arte - pôr em pratica o rgpd.pdf 1 16/07/18 14:56 · 3.4.1 encarregado de proteção de dados...
TRANSCRIPT
C
M
Y
CM
MY
CY
CMY
K
Arte - Pôr em pratica o RGPD.pdf 1 16/07/18 14:56
© F
CA
Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções.
Não nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à data de publicação da mesma.
Os nomes comerciais referenciados neste livro têm patente registada.
Reservados todos os direitos. Esta publicação não pode ser reproduzida, nem transmitida, no todo ou em parte, por qualquer processo eletrónico, mecânico, fotocópia, digitalização, gravação, sistema de armazenamento e disponibilização de informação, sítio Web, blogue ou outros, sem prévia autorização escrita da Editora, exceto o permitido pelo CDADC, em termos de cópia privada pela AGECOP – – Associação para a Gestão da Cópia Privada, através do pagamento das respetivas taxas.
Edição FCA – Editora de Informática, Lda.Av. Praia da Vitória, 14 A – 1000-247 Lisboa Tel: +351 213 511 448 [email protected]
distribuição
Lidel – Edições Técnicas, Lda.Rua D. Estefânia, 183, R/C Dto. – 1049-057 LisboaTel: +351 213 511 448 [email protected]
Livraria
Av. Praia da Vitória, 14 A – 1000-247 Lisboa Tel: +351 213 511 448 * Fax: +351 213 522 [email protected]
Copyright © 2018 FCA – Editora de Informática, Lda. ISBN edição impressa: 978-972-722-896-61.ª edição impressa: julho 2018
Paginação: Carlos MendesImpressão e acabamento: Cafilesa – Soluções Gráficas, Lda. – Venda do PinheiroDepósito Legal n.º 443783/18Capa: José M. Ferrão – Look-Ahead
Marcas registadas de FCA – Editora de Informática, Lda. –
EDIÇÃO FCA – Editora de Informática, Lda. Av. Praia da Vitória, 14 A – 1000-247 Lisboa Tel: +351 213 511 448 [email protected] www.fca.pt DISTRIBUIÇÃO Lidel – Edições Técnicas, Lda. Rua D. Estefânia, 183, R/C Dto. – 1049-057 LISBOA Tel: +351 213 511 448 [email protected] www.lidel.pt LIVRARIA Av. Praia da Vitória, 14 – 1000-247 LISBOA Tel: +351 213 511 448 * Fax: +351 213 173 259 [email protected] Copyright © abril 2016, FCA – Editora de Informática, Lda. ISBN: 978-972-722-830-0 1.ª edição impressa: abril 2016 Paginação: Alice Simões Impressão e acabamento: A definir Depósito Legal N.º Aguardar Capa: José Manuel Reis Ilustração da capa: Miguel Montenegro
Marcas Registadas de FCA – Editora de Informática,
Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto, aconselhamos a consultaperiódica do nosso site (www.fca.pt) para fazer o download de eventuais correções. Não nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadasà data de publicação da mesma. Os nomes comerciais referenciados neste livro têm patente registada.
Reservados todos os direitos. Esta publicação não pode ser reproduzida, nem transmitida, no todo ou em parte, por qualquer processo eletrónico, mecânico, fotocópia, digitalização, gravação, sistema de armazenamento e disponibilização de informação, sítio Web, blogue ou outros, sem prévia autorização escrita da Editora, exceto o permitido pelo CDADC, em termos de cópia privada pela AGECOP – Associação para a Gestão da Cópia Privada, através do pagamento das respetivas taxas.
