O Jornal Económico, em parceria com a EY, realizou no dia 21 de março um webinar sobre o novo Regulamento sobre Proteção de Dados. A emissão, em direto, contou com a presença de Carlos Basto, partner da EY e Rodrigo Lourenço, Principal, RRP Advogados. Se não teve oportunidade de acompanhar, ou se algumas questão ficou por responder, veja aqui as respostas às perguntas.
1) O que são afinal dados pessoais?
São quaisquer informações relativas a uma pessoa identificada ou identificável. Por exemplo, os dados mais comuns como um nome, um número de identificação, a morada, o números de telefone, até um endereço de IP utilizado por uma determinada pessoa. A pessoa identificável pode ser a pessoa sentada nesta mesa com cabelo grisalho, é identificável num determinado contexto.
2) Quais os primeiros passos a dar enquanto empresa?
Essencialmente, o que representa o regulamento e qual o impacto na minha empresa. O regulamento trata de dados privados e, por isso, perceber se esses dados são elementares para o meu negócio. Se são, tenho de fazer uma avaliação para perceber se estou, ou não a cumprir com o regulamento. Pode pedir ajuda, sendo que nós avaliamos o que é preconizado na organização para criar um plano de ação, com as imposições que têm de ser postas em funcionamento e responder dentro de um equilíbrio custo e benefício.
3) É possível pedir a uma empresa que crie um plano de cumprimento com a RGPD?
Sim, desde que a empresa não se demita dessa responsabilidade. Nós fazemos isso mas não basta entregar, é feito em conjunto. Porque é algo que a empresa terá de viver.
4) A RGPD faz o mesmo tipo de exigência a todas as empresas, independentemente da área onde atuem, sejam públicas ou privadas?
Depende muito do tratamento de dados pessoais que cada empresa executa. Por exemplo, as empresas business to consumer em regra, terão processos mais críticos e mais preocupações face às business to business. Ainda assim, o tratamento pode exigir um controlo interno da privacidade, como o famoso encarregado de proteção de dados (DPO) obrigatório para empresas que façam certo tipo de tratamento e para organismos públicos independentemente do tratamento, visto haver um risco acrescido de privacidade. Também as obrigações de registo são necessárias para empresas que excedam determinada dimensão em termos de trabalhadores e a própria necessidade de ter políticas internas. É uma avaliação feita caso a caso, a cargo do próprio responsável pelo tratamento que em cada momento terá de avaliar aquilo que está obrigado a fazer. Para as empresas que ainda não têm essa pessoa, devem informar-se e atualizar os seus processos, o tratamento de dados pessoais decorre desses processos. É fundamental identificar os riscos e perceber as medidas a aplicar.
5) As empresas de administração de condomínios vão ter de se adaptar em termos informáticos? Se houver uma mudança na administração do condomínio, como fazer para entregar documentação protocolar e listagem de condóminos?
É preciso saber que dados estou a tratar para funcionamento do condomínio. Se tenho dados pessoais, terão de ser aplicadas as medidas que o regulamento imana. Saliento que há a lei de proteção de dados, mas há todo um conjunto de leis que já existiam antes desta. Se eu tenho de enviar fatura e saber onde a pessoa mora para o meu negócio, esse dado apesar de pessoal é indispensável à atividade e por isso tenho de garantir que não acede a esse dado quem não deve.
Caso haja mudança de morada e se não for necessário para cumprir outro regulamento, deverá apagar o dado. Se necessitar dele para cumprir outras leis, não deverei apagar. O RGPD não se sobrepõe a um conjunto de outras leis existentes. Quanto à portabilidade, a pessoa tem o direito de a exigir para outra empresa.
6) Como se aplica o RGPD na administração pública, sendo que há diferentes dimensões de organismos?
Todos eles, seja em que escala trabalhem, terão de cumprir as regras para evitar acessos indevidos e violações de privacidade. No fundo, aplicar tudo aquilo que o regulamento vem impor.
7) Para que o RGPD passe a ser obrigatório, será necessária uma discussão das suas implicações e que sejam produzidas leis nacionais de acordo com o regulamento?
No fundo é uma questão de direito comunitário. Uma diretiva necessita de ser transposta e há um prazo para que o estado o faça. Neste momento, os estados ao terem adotado a diretiva de forma diferente, criaram realidades diferentes. Há países que já têm leis de proteção de dados mais avançadas e há sanções aplicadas que são notícia, como na Alemanha e Espanha. Este regulamento, ao contrário das diretivas, não necessita de transposição. É aplicável imediatamente. Entrará em vigo a 25 de Maio, mas o próprio regulamento refere que poderá haver legislação complementar a ser adotada por cada estado membro, mas não invalida o prazo para a sua aplicação dentre da UE.
