JUN'19

RGPD | Filipe Cruz em entrevista

O Regulamento Geral de Proteção de Dados está em vigor desde 25 de maio de 2018 mas foi no passado dia 14 de junho que foi aprovada a Lei Portuguesa de Proteção de Dados Pessoais. Neste âmbito, Filipe Cruz, RGPD Especialist F3M, respondeu a algumas perguntas que ajudam a entender melhor este regulamento e as suas implicações práticas.

O que é o RGPD?
O RGPD é o regulamento do parlamento europeu e do conselho, datado de 27 de abril de 2016, relativa à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses mesmos dados, ao qual nós, normalmente, designamos de regulamento geral sobre a proteção de dados, o RGPD. Na prática, o RGPD é a uniformização de uma norma europeia que já existia… uma diretiva europeia que já existia desde 1995 e de um conjunto de leis nacionais. Em Portugal, por exemplo, a norma de proteção de dados pessoais existia desde 1998. Com este novo Regulamento, pretendeu-se criar uma norma a nível europeu para que os dados pessoais pudessem ser tratados uniformemente em todo o espaço europeu, independentemente de, numa fase posterior, cada um dos países legislar nacionalmente de forma a adaptar o Regulamento às suas realidades. Mas, na prática, o RGPD é isso mesmo: uma norma europeia transversal com vista a tratar dados pessoais de pessoas singulares. 

Quando entrou em vigor o RGPD?
O RGPD entrou em vigor a 27 de abril de 2016, abrindo se aqui um espaço de coabitação do Regulamento Europeu com as diversas legislações nacionais até 25 de maio de 2018. Falou-se muito sobre o prazo de transição… Bem, o prazo de transição estabelecido é este período de coabitação entre 27 de abril de 2016 e 25 de maio de 2018. A partir de 25 de maio de 2018 o regulamento está em vigor, “solitariamente”, chamemos-lhe assim, independentemente daquilo que possam ser as adaptações nacionais que venham a ser apresentadas pelos vários países. Cada país da União Europeia ficou responsável por legislar adaptando o regulamento à sua especificidade. A Lei Portuguesa de Proteção de Dados Pessoais foi aprovada pela Assembleia da República no 14 de junho de 2019. 

O RGPD aplica-se apenas aos dados a partir de maio, ou também aos dados que estão para trás?
O regulamento é de aplicação plena, “retroativamente”, chamemos-lhe assim, ou seja todos os dados independentemente da data em que foram recolhidos são abrangidos por este Regulamento. É óbvio que não se conhecendo a legislação antiga, todo o trabalho de adaptação à nova legislação vai ser um trabalho mais demoroso e mais pesado. De qualquer forma é algo que tem de ser realizado.

Falamos apenas de dados eletrónicos ou de todo o tipo de arquivos de dados pessoais?
Quando falamos de dados pessoais à luz deste Regulamento, falamos em dados que estão em formato estruturado, portanto, organizados em capas, em arquivos, com algum tipo de padrão associado, o arquivo que esteja centralizado ou descentralizado, tratado por meios automatizados ou não automatizados, dados eletrónicos, dados físicos… Falamos, na prática, de tudo aquilo que são dados pessoais. E o que é que pode ser considerado como dado pessoal? São dados com: nomes, moradas, datas de nascimento, contacto, endereços de correio eletrónico, entre outros. Depois, uma categoria de dados que são os dados denominados de “sensíveis”, onde podemos incluir os dados biométricos, dados genéticos, dados de saúde, dados que caracterizam opções políticas, religiosas e sexuais, dados de menores de idade (menos de 13 anos).

Quem está abrangido pelo RGPD?
Estão abrangidas pelo RGPD todas as organizações de todos os setores de atividade. Na prática, podemos dizer que não há exclusões: são empresas, entidades do sector social, entidades públicas e privadas, grupos de empresas,… Não há qualquer tipo de restrição de dimensão ou de área ou de setor de atividade ou de volume de negócios, até. 

A este propósito costuma fazer-se uma ligeira confusão quando estamos a falar do encarregado de proteção de dados (EPD). Aqui sim, há restrições. A Lei Nacional aprovada em 14 de junho de 2019, estabelece que o EPD é obrigatório quando a atividade desenvolvida a título principal implique operações de tratamento que exijam um controlo regular e sistemático de dados em grande escala e para operações em grande escala de categorias de dados especiais ou sensíveis, resultantes de condenações penais ou contraordenacionais.