FCA®
III
© F
CA
ÍNDICE
O Autor V
Agradecimentos VI
Lista de Siglas, Abreviaturas e Acrónimos VII
Introdução IX
1 O Hoje Digital 1
1.1 Novas Tecnologias 3
1.1.1 Algoritmo 6
1.1.2 Inteligência Artificial (IA) 8
1.1.3 Machine Learning ou Aprendizagem Automática 10
1.1.4 Bioinformática ou Biologia Computacional 13
1.1.5 Internet das Coisas (IoT) 17
1.1.6 Big Data 19
1.1.7 Cloud ou tecnologia da nuvem 22
2 Nós e o RGPD 25
2.1 Nós: Quem ou o Quê? 28
2.2 Definições 32
2.3 Direitos 40
2.3.1 Consentimento 42
2.3.2 Licitude, lealdade e transparência no tratamento dos dados 43
2.3.3 Limitação das finalidades e dos dados 45
2.3.4 Exatidão 46
2.3.5 Limitação de conservação 47
2.3.6 Integridade e confidencialidade 48
2.4 O RGPD e os direitos do titular dos dados 48
2.5 Limites aos direitos 50
2.6 Os nossos deveres 52
© F
CA
IV
3 As Organizações e o RGPD 57
3.1 Inventário 63
3.2 Ciclo de vida dos dados 66
3.3 O método “entra em cena” 68
3.4 Empresas não são prédios, são pessoas 73
3.4.1 Encarregado de proteção de dados (EPD) 78
3.5 O todo é maior do que a simples soma das suas partes 82
3.5.1 A “ratoeira” da Internet 83
3.5.2 As três zonas a proteger 86
3.6 O perigo mora cá dentro 89
3.6.1 Autenticar os utilizadores 91
3.6.2 Rastrear acessos e gerir incidentes 94
3.6.3 Proteção dos postos de trabalho 95
3.6.4 Proteção da informática móvel 96
3.6.5 Proteger a casa 96
3.7 Processos 98
3.8 O Legal 102
3.9 Avaliação de Impacto sobre a Proteção de Dados (AIPD) 105
3.9.1 Gestão da subcontratação 108
3.10 “Quick Wins ou Desenrascanço” 111
3.11 Transparência e accountability 113
Conclusão 121
Bibliografia 133
ANEXOS 137
I Regulamento Interno de Proteção de Dados 139
II Ferramenta de Auxílio para Avaliação de Riscos 147
III Modelo de Contrato de Subcontratação 149
IV Avaliar o Nível de Segurança 155
V O RGPD, Visão, Missão e Stakeholders 157
Índice Remissivo 159
V
© F
CA
O AUTOR
Licenciado em Engenharia Eletrotécnica pelo Instituto Superior Técnico e com MBA (Master of Business Administration) pela Universidade Nova de Lisboa (UNL)/The Wharton School. Empresário, gestor profissional, confe-rencista e formador certificado, desempenhou funções de liderança e desen-volvimento de projetos, planeamento estratégico, novos negócios, redução de custos e redesenho organizativo. É atualmente Associate Partner de uma consultora especializada em privacidade e proteção de dados pessoais. Foi presidente da Associação dos Antigos Alunos MBA da UNL (AMBA) e tam-bém presidente do The Lisbon MBA Alumni (associação de antigos alunos da Nova School of Business & Economics e da Católica Lisbon School of Business & Economics). Autor de livros e artigos vários na área da Gestão.
© F
CA
IX
© F
CA
INTRODUÇÃO
“Um líder da mudança encara a mudança como uma oportunidade. Um líder da mudança procura a mudança, sabe como encontrar as mudanças certas e sabe como torná-las eficazes tanto no exterior da organização como no interior. Fazer
o futuro comporta um risco elevado. Contudo, é menos arriscado do que não tentar fazê-lo.”
Peter F. Drucker, consultor administrativo e professor de origem austríaca (2000)
O tema deste livro é o novo Regulamento Geral de Proteção de Dados (RGPD), o seu impacto na vida de todos nós e na das entidades privadas e organismos públicos.
No dia 4 de maio de 2016, a União Europeia (UE) publicou um novo Regula-mento Geral de Proteção de Dados (RGPD) (Regulamento UE 2016/679, de 27 de abril de 20161). Este novo quadro legal acarreta algumas mudanças com impacto no dia a dia das entidades (empresas e organismos públicos e privados), que tinham, até 25 de maio de 2018, de implementar as novas diretivas. Isto significa que existem no espaço da UE novas leis e regras relacionadas com dados (informação) localizados algures e referentes a pes-soas/cidadãos. Estamos a falar de muitos milhões de pessoas, que vão ter as suas vidas alteradas pelas decisões ou pela mudança de atitude de algu-mas centenas ou milhares de outras pessoas que trabalham nas entidades privadas ou públicas.
