O dia 25 de maio de 2018, marcou o início de uma nova era com a entrada em vigor do Regulamento Europeu (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados – RGPD).

 

Durante estes últimos meses, muito se tem dito e escrito sobre esta matéria. Empresas e entidades do setor social têm trabalhado no sentido de adequarem os seus comportamentos à luz deste Regulamento. 

 

Apesar de estar atrasada a publicação da legislação nacional sobre esta matéria (a Comissão Europeia fez um “ultimato” a Portugal para a publicação da mesma até ao dia 24 de Março de 2019), as organizações devem estar cientes de que terão de trabalhar no sentido de evidenciarem as medidas que estão a tomar para salvaguarda de dados pessoais que tratam, como sejam, o nome e apelido, a data de nascimento, a morada, um número do cartão de identificação, o endereço de correio eletrónico (nomeapelido@empresa.pt), um endereço IP, cookies, dados de saúde, dados biométricos, dados genéticos, dados que caracterizem as opções políticas, religiosas e sexuais, entre outros.
 

Aliás, esta constitui uma das mudanças de paradigma introduzida pelo Regulamento: as organizações não têm de solicitar à Comissão Nacional de Proteção de Dados (CNPD) autorização para tratamento de dados pessoais, mas têm de evidenciar que recolhem e tratam esses dados segundo o disposto no Regulamento. Aqui inclui-se, por exemplo, a recolha e tratamento de imagens através das câmaras de videovigilância, os sistemas de controlo de assiduidade através de dispositivos biométricos, entre outros.
 

O facto de a legislação nacional não estar ainda publicada, não deve induzir a ideia de que o Regulamento não está em vigor e que há tempo para se tomar medidas. 

Nada mais errado! 
 

O Regulamento está em vigor e a conformidade / compliance parcial não existe: ou se tomaram as devidas medidas e se salvaguarda a segurança dos dados pessoais ou não se está em conformidade e, por essa via, está-se em situação de incumprimento face ao RGPD. E, neste caso, está-se sujeito às pesadas coimas previstas que poderão ir de 2% do volume de negócios a 20 milhões de euros, nos termos estabelecidos nos artigos 83º e seguintes do Regulamento.

 

Na europa, foram apresentadas cerca de uma centena de milhar de queixas que originaram algumas coimas. 
 

Uma das “vítimas” mais sonantes é a Google, multada em 50 milhões de €uros pela CNIL, a autoridade de controlo francesa. Neste caso, estará em causa a discrepância entre a informação transmitida aos clientes e o tratamento que efetivamente é efetuado pela Google. Informação não transparente e insuficiente, bem como ausência de consentimento válido para o envio de publicidade personalizada, serão alguns dos motivos da aplicação desta coima. Já em meados de 2018, um Centro Ótico francês tinha sido multado em 250.000,00€ por falhas na proteção dos dados pessoais dos seus clientes no seu sítio na internet.
 

Também na Holanda, a Microsoft está a ser investigada por violação do RGPD.
 

Em Portugal, a CNPD está a atuar, tendo já recebido mais de uma centena e meia de queixas e notificado muitas organizações, pesando sobre elas a possibilidade do pagamento de coimas. 
 

O Centro Hospitalar do Barreiro-Montijo foi sancionado com uma coima de €400.000,00 por violação do RGPD. O processo que levou à aplicação da coima não terá partido de uma denúncia, mas de uma notícia que a CNPD investigou. Este facto revela a sua proatividade; a autoridade de controlo não está apenas reativa a denúncias, como se poderia pensar, mas está a agir por iniciativa própria. Segundo as diversas notícias publicadas a propósito deste caso, o Centro hospitalar do Barreiro-Montijo, terá violado 3 regras do RGPD: um elevado número de utilizadores com acesso indiscriminado a dados pessoais; ausência de medidas que salvaguardem a integridade e confidencialidade dos dados pessoais; ausência de medidas técnicas suficientes para garantir a não violação de dados pessoais.

Também há entidades do setor social notificadas pela CNPD, por violação de normas do RGPD. Por exemplo, a falta de afixação de informação sobre a utilização do circuito de vídeo vigilância constituiu motivo para a notificação de uma IPSS, com a fixação de uma coima de 4% do volume de negócios da Instituição.

 

Este último exemplo responde à questão muitas vezes levantada: as IPSS terão um regime de exceção? Não. Não têm. Terão de observar e implementar todas as disposições previstas no Regulamento, como qualquer outra organização. O setor de atividade onde atuam e a tipologia de população que assistem, constituem, de per si, um fator adicional de criticidade no que ao RGPD respeita.

 

Para uma organização se encontrar em conformidade com o RGPD, necessita, no mínimo, de realizar uma introspeção aos seus próprios processos, documentos e tecnologia, pois, só assim saberá em que fase da conformidade se encontra. Quantas organizações já olharam para os contratos que possuem com os seus subcontratados e procuraram as devidas referências à proteção dos dados pessoais? Quantas organizações dispõem de uma política de privacidade, que não aquelas comuns relativas aos cookies dos websites? Quantas organizações ponderaram alguma vez sobre o que aconteceria com os seus clientes se houvesse uma violação de dados pessoais? Quais os danos que daí poderiam resultar? Quantas organizações têm documentos nos seus arquivos de titulares com quem já não se relacionam, ou até, nunca se relacionaram? Todas estas situações, mas não só, devem ser analisadas internamente por cada organização, e alteradas em conformidade, por forma a não correrem riscos desnecessários.

Assim sendo, para que se possa estar em conformidade com o RGPD, há alguns passos basilares que é importante observar:
 

• Definir uma estratégia de implementação | Saber quem somos e o que pretendemos fazer em matéria de RGPD;
 

• Envolver toda a organização | A direção / órgão de gestão e todos os departamentos / áreas / respostas deverão participar no trabalho a realizar;
 

• Designar um responsável pelo processo de implementação do RGPD |  Poderá aqui ser nomeado o Encarregado de Proteção de Dados, por imposição legal ou por decisão da organização;
 

• Mapear Dados Pessoais | Este processo inclui, entre outros, identificar dados pessoais, fluxos de informação, fundamentos e finalidades do tratamento, pessoas envolvidas nas operações / fases de tratamento, medidas de segurança de informação, fluxos de dados transfronteiriços;
 

• Registar as operações |  Criar ou atualizar um conjunto de processos / procedimentos que permitam verificar a correta implementação do RGPD;
 

• Sensibilização de toda a organização |  Um dos graves problemas de qualquer implementação do RGPD é o desfasamento entre as medidas adotadas e a prática quotidiana. Para minimizar este risco, a formação a todos os trabalhadores da organização é fundamental.

 

No final, é importante ressalvar esta nota: o RGPD é integralmente aplicável às IPSS. Não existir uma lei nacional publicada não constitui um impedimento à aplicação do RGPD. É importante que entendam o RGPD não como uma ameaça, mas como uma oportunidade de olhar a organização e a colocar mais eficiente sob ponto de vista do seu processo de gestão.

 

António Filipe Cruz

Manager

F3M Information Systems, S.A.