8) O que é que o reforço da proteção de dados pode implicar na prática?
Este não é um dado de hoje e as empresas já tinham essa preocupação. Agora, questões como a encriptação, pseudonimização, anonimização dos sistemas, vai obrigar a adaptações que poderão acarretar custos. O importante é perceber quem tem de aceder aos dados e depois, definir meios de segurança adequados.
9) É importante também fazer um private impact assessement…
No fundo esse é um mecanismo para aferir o impacto sempre que haja alteração na forma como se lida com dados privados na empresa. Ao fazer este private impact assessement, pode ainda detectar fraquezas ou questões que não estão a ser endereçadas. Eu diria que é algo que tem de ser feito regularmente, apesar da lei não impor essa periocidade. Esse PIA pode ser feito por alguém dentro da empresa, e que está por dentro da organização, mas também pode ser alguém independente. Alguém externo ou pertencente a áreas de compliance ou gestão de risco.
10) Quanto às fugas de informação, e pegando numa notícia recente que deu conta da fuga de dados de 50 milhões de perfis do Facebook, o que é que isto muda na forma como interagimos com as redes sociais?
É um bom exemplo da temática da privacidade. Mostra que 50 milhões de pessoas confiaram os seus dados pessoais a uma organização e, na verdade, foram parar às mãos de terceiros que os usaram para outros fins. Há uma quebra de confiança. Quando pensamos em privacidade, temos tendência a pensar na nossa esfera mais íntima, mas na verdade onde a nossa privacidade está mais em risco é onde terceiros têm acesso à nossa informação e não ao nível doméstico.
11) Essa responsabilidade também parte de cada um, por exemplo, quando fazemos um registo através da nossa página de Facebook, estamos a dar consentimento para o uso dos dados que já estão no nosso perfil?
Geralmente aparece uma caixa de diálogo para que seja dado consentimento. Há uns ano realizou-se um estudo numa universidade de Londres, porque as pessoas normalmente não prestam atenção aos avisos de privacidade. Resolveram dar acesso livre numa determinada zona de wi-fi com um aviso de privacidade extensor que incluía coisas como: cedo a minha pessoa para escravatura, cedo os meus filhos, etc. A maior parte das pessoas não se apercebeu e deu consentimento na mesma. Esta questão mostra que as pessoas têm de se habituar a lidar de forma diferente com as questões da privacidade perante as novas tecnologias.
12) de que forma prática devem as pessoas recolher esse consentimento?
De muitas formas, mas devem fazê-lo da forma mais adequada e eficaz para a finalidade desse consentimento. Os avisos de privacidade nem sempre obrigam a consentimento, podem ser para fins de obrigações legais, por exemplo, um empregador tem de processar dados sobre um trabalhador para lhe pagar o salário, e é um caso onde o consentimento não é necessário.
13) Como se deve ser feita a gestão de dados sensíveis de beneficiários de apoio social?
Ver qual a finalidade desse tratamento, qual a legitimidade e que tipo de tratamento que é feito. A entidade pode ter essa legitimidade, mas não legitima tudo. Tem de ser feito com legalidade e dentro de princípios.
14) O RGPD aplica-se também a associações de moradores ou associações de pais?
Aplica-se a todas as organizações que façam tratamento de dados. Ou seja, tudo o que se processe fora da esfera doméstica está sujeito ao regulamento.
15) É válido criar um sistema informático com formulário para solicitar consentimento de dados pessoais?
Sim, porque o consentimento deve ser dado de forma clara e inequívoca. Diria até que será melhor assim do que a gestão de papel. Não quer dizer que estes processos em papéis desapareçam, até porque há leis que exigem manter certos registos vivos mas, caso seja possível, a desmaterialização desses dados traz benefícios. Para quem tem arquivo morto, terá de ter todos os mecanismos de segurança e de acesso limitado.
16) Durante quanto tempo podem ficar guardados os dados de armazenamento?
Isso vai depender do processo tratamento de dados. A regra diz que devem ser conservados enquanto necessários para o tratamento e logo depois serem eliminados. Há, no entanto, regras que obrigam a uma conservação mais prolongada para certos processos e essas também se impõem. Se há um cliente que solicita que os seus dados sejam apagados, terão de ser apagados, menos aqueles que vão contender com a obrigação legal. É importante haver uma política de conservação de dados.