Parlamentares democraticamente eleitos pelos cidadãos da UE e estrutu-ras de cúpula do governo dessa mesma UE decidiram que tinha chegado o momento de alterar o statu quo da tecnologia e da ciência da informática/ /computação, no que dizia respeito à proteção da privacidade dos cidadãos residentes na Europa dos 28. Para já, convém que conheçamos algumas
1 Todas as referências ao longo do livro dizem respeito e estão em conformidade com o Regulamento UE 2016/679, de 27 de abril.
X
PÔR EM PRÁTICA O RGPD
© F
CA
das razões da criação deste novo Regulamento, que se encontram descritas em parte dos 173 considerandos que precedem os 11 capítulos e os 99 artigos que o compõem:
• Considerando (1) – “A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia (“Carta”) e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.”
• Considerando (2) – “Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. O presente regulamento tem como objetivo contribuir para a realiza-ção de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares.”
• Considerando (4) – “O tratamento dos dados pessoais deverá ser concebido para servir as pessoas. O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. O pre-sente regulamento respeita todos os direitos fundamentais e observa as liberdades e os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liber-dade de expressão e de informação, a liberdade de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística.”
• Considerando (6) – “A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa es-cala sem precedentes no exercício das suas atividades. As pessoas singulares dispo-nibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas tecnologias transformaram a economia e a vida social e deverão contribuir para facilitar a livre circulação de dados pessoais na União e a sua transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais.”
– Continua –
XI
Introdução ©
FC
A
das razões da criação deste novo regulamento, que se encontram descritas em parte dos 173 considerandos que precedem os 11 capítulos e os 99 artigos que o compõem:
• Considerando (1) – “A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. o artigo 8.º, n.º 1, da Carta dos direitos Fundamentais da união Europeia (“Carta”) e o artigo 16.º, n.º 1, do tratado sobre o Funcionamento da união Europeia (tFuE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.”
• Considerando (2) – “os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. o presente regulamento tem como objetivo contribuir para a realiza-ção de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares.”
• Considerando (4) – “o tratamento dos dados pessoais deverá ser concebido para servir as pessoas. o direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. o pre-sente regulamento respeita todos os direitos fundamentais e observa as liberdades e os princípios reconhecidos na Carta, consagrados nos tratados, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liber-dade de expressão e de informação, a liberdade de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística.”
• Considerando (6) – “A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa es-cala sem precedentes no exercício das suas atividades. As pessoas singulares dispo-nibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas tecnologias transformaram a economia e a vida social e deverão contribuir para facilitar a livre circulação de dados pessoais na união e a sua transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais.”
– Continua –
– Continuação –
• Considerando (7) – “Esta evolução exige um quadro de proteção de dados sólido e mais coerente na união, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utili-zação que é feita dos seus dados pessoais. deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas.”
• Considerando (14) – “A proteção conferida pelo presente regulamento deverá aplicar--se às pessoas singulares, independentemente da sua nacionalidade ou do seu local de residência, relativamente ao tratamento dos seus dados pessoais. o presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coleti-vas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva.”
• Considerando (15) – “A fim de se evitar o sério risco de ser contornada a proteção das pessoas singulares, esta deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas. A proteção das pessoas singulares deverá aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se forem destina-dos a um sistema de ficheiros. os ficheiros ou os conjuntos de ficheiros bem como as suas capas, que não estejam estruturados de acordo com critérios específicos, não deverão ser abrangidos pelo âmbito de aplicação do presente regulamento.”
• Considerando (22) – “Qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado na união deverá ser feito em conformidade com o presente regulamento, independentemente de o tratamento em si ser realizado na união. o estabelecimento pressupõe o exercício efetivo e real de uma atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jurídica, não é fator determinante nesse contexto.”
Lidos estes considerandos que nos explicam qual o objetivo deste rGPd, não podemos esquecer que nesta Europa da união não existem apenas os decisores políticos e os legisladores parlamentares. Existem também filósofos, especialistas em geopolítica do risco, professores de ética, compositores de música clássica, gente das artes visuais, economistas e econometristas, professores de leis que ministram cursos designados “Questions of applied ethics after the digital turn” e outros que ensinam ética e tecnologia.
