O novo Regulamento sobre Proteção de Dados, ou RGPD/GDPR, entra em vigor a 25 de maio próximo. O que vai implicar? Quem será afetado? Como devem as empresas públicas e privadas proceder? Que dados podem ser guardados e quais os que têm de ser apagados? E ainda quem pode ser DPO ou encarregado pelo cumprimento do Regulamento da Proteção de Dados dentro das empresas?
Estas são algumas questões que são focadas neste webinar do Jornal Económico (JE) em parceria com a NOESIS e que conta com as intervenções de Ana Monteiro, advogada da Caetano de Freitas & Associados; com Ricardo Mendes, senior manager IT management na NOESIS; com Filipe Ribeiro, diretor de Segurança e Gestão de Informática na Micro Focus EMEA e ainda com questões colocadas por leitores do JE. A moderação é da jornalista Marta Rangel.
JE – O que são ou o que podem ser considerados dados pessoais?
Ana Monteiro (Caetano de Freitas) – É tudo aquilo que permita identificar diretamente ou indiretamente uma pessoa, por exemplo a voz, uma fotografia ou um endereço de IP. Todas estas informações são consideradas dados pessoais no Regulamento.
Barbara E (leitora) – Faltam menos de três meses para o RGPD entrar em vigor. O que devem as empresas fazer antes de 25 de maio?
Filipe Ribeiro (Micro Focus) – O Regulamento tem duas vertentes fundamentais: A componente da segurança dos dados e a componente da gestão efetiva dos dados. É sobre estas duas componentes que as organizações se devem focar. Por um lado, proteger os dados pessoais que estão no âmbito do Regulamento e que são praticamente todos e, por outro, a gestão desses dados. Isto significa saber como nos governamos, como conseguimos responder aos pedidos de atualização ou como podemos responder aos pedidos de esquecimento.
JE – E todas as organizações vão ter o mesmo tipo de obrigações?
Filipe Ribeiro (FR) – Sim, todas as empresas vão ter o mesmo tipo de responsabilidade.
Ana Monteiro (AM) – Para as empresas públicas será necessário nomear um encarregado de proteção de dados, um DPO, enquanto para as empresas privadas poderá não ser necessário nomear um DPO.
Barbara E (leitora) – Quais os dados que uma empresa deve ter sobre o utilizador para se defender de uma possível reclamação?
Ricardo Mendes (Noesis) – Tipicamente quando estamos a falar de dados e de proteção há elementos que devem estar bem alicerçados. Fundamentalmente as questões associadas à captação de informação. Aquela que é sensível deve estar bem protegida e a proteção faz-se em dois grandes vetores: são os dados em si e a rastreabilidade, ou seja, a capacidade de medir o acesso e saber quem é que acede e quando, porque isso também é um dos mecanismos de evidência para saber como a empresa está preparada para os resolver.
JE – Como é que isso se faz?
RM – Falo da rastreabilidade e que é efetivamente a capacidade de ter a noção de quem acede aos dados e quando isso é possível. É uma evidência de que se está preparado. Serve como prova de que se tem controlo sobre o processo e se consegue provar que se está com uma pessoa que cumpre com as normas.
JE – E quando falamos de tecnologia falamos necessariamente de investimento?
RM – Normalmente temos investimento também associado. Na realidade há empresas, tanto em Portugal como no mundo fora, que não fizeram este percurso nos últimos anos quando o poderiam ter feito de forma gradual. Provavelmente nos próximos tempos terão de acelerar esse processo, não só de melhorar processos internos, mas também investir em tecnologia que lhes permita ajudar nestes processos mais complexos.
JE – E uma empresa que esteja completamente perdida e que está agora a descobrir que existe o RGPD. A quem é que pode pedir ajuda?
RM – É preciso um escalonamento para um acesso muito rápido, uma validação dos passos que têm de ser dados. Tem de ganhar rapidamente uma grande percentagem de cobertura GDPR, deve começar com o mapeamento dos seus dados e depois lançar várias ações corretivas para que rapidamente entre no tracking do que é a cobertura GDPR (RGPD).
JE – Como é que é dado o consentimento para a utilização de dados?