No que diz respeito a dados biométricos de plataformas electrónicas, tem que haver uma legitimidade de tratamento. Visto serem dados sensíveis, é sempre preciso consentimento junto dos utilizadores e aplicar toda uma série de regras, tal como para os restantes dados.
17) Terei de alterar o back office para dar resposta ao RGPD?
Depende dos dados que estão a ser tratados e se o back office garante os requisitos. Direitos de privacidade, portabilidade, encriptação, todo um conjunto de requisitos do regulamento. No entanto, cada negócio é um negócio, cada dado é tratado de forma diferente e há que ter a noção de como isso é feito.
18) Já aquilo falámos de um DPO, mas ainda não explicámos a função desse DPO.
Basicamente, o DPO é o garante do cumprimento deste regulamento dentro da organização. É alguém que monitoriza e tenta garantir que as organizações estão em consonância com o RGPD.
O regulamento exige que seja alguém com as competências técnicas e funcionais adequadas sem impor uma formação específica. Uma pessoa que conheça a legislação aplicável à privacidade, os processos tecnológicos do tratamento de dados, conheça os processos utilizados pela própria empresa para poder cumprir a missão com independência. Esta é outra característica do encarregado de proteção de dados, é uma função independente que reporta ao mais alto nível. É quase como se fosse um auditor interno.
Na Europa já existem formações para DPO mas não há propriamente um “ticket” para poder ser DPO. É um cargo para o qual terá de ser nomeado. Um informático ou um jurista podem ser DPO, mas não se têm uma função dentro da organização que limite a independência nesse cargo.
19) Todas as PME são obrigadas a ter um DPO?
Existem regras para isso: empresas que processem dados em larga escala e/ou que tenham dados sensíveis. Para além disso, empresas que tenham mecanismos de automatização e de profiling desses mesmos dados, essas de certeza que têm que ter. Não está estabelecido como se mede isto, mas podemos estabelecer paralelismos. Dados sensíveis como dados de saúde ou empresas que processem um grande número de dados como o Facebook, entram neste patamar.
Há orientações, mas de acordo com o princípio da precaução ver o que pode constituir larga escala. Um consultor ou um médico que processem dados sensíveis, não o fazem em larga escala, mas um hospital já o faz. É preciso analisar e o próprio grupo de trabalho do artigo 29, que emite orientações sobre estas matérias, sugere a contratação de um DPO.
20) Até onde vai a responsabilidade de um DPO em caso de não cumprimento?
Já há alguns países onde essa questão é alvo de legislação específica. Eu diria que um DPO não é mais responsável do que um auditor interno. É um agente do responsável do tratamento de dados que o ajuda a cumprir com a lei. Mas a responsabilidade principal é de quem faz o tratamento de dados.
21) No caso de uma entidade subcontratada com acesso aos dados do responsável pelo tratamento, é necessário que ambas as entidades possuam um DPO?
Sim, existe o conceito do tratador e controlador. Se ambas cumprirem os requisitos para ter DPO, terão de ter DPO.
22) Tenho uma listas de emails para fins de marketing obtidos antes deste regulamento. Posso continuar a usá-los?
Mais uma vez depende como foram obtidos e do tratamento que faz. Isto liga com a legislação E Privacy, que também será revista. Para o marketing será sempre preciso consentimento. Há exceções, mas como regra o consentimento é preciso.
23) Que alterações terão de ser feitas aos contratos com empresas de serviços externos?
Há alterações standard que devem ser verificadas: o tipo de dados e o tratamento que são feitos, os sistemas de segurança, a obrigatoriedade de não recorrer a outros subcontratantes sem autorização do titular dos dados etc…
Outras dependerão do tratamento para que decorra dentro do que é o regulamento.
24) Como posso compatibilizar um simples sistema de facturas com o RGPD, existindo dados obrigatórios para a emissão de facturas?
Se os dados são necessários não tem de a alterar. Tem de garantir que a informação é necessária, como é o caso do NIF e da morada, desde que cumpra os mecanismos de segurança e só acede quem deve aceder.
25) As empresas que contactam com clientes via email e SMS, tendo recebido consentimento verbal anteriormente, terão de obter novo consentimento?
São obrigados a fazer prova desse consentimento. Em determinados casos esse consentimento, feito por chamadas, é válido. Se o consentimento já cumpria com os novos requisitos pode ser mantido, caso não o seja deverá ser repetido.
26) O RGPD também se aplica ao B2B?
Sim, estamos a falar de dados pessoais de colaboradores e tipicamente as empresas armazenam esses dados ou até de prestadores de serviços.