XII
PÔR EM PRÁTICA O RGPD
© F
CA
Esta cacofonia do conhecimento europeu resulta apenas de uma rápida leitura que fiz ao curriculum dos membros do Ethics Advisory Group da European Data Protection Supervisor (EDPS) (ou Grupo de Aconselhamento Ético da Autoridade Europeia para a Proteção de Dados). Tal significa que esta questão dos dados pes-soais, das novas tecnologias, como a inteligência artificial (IA), a cloud (ou nuvem), as grandes bases de dados, os algoritmos, as neurociências, a blockchain, não são temas apenas do foro da ciência e das leis, antes são “coisas” que dizem respeito a todos nós. Assim, não será de estranhar que um dos homens mais influentes nestas matérias seja um israelita, Yuval Noah Harari, professor de história, que lan-çou, em 2015, um livro intitulado Homo Deus, que prevê que amanhã o Homem irá subir ao Olimpo da Grécia Antiga com a pretensão de se tornar membro de pleno direito do clube dos deuses. Confuso? Eu também!
A pergunta é: que papel desempenha este “clube dos sábios europeus”? Nada melhor do que conhecer algumas das frases de Giovanni Butarelli, na abertura do Relatório da EDPS (2018), “Towards a Digital Ethics2” (“Na procura de uma ética digital”):
“Hoje, a Ética e a Proteção dos Dados Pessoais estão interligadas como nunca. Muitos temas relacionados com a Ética envolvem os dados pessoais e as autoridades que su-pervisionam estas áreas defrontam-se com questões éticas que o Direito por si só não consegue resolver.
A Ética e o Direito desempenham um importante papel nas nossas sociedades. A ne-cessária convergência entre estas duas áreas do conhecimento permitir-nos-á colocar o ser humano, a sua experiência e dignidade no centro das nossas preocupações.”
Este Relatório produzido pelos membros da EDPS (2018) lida de forma apro-fundada com esta questão, apresentando as mudanças principais geradas pela revolução digital e o impacto que têm sobre os nossos valores fundamentais. Eis alguns dos considerandos e conclusões que se podem encontrar nas cerca de 30 páginas deste Relatório3 (EDPS, 2018):
“(…) A EDPS identificou várias mudanças tecnológicas que requerem o repensar das re-lações entre tecnologia e valores humanos e nos conduzem à formulação de uma ‘nova ética digital’: grandes bases de dados geradas a partir de uma miríade de fontes, desde
2 O texto abaixo apresentado corresponde a uma tradução da responsabilidade do autor.3 Idem.
– Continua –
– Continuação –
– Continua –
XIII
Introdução ©
FC
A
Esta cacofonia do conhecimento europeu resulta apenas de uma rápida leitura que fiz ao curriculum dos membros do Ethics Advisory Group da European Data Protection Supervisor (EdPS) (ou Grupo de Aconselhamento Ético da Autoridade Europeia para a Proteção de dados). tal significa que esta questão dos dados pes-soais, das novas tecnologias, como a inteligência artificial (IA), a cloud (ou nuvem), as grandes bases de dados, os algoritmos, as neurociências, a blockchain, não são temas apenas do foro da ciência e das leis, antes são “coisas” que dizem respeito a todos nós. Assim, não será de estranhar que um dos homens mais influentes nestas matérias seja um israelita, Yuval noah Harari, professor de história, que lan-çou, em 2015, um livro intitulado Homo Deus, que prevê que amanhã o Homem irá subir ao olimpo da Grécia Antiga com a pretensão de se tornar membro de pleno direito do clube dos deuses. Confuso? Eu também!
A pergunta é: que papel desempenha este “clube dos sábios europeus”? nada melhor do que conhecer algumas das frases de Giovanni Butarelli, na abertura do relatório da EdPS (2018), “towards a digital Ethics2” (“na procura de uma ética digital”):
“Hoje, a Ética e a Proteção dos dados Pessoais estão interligadas como nunca. Muitos temas relacionados com a Ética envolvem os dados pessoais e as autoridades que su-pervisionam estas áreas defrontam-se com questões éticas que o direito por si só não consegue resolver.
A Ética e o direito desempenham um importante papel nas nossas sociedades. A ne-cessária convergência entre estas duas áreas do conhecimento permitir-nos-á colocar o ser humano, a sua experiência e dignidade no centro das nossas preocupações.”
