais letal da história da humanidade, resultando entre 50 e mais de 70 milhões de mortes" (Wikipédia).