AM – O consentimento tem que ser livre, específico e informado e tem de ser uma ação positiva por parte de quem o dá. O consentimento pode ser implícito, mas teremos um problema de prova, ou seja, se o consentimento não é expresso não saberemos como o guardar e como fazer prova perante, por exemplo, a Comissão Nacional de Proteção de Dados (CNPD), de que o temos. Em termos de consentimento explícito só quando for para efeitos de, por exemplo: Quero comprar um livro e coloco os meus dados pessoais. Obviamente que os meus dados pessoais vão ser utilizados para me fazer chegar o livro que acabei de adquirir.
Luís D (leitor) – A entrega de um cartão de visita, agora que é muito comum em relações profissionais, pode ser considerado como um consentimento?
AM – É para aquela finalidade. Por exemplo, e se se está numa reunião onde se negoceia um contrato e se entrega cartões para continuar a ter os contactos dessas pessoas e, caso acabe por negociar o contrato para essa finalidade, já não se poderá utilizar a mesma informação para enviar emails de marketing a essas pessoas.
JE- Também depende da empresa que está a pedir os dados ter motivo válido para isso ou não?
AM – Sim. É o princípio das finalidades, ou seja, as empresas têm de saber para que finalidades estão a recolher os dados e só os podem usar para essas finalidades. Se quiserem usar para outras finalidades, terão que pedir outro consentimento.
JE – E se uma empresa contrata um colaborador terá de pedir os dados para, pelos menos, elaborar o contrato …
AM – Sim, mas aí é para cumprimento de uma obrigação contratual. Não tem que pedir o consentimento ao trabalhador. É outro dos fundamentos legítimos para tratar dados pessoais.
JE – Como é que se podem guardar estes dados de forma segura? A cloud é uma opção?
FR – Há uma série de opções onde podemos guardar os nossos dados, desde as clouds privadas às públicas.
E voltando um pouco atrás, o Regulamento contempla – e algumas organizações não estão a dar a devida atenção – o facto de os donos dos dados terem sempre responsabilidade sobre esses dados e mesmo que os deleguem ou guardem em outros sítios, nomeadamente numa cloud pública, eles não deixam de ter responsabilidade sobre esses dados. Portanto passam a ter uma responsabilidade partilhada sobre esses dados.
JE – Os donos é quem os recolhe?
FR- Enquanto organização que recolho dados dos meus clientes e/ou colaboradores e decido guardar esses dados numa cloud pública, nunca deixo de ter responsabilidades sobre esses dados, mesmo que assine um contrato, pois este não transmite a minha responsabilidade para uma entidade terceira. É preciso termos a consciência de que não estamos a transmitir a responsabilidade para esse fornecedor da cloud. Claro que este também tem responsabilidade e tem de guardar esses dados de forma segura e tratá-los de acordo com o regulamento.
JE – É possível antecipar algum tipo de problema que possa ocorrer a nível da segurança da cloud?
FR – Claro que é possível. A questão da proteção e securitização dos dados é fundamental em qualquer nível, seja a nível local enquanto nós próprios guardamos os dados dos nossos clientes, ou quando transladamos essa responsabilidade a uma entidade terceira.
Silvia C (leitora) – Como é possível garantir a correta anonimização dos dados pessoais?
FR – O que conta é a tecnologia porque a anonimização não dá a garantia de que tudo está a ser feito de forma uniforme, holística e que se minimiza as probabilidades de haver rompimentos com os procedimentos e com o Regulamento. A anonimização tem a ver com a capacidade de se destruir a informação original e utilizar a informação apenas para dados estatísticos ou seja, destruir os dados que vêm a seguir e que poderão ser usados, por exemplo, para determinado tipo de gestão de dados. A resposta é a algoritmia tecnológica que permite tratar essa informação de uma forma homogénea, segura e que fique perfeitamente dentro do que está estabelecido (Regulamento).