Este relatório produzido pelos membros da EdPS (2018) lida de forma apro-fundada com esta questão, apresentando as mudanças principais geradas pela revolução digital e o impacto que têm sobre os nossos valores fundamentais. Eis alguns dos considerandos e conclusões que se podem encontrar nas cerca de 30 páginas deste relatório3 (EdPS, 2018):
“(…) A EdPS identificou várias mudanças tecnológicas que requerem o repensar das re-lações entre tecnologia e valores humanos e nos conduzem à formulação de uma ‘nova ética digital’: grandes bases de dados geradas a partir de uma miríade de fontes, desde
2 o texto abaixo apresentado corresponde a uma tradução da responsabilidade do autor.3 Idem.
– Continuação –
as administrações públicas às empresas privadas, às redes sociais e outras plataformas online, a Iot ou Internet das Coisas, as redes de sensores, a inteligência artificial, em particular as learning machines ou máquinas de aprendizagem própria, etc. Assim, as tecnologias digitais requerem o que na nossa opinião se designaria por um ‘ecossis-tema de proteção contra as grandes bases de dados’, isto é, um sistema composto por um conjunto regulatório interativo e responsável pela regulação, accountability ou prestação de contas, transparência e códigos de ética orientados para a preservação da privacidade (…).
(…) A questão é se sim ou não a representação digital das pessoas pode expô-las a novas formas de vulnerabilidade ou dano. Assim, a proteção dos dados pessoais não é um problema jurídico ou técnico, é antes uma atitude profundamente humana (…).
(…) Por exemplo, os princípios limitadores da finalidade do tratamento e da minimização dos dados e sua conservação poderão entrar em conflito com algumas das premissas e aplicações das grandes bases de dados criadas para a quase infinita recolha e retenção de informação existente no formato digital e com a agravante do propósito do trata-mento ser desconhecido antes da respetiva análise algorítmica ter sido levada a cabo. Sabe-se que o propósito de uma análise algorítmica de grandes bases de dados é, mui-tas vezes, descobrir padrões invisíveis para o conhecimento humano existentes nesses dados e não confirmar ideias, testar hipóteses ou encontrar relações de causa/efeito.
Para além disso, a sofisticação técnica e a complexidade das regras da proteção dos dados pessoais, juntamente com os novos sistemas de processamento (por exemplo, máquinas inteligentes e algoritmos de deep learning ou aprendizagem profunda) podem ter o efeito de distanciar as autoridades de supervisão do correto espírito de proteção dos dados (…).
(…) o rGPd é um verdadeiro produto da globalização no sentido em que considera não só a localização do processamento dos dados/informação, como acontece na atual diretiva (1995), mas também se a informação pessoal/dados relativos aos residentes na uE estão a ser processados em qualquer outra parte do mundo. ou seja, empresas e outras organizações localizadas fora do espaço da união ficam também sob a alçada deste regulamento (…).
(…) A nova era digital gera novas questões éticas sobre o que significa ser-se humano em relação aos dados pessoais, acerca do nosso conhecimento e experiência. Força--nos a reexaminar a forma como vivemos e trabalhamos e como socializamos enquanto comunidades. Afeta as nossas relações com os outros e talvez mais importante, a re-lação com o nosso eu. Se aceitarmos a ideia desta nova realidade digital, também es-taremos a aceitar tudo o que ela aporta de mudança à nossa condição de ser humano.”
XIV
PÔR EM PRÁTICA O RGPD
© F
CA
Lidas estas frases, o que podemos concluir? Que este problema da proteção da vida privada dos residentes na UE é deveras complexo, que envolve, por certo, muito debate entre os especialistas do direito, opiniões divergentes nas áreas da filosofia, sociologia, e também nas áreas tecnológica e científica e que abarca ideo-logias, culturas, usos e costumes de 28 países (o Reino Unido também participou na feitura do RGPD).
Persistem ainda dúvidas em muitos conceitos que surgem no RGPD, como, por exemplo, o que é tratamento em grande escala de dados? Isto refere-se a empre-sas que tenham mais de 250 trabalhadores ou às que tenham grandes departa-mentos informáticos em que meia dúzia de técnicos façam tratamento automati-zado de gigabytes ou terabytes de informação? Já nos processos informáticos de anonimização, como interpretar o conceito de segurança, quando existem chaves que dão acesso à informação da pessoa? E no que se refere ao livre fluxo de dados para países terceiros, como e quem avalia se o destinatário possui ou não um nível adequado de proteção?