Alguém que faça processamento de salários para terceiros está num negócio B2B, deixando de haver dúvidas que o regulamento se aplica.
27) Será que as PME têm capacidade financeira para fazer as alterações necessárias ao cumprimento do regulamento?
É um desafio. Portugal tinha lei mas que não era monitorizada, que levou a que a maturidade das organizações portuguesas com este tema era baixa. No entanto, empresas terão de fazer esse investimento sem se endividar. Importante é que naquela data saibam quais são os seus problemas e que os possam endereçar.
28) Vai haver uma entidade fiscalizadora?
Sim, está definido que vai haver uma entidade fiscalizadora que em princípio será a CNPD, depende da regulamentação adicional. Tendo em conta as medidas impostas, sobretudo uma maior consciencialização das pessoas, essa autoridade deverá ter uma presença mais efetiva. A vertente das ações para pedidos de indemnização por violação dos direitos de privacidade também é importante. O regulamento abre porta para que isso possa acontecer. Em que haja entidades a representar lesados para pedir coimas muito significativas.
29) Em PME com sistemas de videovigilância com a respectiva autorização da CNPD, qual a adaptação necessária?
Mais uma vez tem que garantir o sistemas de segurança adequados, de retenção para os fins corretos. Todo um conjunto que se aplica a outros dados pessoais e que também se aplica à videovigilância.
30) Qual a vossa opinião sobre a preparação do tecido empresarial português para a aplicação do RGPD?
O que sentimos é que existe três tipos de empresas: as que já estão a pensar nisto há muito tempo e próximas de dar resposta ao regulamento, outras que já avaliaram o que terão de fazer e têm um plano para fechar, e um grande número de empresas que ainda nem sequer começou a trabalhar sobre o assunto. Às últimas diria que terão de começar a trabalhar.
A maior parte das empresas está a partir tarde para o cumprimento do regulamento, mas o dia 25 de maio é apenas o começo, seguindo-se um longo caminho.
31) Uma escola, que possui cerca de 130 colaboradores e 700 aluno ativos, num total de registos pessoais que ronda os 7.000 titulares, deve nomear um DPO?
Importa ter em conta que numa escola, estamos permanentemente a tratar dados pessoais (avaliações, faltas, etc.).
Sendo uma escola pública, em princípio tem de nomear um DPO (pode haver um único DPO para um conjunto de autoridades ou organismos públicos, dependendo da respetiva estrutura organizacional e dimensão).
Sendo uma escola privada, dependerá de se considerar que efetua um tratamento de dados em grande escala, conceito que o Regulamento não define. Havendo dúvidas, é recomendável a nomeação de um DPO, quer seja em regime de exclusividade de funções, de acumulação ou de prestação de serviços.
32) Todos os ficheiros que contenham dados pessoais são considerados um ficheiro de dados? (Ex. nome dos alunos a participar numa atividade, cotação das respostas a teste, etc.).
Sim, qualquer conjunto estruturado de dados pessoais é um ficheiro de dados pessoais.
33) Para a Autoridade Tributária (AT) é necessário manter os dados do cliente para re-imprimir documento, comunicar vendas ao e-fatura e outros casos? O que fazer ao ” esquecimento”
pedido pelo cliente? Dizer ao cliente que não pode “esquecer” os dados?
O exercício do direito ao apagamento dos dados não se aplica na medida em que existam causas de justificação, entre as quais o cumprimento de obrigações legais. Deve ser informado ao cliente isso mesmo, com indicação expressa da obrigação legal em causa.
34) Os e-mails de caráter pessoal enviados do e-mail profissional podem prejudicar o trabalhador, mesmo enviados fora do horário de expediente?
A resposta a esta questão depende em grande medida da existência de regras de utilização do correio eletrónico definidas pela empresa; o princípio geral é de que os trabalhadores gozam do direito de reserva e confidencialidade sobre o conteúdo de mensagens de natureza pessoal, mas tal não prejudica a possibilidade da sua divulgação por terceiros com legitimidade.
35) No alojamento local, temos a obrigação legal de informar ao SEF os dados dos nossos hóspedes estrangeiros. De que forma o novo regulamento se aplica a estes casos?
O cumprimento de todas as obrigações legais continua a ser obrigatório, justificando certas operações específicas de tratamento de dados pessoais, como é o caso desta comunicação ao SEF.
Este conteúdo patrocinado foi produzido em colaboração com a EY.
Taguspark
Ed. Tecnologia IV
Av. Prof. Dr. Cavaco Silva, 71
2740-257 Porto Salvo
online@medianove.com