RM – Será mais fácil entendermos todos com um exemplo. Os operadores de telecomunicações reconhecem os nossos dados e sabem onde é que estamos em termos de localização e têm o registo para quem ligamos e quem nos liga. O que fazem é anonimizar essa informação de forma a tratarem a capacidade, para saberem se uma determinada antena tem capacidade para gerir o tráfego que necessita, mas não sabem se foi o Ricardo, o Filipe, a Ana ou a Marta que estiveram naquele local. Sabem que houve um conjunto de utilizadores e a informação está anonimizada. É este o tipo de tratamento que fazem.
Rui R (leitor) – Os documentos físicos que tenham dados pessoais têm de passar a estar fechados à chave?
RM – No mínimo. Como fechar à chave o cumprimento que traz é o acesso direto, pois só quem tem a chave é que consegue aceder a um determinado tipo de repositório onde está a informação armazenada em papel. Mas isso não é suficiente. A questão da rastreabilidade significa capacidade para conseguir fazer análise forense ao histórico de quem é que acedeu à informação, o que é fundamental para o caso de haver o desaparecimento de algum documento ou um acesso indevido. Como empresa terei de ter capacidade de provar quando é que aconteceu e em que condições. Por isso devem estar associados a este armazenamento outro tipo de mecanismos como, por exemplo, uma leitura de um dado biométrico ou algum tipo de registo de quando é que foi acedido o documento.
JE – No caso hipotético de uma empresa com 20 anos que armazenou tudo em papel. O que fará agora?
RM – Terá de ver se esses dados são úteis ou não, devem ou não continuar armazenados. Temos aqui a questão da legitimidade de manter determinado tipo de dados pessoais durante determinado tempo. Tudo o que não é obrigatório ou que não deva estar na posse de uma empresa, deve ser destruído. Tudo o resto deve ser guardado ou por questões legais ou porque é necessário para o funcionamento da empresa e, nessa situação, deveria ser implementados esses mecanismos de rastreabilidade, além do controlo de acessos.
FR – Este tema é muito curioso e acontece de uma maneira geral connosco que guardamos muito informação e que depois concluímos que não temos espaço onde a guardar. Ora para as empresas esta é uma excelente oportunidade de fazer a limpeza que já deveria ter acontecido há muito tempo e apagar os dados que já não necessita. Um dos objetivos é rever as políticas de retenção ou de armazenamento de informação para termos a certeza que só guardamos aquilo que faz sentido guardar.
AM – As empresas têm obrigação de apagar os dados pessoais quando a finalidade está cumprida, ou seja, não devem manter esses dados pois já não têm um fundamento legal para o fazer.
JE – Onde começa e acaba essa finalidade?
AM – Imaginemos que a empresa tem dados de currículos de há 20 anos. A finalidade seria a contratação de colaboradores. Se as pessoas não foram contratadas os currículos já deveriam ter sido destruídos porque têm dados pessoais.
JE – Não faz sentido ficarem em base de dados para quando abrirem uma nova vaga.
AM – Não durante 20 anos!
JE – Qual o limite?
AM – Não há limite estabelecido. Para efeito de RH (recursos humanos) existem alguns prazos de conservação de documentos mas isso parte um pouco das empresas, elas terão de analisar quais são essas finalidades desses CV (curriculum vitae), sendo que ao fim de dois anos um CV já estará desatualizado e, por tanto, não terá muito interesse. Pergunto se faz sentido manter durante dois anos currículos desatualizados.
JE – E quem controla o processo?
AM – A própria empresa. Esta terá de definir esses prazos de retenção e de provar porque considera que são adequados.
JE – Será passível de fiscalização o facto de a empresa apagar ou manter esses dados e sobre os quais não existe nenhuma finalidade?
AM – Existe uma fiscalização por parte da Comissão Nacional de Proteção de Dados (CNPD) para saber se os tempos de retenção estão, ou não, a ser cumpridos.
JE – Quando fala em fiscalização será que quis dizer que vamos ter uma espécie de ASAE dos Dados?
AM – É isso que o Regulamento prevê.
Rui F (leitor) – Que cuidados deve ter uma empresa de consultoria que trabalhe com dados sensíveis para garantir ao cliente a confidencialidade? Basta acrescentar um acordo de não divulgação à proposta?