Conseguir que 28 países estejam em perfeito acordo quanto a conceitos, medidas tecnológicas, processos, etc., é impossível, pelo que o RGPD é um documento que deixa (e bem) uma margem muito lata de interpretação para os legisladores nacionais. Nada disto retira a enorme importância que este RGPD tem e terá, a nível mundial, na questão da proteção da privacidade das pessoas.
É necessário também que as sociedades reflitam sobre as suas próprias escolhas nesta questão da privacidade, pois estamos longe do consenso, havendo quem considere o universo como um fluxo de dados e o valor de cada um de nós será o contributo que dermos para o processamento de dados. Para estas novas corren-tes de pensamento, a privacidade dos dados pessoais não é um direito universal da Humanidade, sendo, antes, um travão ao desenvolvimento tecnológico e cien-tífico. A ciência moderna está a dizer-nos que não somos o centro de tudo, apenas seres orgânicos mais desenvolvidos do que os outros, mas, na essência, somos um algoritmo no qual não existe (ou não se encontrou até hoje) alma ou livre arbí-trio, e mesmo a consciência não passará de uma ilusão.
Há cientistas a garantirem-nos que, no futuro, existirão mentes digitais que serão uma emulação, isto é, uma cópia integral da mente humana. Estarão estes cien-tistas a especular ou terão já comprovado a validade das suas teorias, bastando o desenvolvimento tecnológico de novos supercomputadores para a criação desses novos seres, ou coisas, que tornarão muitos seres humanos em algo de inútil? Esta é uma questão que deixo para a capacidade criativa dos cérebros que estejam
XV
Introdução ©
FC
A
a ler este livro. de qualquer forma, chegou o momento de começarmos a pensar nestas matérias e nas profundas mudanças que provocarão na sociedade. E o amanhã é já hoje!
o que eu espero com este livro é que o leitor entre em contacto com esse pouco conhecido mundo da ciência (a computação, as neurociências, a bioinformática, a IA, etc.) e da tecnologia (o algoritmo, a Internet das Coisas [Iot, do inglês Internet of Things], a aprendizagem automática, etc.) e entenda como é que a informação que a nós diz respeito, os nossos dados pessoais, se tornou um problema de pri-vacidade à escala mundial. todos nos admiramos como é que os dados pessoais se tornaram, quase do dia para a noite, na commodity do século xxi, a ponto de nos vermos constrangidos à sua regulação (alguns falam até de autorregulação) com a criação deste rGPd, que mais não é do que o culminar de um trabalho legisla-tivo iniciado pela uE na década de 1980, regulado, depois, pela primeira vez, pela diretiva 95/46/CE (diretiva de Proteção de dados), que, então, foi revogada pelo rGPd, com efeitos a partir de 25 de maio de 2018, e que, por certo, continuará a desenvolver-se com a experiência da sua implementação.
Este rGPd e as suas consequências para nós, cidadãos, e para todo o tecido empresarial – muito em especial as pequenas e médias empresas (PME) – e organismos públicos constituem os temas dos capítulos do livro. não se trata apenas de um manual de como bem cumprir regras e atingir-se a compliance, ou conformidade, recorrendo-se a pessoas, processos, tecnologias informáticas e compreensão de enquadramento legal. tudo isto é importante e necessário e será tratado nestas páginas, pois o tema – há que ser realista – é complexo e ainda mal compreendido.
também é objetivo deste livro que todo o esforço dos legisladores da uE seja compreendido por todas as partes interessadas – ou stakeholders – e visto como um desafio e uma oportunidade para a criação de uma sociedade mais participativa e que tem algo a dizer sobre o seu futuro mais próximo, no que toca ao desen-volvimento científico e tecnológico. Aqui falar-se-á também da responsabilidade social não apenas das entidades empresariais e públicas, como também da cida-dania ativa, de um contrato social que enquadre o desenvolvimento tecnológico no respeito pelos direitos e liberdades de todos, colocando o ser humano, a sua experiência e dignidade no centro das nossas preocupações.