O encarregado de proteção de dados é aquela figura que, dentro da organização, terá a responsabilidade, de grosso modo, controlar a implementação, sugerir medidas e apoiar a estrutura de decisão na tomada de medidas com vista à correta aplicação do Regulamento Geral da Proteção de Dados. 

Quem vai fiscalizar?
A fiscalização da aplicação do Regulamento Geral de Proteção de Dados, no caso português, é a Comissão Nacional de Proteção de Dados (CNPD). Esta fiscalização vai ocorrer, basicamente, por duas vias: através de denúncia – e são conhecidas até há bem pouco tempo 274 denúncias, com 263 processos de averiguação por parte da CNPD – ou, então, através de ações preventivas – ações no terreno, em que a própria CNPD vai verificar a implementação do regulamento. Depois, em função dos factos encontrados e da gravidade dos mesmos, fará aplicar as respetivas coimas.  

A este propósito pode dizer-se que em Portugal são conhecidas 4 coimas aplicadas. A mais significativa foi aplicada a um centro hospitalar, no valor de 400 mil €. Mas, há também outras coimas, nomeadamente, no sector social. Um pouco por toda a Europa as coimas vão surgindo. Em França já foram aplicadas duas. Muito recentemente conheceu-se uma nova: os meios de comunicação social fizeram avançar uma nova situação de coima aplicada em Espanha à La Liga. Portanto, isto significa que em todo o espaço europeu, incluindo em Portugal, o Regulamento está a ser controlado pelas autoridades de controlo nacionais e as situações de infração estão a ser punidas, e severamente punidas. Aliás, este é um dos principais argumentos do Regulamento, uma das suas principais forças: as pesadas coimas aplicadas a quem infringe as normas. 

O valor das coimas varia em função de determinados fatores. De uma forma simples, podemos dividi-las da seguinte forma: 
• Infrações muito graves podem ir dos 1000€ aos 20 Milhões de Euros ou 4% do volume de negócios
• Infrações graves podem ir dos 500€ aos 10 Milhões de Euros ou 2% do volume de negócios
• Possibilidade de pena de prisão até 4 anos.

O que se tem de fazer para se estar em conformidade?
Para se estar em conformidade com o Regulamento Geral de Proteção de Dados, tem de tomar uma série de medidas com vista a salvaguardar o tratamento de dados pessoais. Desde logo, é fundamental que todos na organização estejam sensibilizados para o Regulamento, saibam o que é, e o que os espera, sob o ponto de vista do tratamento de dados pessoais. Depois, é fundamental conhecer todo o tipo de dados pessoais com que se trabalha na organização: quais são, como recolhemos, quem os trata, quem acede a eles, que tratamento lhes é dado, como é que eles estão arquivados, qual é o suporte documental, isto é, formato papel, digital,... É necessário fazer toda a análise documental, perceber se eles estão em conformidade com o Regulamento (Ex.: consentimentos, declarações de cedência de imagem, regulamentos internos,…). Com base em toda esta informação recolhida, é fundamental fazer-se um ponto de situação, evidenciando todo o levantamento efetuado, as situações que estão corretas e as situações que têm de ser alteradas. Isto é fundamental para se tomarem decisões, relativamente a documentação de suporte, nomeadamente, revisão de contratos, contratos de prestação de serviços, contratos de trabalho, declarações de consentimento, declarações de cedência de imagem, declaração do exercício de direitos, declarações de conformidade dos subcontratantes,….

O Regulamento Geral de Proteção de Dados, acima de tudo, é uma oportunidade das organizações olharem para si próprias, perceberem as suas ineficiências e melhorarem, sempre na perspetiva da salvaguarda da informação que não é sua, é de pessoas que de alguma forma interagem com elas, sejam de clientes, trabalhadores,… 

Depois de acautelar todas as medidas, é necessário os colaboradores, para que cada um saiba exatamente qual é o seu papel no tratamento de dados pessoais. 
Este, é sempre um processo inacabado, ou seja, é necessário monitorizar constantemente a implementação, para perceber o que é que está a se feito, se está bem, se tem de se melhorar. Este é um processo de melhoria constante, de melhoria contínua; é um processo em constante movimento, em constante mutação. Portanto, é fundamental monitorizar, para rapidamente corrigir aquilo que há a corrigir, ou seja, numa busca da melhoria continua do processo de tratamento de dados pessoais. 

António Filipe Cruz | Gestor de Formação e Coordenador Pedagógico
F3M Information Systems, S.A.



Voltar