FR – Infelizmente não porque se fosse assim seria fácil. A questão do Regulamento não se impõe por contrato. É necessário tomar medidas para garantir que esta informação é tratada de acordo com o Regulamento. Um pouco relacionado com o “data owners” e os “data processors”, a realidade desta organização de consultoria quando ganha o controlo sobre um determinado conjunto de informação está obrigada, e não só por contrato, a garantir todos os mecanismos de segurança e de gestão de informação igualmente como se os dados fossem seus. Portanto está complemente abrangido pelo Regulamento e tem de o cumprir.
JE – Se porventura sair do JE levar um computador e me esquecer ou se for alvo de furto ou roubo isto é uma fuga de informação?
RM – A resposta é afirmativa. A questão é saber o que se tem de fazer relativamente a isso. Se os dados estiverem encriptados estaremos a falar de uma situação em que não há necessidade de informar nem a CNPD, nem a possível informação de utilizadores que estariam presentes nos dados inseridos no computador. Caso exista informação crítica dentro do equipamento terá 72 horas para formalmente informar a CNPD e se existirem dados de terceiros, dados pessoais de terceiros, haverá que informar formalmente cada um dos incluídos nas listas.
JE – Sendo eu jornalista tenho uma longa lista de contactos que foi acumulando ao longo da carreira. Eles estão no computador e em caso de furto teria de avisar todos?
RM – Sim. Faz parte do Regulamento essa informação formal.
JE – E se for uma pen?
RM – A mesma coisa.
FR – Houve um caso que não aconteceu em Portugal mas ocorreu com um cliente nosso. Alguém de um departamento levou para casa e com o objetivo de trabalhar, uma lista dos clientes e depois esqueceu-se da pen no táxi. Foi necessário avisar a CNPD desse país, assim como os titulares que estavam nessa base de dados.
JE – E os backups das empresas também têm de estar encriptados?
RM – Sim, se tiverem dados pessoais. Deverão estar encriptados até porque se ocorrer um acesso indevido à informação não terão capacidade para os interpretar como dados úteis. A boa prática em backup obriga a que os dados estejam encriptados.
FR – Diria que se os dados pessoais forem relevantes, ou seja, se estiverem debaixo do scope do Regulamento claramente devem estar encriptados. Se for informação que não reflita dados pessoais não haverá essa necessidade de encriptação de backups.
JE – Já falámos em DPO, mas em detalhe o que é e quem está obrigado a ter um DPO na sua organização?
AM – DPO (Data Protection Officer) é basicamente a pessoa que zela pelo cumprimento do Regulamento dentro das empresas. Serve como ponto de contacto dos colaboradores e dos titulares dos dados, e serve como ponto de contacto para a CNPD. As entidades obrigadas a ter um DPO são todas as instituições públicas e organismos públicos e todas as empresas que façam o processamento em larga escala de dados pessoais sensíveis, como dados médicos, ou aquelas empresas que façam a monitorização dos titulares dos dados em larga escala.
JE – O que significa dados em “larga escala”?
AM – Ainda não posso responder porque não há orientações do Grupo de Trabalho do Artigo 29, nem da CNPD, nem saiu ainda a legislação que pode vir a definir o que é “larga escala”. A minha sensibilidade diz, por exemplo, que um hospital trata dados médicos, dados sensíveis em larga escala. E o mesmo acontece com uma farmácia ou com uma rede de farmácias e isso ocorre pela sensibilidade dos dados.
RM – Se o tratamento manual for possível a fronteira entre o que é “larga escala” e o que não é “larga escala”, pode definir-se como aquilo que se consegue tratar manualmente não será “larga escala”. Mas, a partir do momento em que só com um processo automático é que se consegue tratar a informação, então passa a ser “larga escala”. Parece uma definição de bom senso. Se conseguir provar perante o Regulador que se consegue tratar, independentemente do número de informações, de forma manual, não haverá nenhum impedimento.
JE – Quem pode ser um DPO?
AM – Será alguém que conheça a fundo o Regulamento e que também tenha conhecimentos tecnológicos. E isto porque a parte de IT tem a ver com a segurança da informação e com a aplicação das medidas técnicas e organizativas sobre os dados. Esse DPO terá de saber o que é uma firewall ou o que é um anti vírus.