XVI
PÔR EM PRÁTICA O RGPD
Eu não aceito que a mudança não ocorra e não advogo o regresso ao passado. O trabalho dos cientistas e dos tecnólogos da informação pressiona a sociedade, cada vez mais, para uma mudança de paradigma, para novos desafios. E se o Grupo de Aconselhamento Ético da EPDS refere que as novas tecnologias (o algo-ritmo, a IA, a aprendizagem automática, a IoT, a bioinformática, a cloud, etc.) estão na origem da criação do RGPD, é conveniente que este livro comece por tentar descrever, em linguagem simples, o que é que essas tecnologias fazem, como apareceram, a quem servem e que reais perigos podem representar para a priva-cidade de todos nós. No Capítulo I, “O Hoje Digital”, abordarei este tema, antes de falar em “Nós e o RGPD” e “As Organizações e o RGPD”, títulos dos Capítulos 2 e 3, respetivamente.
A meu ver, este RGPD é uma primeira resposta entre muitas possíveis. Espero que quando chegar ao final deste livro, o leitor também se sinta motivado a participar, a saber mais e, se assim o entender, a questionar, a discordar e a propor alterações e mudanças de rumo. Uma vez que a ciência e a tecnologia são produto da criati-vidade desse Homo sapiens que somos todos nós, esse progresso pertence-nos e terá de estar ao serviço de todos, e não apenas de uma parte economicamente mais favorecida.
Luís Antunes
1O HOJE DIGITAL
© F
CA
3
© F
CA
“Desde o início do rápido desenvolvimento da tecnologia, as pessoas esperam que o futuro lhes traga novas coisas que venham melhorar as suas vidas quotidianas.
Muitos de nós temem até, agora, que as mudanças possam ser demasiado rápidas e demasiado profundas, para que possam ser assimiladas pela maioria da população.”
Arlindo Oliveira, professor e Presidente do Instituto Superior Técnico (2017)
1.1 NOVAS TECNOLOGIAS
Se atentarmos aos considerandos do RGPD, podemos ler frases como “As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas ativida-des”. Por outro lado, no Relatório produzido pelos membros da EDPS (2018), diz-se que “(...) as tecnologias digitais requerem o que na nossa opinião se designaria por um ‘ecossistema de proteção contra as grandes bases de dados’” e quando, mais à frente neste livro, na “Conclusão”, se falar no estudo sobre IA da responsa-bilidade da Câmara dos Lordes do Reino Unido (House of Lords, Select Commit-tee on Artificial Intelligence UK, 2018), aparecer-nos-á o seguinte alerta: “É claro para nós que existe a necessidade de se melhorar a iliteracia – transversal à nossa sociedade – sobre a compreensão destas novas tecnologias e conhecimentos científicos (...)”.
Isto significa que não fará qualquer sentido falar-se em RGPD a um público tão vasto como o dos cidadãos e o das entidades públicas e empresas privadas sem que se fale, primeiro, do que está por trás de tanta preocupação com a represen-tação digital das pessoas, o que implica conhecer o “estado da arte” da ciência e da tecnologia computacional. Não sendo especialista nestas matérias, a minha perspetiva é a de um gestor que quer saber quem faz, por que faz, o que faz e para quem faz, porque, quer se queira quer não, do que se fala é de produtos/serviços que devem trazer mais-valia para a sociedade. Vejamos se é assim e se efetiva-mente se confirma a necessidade de um RGPD.
Etimologicamente, o termo “tecnologia” refere-se às técnicas, artes e ofícios e ao uso da lógica ou do conhecimento. Hoje, terá uma maior relação com a utilização dos conhecimentos mais avançados da ciência, e todos nós es-peramos e desejamos que a tecnologia sirva para melhorar as nossas vidas.
4
PÔR EM PRÁTICA O RGPD
© F
CA
Não tenho dúvidas de que este desígnio esteja a ser cumprido em múltiplos campos, como na saúde, no aumento da expectativa de anos de vida, na melho-ria das comunicações, nos transportes, no ensino ou na segurança. A tecnologia não me assusta, pois não prevejo, por causa dela, o fim da nossa espécie, não a culpo pelas alterações climáticas nem pelas derrocadas financeiras, e não penso que esteja a gerar mais guerras do que, por exemplo, as religiões, por muito “santificadas ou justas” que possam ser. Aliás, a tecnologia que fez com que o avanço científico na fissão nuclear se transformasse em bombas capazes de destruir a nossa espécie teve o efeito contrário (com a lamentável exceção dos dois bombardeamentos atómicos de Hiroshima e Nagasaki): levar os decisores políticos a refrearem a sua vontade de dominação mundial. As Coreias, do Norte e do Sul, ainda existem, isto apesar de a vontade do general cowboy americano Douglas MacArthur, destituído, em 1951, como comandante das forças da Orga-nização das Nações Unidas (ONU), pelo presidente Harry Truman, de as destruir com a utilização de bombas atómicas.