JE – O Filipe e o Ricardo podem ser DPO?
AM – Sim, podem ser DPO mas não poderá ser o CEO ou o diretor de Tecnologias de Informação da empresa porque é ele que vai definir as políticas de Proteção de Dados e sendo DPO não pode “auditar-se” a si próprio.
JE – Até onde vai a responsabilidade de um DPO? Poderá ser penalizado civil e criminalmente?
AM – Vamos aguardar pela legislação para ver o que sairá nesse sentido. As orientações do Grupo de Trabalho do Artigo 29 dizem que o DPO não é responsável pelo incumprimento que a empresa faça do Regulamento, ou seja, o responsável é sempre a entidade que procede ao tratamento dos dados pessoais.
JE – Quais são as penalizações para o incumprimento do RGPD. Falamos de penalizações fortes mas será que alguma vez serão aplicadas? 20 milhões de euros ou 4% do volume de negócios? Que PME portuguesa teria essa capacidade?
RM – Quando se fala de 20 milhões ou 4% aplica-se o valor mais elevado. Este tipo de sanção só será aplicada em situações de grave incumprimento e que estão identificadas e que podem levar à falência de uma empresa. E já há casos que aconteceram, embora não em Portugal. Não conheço nenhum caso entre nós mas já houve situações (no exterior) em que o não cumprimento fez com que uma empresa pudesse falir financeiramente, não pela multa, mas pelo processo e investimento que teve de fazer a seguir para, rapidamente, ficar dentro das regras do Regulamento. É penalizador não apenas a multa mas todo o investimento que rapidamente é preciso fazer para recuperar da situação.
FR – Houve uma empresa no Reino Unido com uma coima de 400 mil libras (esterlinas), que é muito longe dos máximos que falamos, mas o custo dos “remédios” foi de 42 milhões de libras. O tema deve passar ainda por tirar partido desta regulação para fazer alguma limpeza dos nossos dados e dos dados que guardamos.
Nuno R (leitor) – As imagens também são dados pessoais? Será necessário pedir o consentimento para a recolha de imagens numa feira de negócios a cada um dos presentes?
AM – É preciso o consentimento a não ser que as imagens estejam a ser recolhidas num espaço público e a público não seja identificável. Em contraste, a partir do momento em que seja identificável terá de se pedir o consentimento do titular dos dados.
JE – Esta obrigação cruza-se com a liberdade de imprensa e de informação?
AM – Cruza e uma não deve prejudicar a outra.
Intervenções finais
Ana Monteiro – O Regulamento aplica-se a todas as empresas, sejam elas pequenas, grandes, públicas ou privadas. Haverá que cumprir o Regulamento independentemente da dimensão das empresas.
Filipe Ribeiro – O RGPD é uma regulação sobre a gestão de dados pessoais e as organizações têm de se preparar tendo em vista o risco e a exposição que os dados pessoais guardam e como isso pode impactar no seu negócio. Existe a famosa regra dos 80/20 e deve olhar-se para onde está a maior parte do risco e da exposição de dados pessoais que se guarda e perceber como se irá tratar dados imediatamente. Pode envolver um investimento menor, quer em termos de recursos financeiros, quer de recursos pessoais. Ninguém espera que a 25 de maio tudo esteja 100% a funcionar com “compliance” e tudo certificado.
Ricardo Mendes – O RGPD deve ser encarado não como um mal necessário, mas como uma oportunidade de refazer uma série de procedimentos que deveriam ter sido feitos com um foco maior na gestão da empresa. É uma excelente oportunidade pois já que os procedimentos têm de ser feito, por que não encaminhar a empresa numa via de gestão de informação e de recuperação dos anos onde houve mais investimento na vertente tecnológica e menos na componente de gestão das empresas.
Este conteúdo patrocinado foi produzido em colaboração com a Noesis.
Tagus Park – Edifício Tecnologia 4.1
Avenida Professor Doutor Cavaco Silva, nº 71 a 74
2740-122 – Porto Salvo, Portugal
online@medianove.com