Este caso do MacArthur ilustra bem o meu posicionamento: o problema não está na tecnologia, mas na utilização que lhe é dada pelo Homem. Yurval Harari relem-bra-nos o caso do nascimento da cirurgia plástica, uma tecnologia que levanta muitos problemas na sociedade moderna. A cirurgia plástica nasce durante a I Guerra Mundial com o cirurgião Harold Gillies, que começou a utilizar novas técnicas para a reconstrução facial e de outras partes do corpo devido a queima-duras, estilhaços de bombas, balas, etc. Outros cirurgiões aprenderam com ele e propagaram a técnica para curar outros feridos e também para embelezar pessoas saudáveis a troco de “chorudas” contas em clínicas privadas. A questão é do foro ético: que direito terá uma filha de 18 anos a pedir como prenda de aniversário um nariz mais bonito, a um custo que daria para pagar centenas de medicamen-tos em falta nos hospitais públicos na depauperada Venezuela de 2018? E não é que tais operações continuam a ser possíveis na capital do dito país, em clínicas luxuosas onde nada falta?
Se pensarmos bem, há centenas de exemplos de má utilização – ou, pelo menos, de ética duvidosa – das novas tecnologias em múltiplas áreas: engenharia genética, nanotecnologia, medicina regenerativa, manipulação cibernética, tratamento de grandes bases de dados, profiling, IA, machine learning (aprendizagem automática), etc. Como espécie, o Homo sapiens já não será capaz de derrotar o computador Watson, da IBM, numa partida de xadrez; porém, ainda temos o saber alimentado pela experiência que nos ensina que “é melhor prevenir/regular do que remediar”. Em parte, este novo RGPD é uma tentativa de prevenção não contra as novas
5
O HOJE DIGITAL ©
FC
A
tecnologias – em parte alguma do articulado se proíbem as novas tecnologias digi-tais ou outras –, mas contra o seu mau uso, abuso ou roubo. Lamentavelmente, o estado da arte destas novas tecnologias não é devidamente conhecido e aplicado por toda a Europa, havendo países com grandes atrasos, Portugal incluído. Veja-se, por exemplo, o que se passa nas PME e até nos organismos públicos em relação à cibersegurança, um dos maiores riscos que as sociedades modernas têm de enfrentar – daí a necessidade de neste livro se falar um pouco do tópico das novas tecnologias. Atentemos no caso abaixo:
A segunda-feira, 5 de fevereiro de 2018, e o mini-crash das bolsas
Dos noticiários económicos:
“Entre segunda e terça-feira (5 e 6 de fevereiro de 2018), os principais índices bolsistas mundiais têm estado sob forte pressão, protagonizando um mini-crash que ainda não se sabe quanto tempo durará. Os analistas falam num movimento de correção após os má-ximos recentes e não encontram razões para acreditar que se trate de um movimento profundo. O índice industrial Dow Jones chegou a tombar mais de 6%, o índice do medo disparou mais de 100%, para o valor mais alto desde 2015. Quebras que se alas-traram à Ásia nesta segunda-feira, com o índice japonês Nikkei a recuar 5%, na maior perda diária desde novembro de 2016, mas também à Europa, que arrancou a sessão a desvalorizar perto de 3%, a maior desvalorização desde o Brexit (…).”
Uau! O que é que aconteceu aqui? Mas que tipo de incidente financeiro gerou esta abrupta queda dos índices? Felizmente que os grandes sábios que todos os dias analisam as Bolsas encontraram a explicação: “os mercados estão em ‘modo correção’”, disse fulano, ou “não há sinais macroeconómicos ou empresariais que que me levem a pensar que não se trate de mais do que uma correção”, pensa o reputado beltrano, ou “os fundamentais estão sólidos, o risco de uma correção maior é real, não há razão para pânico, há uma oportunidade para corrigir alguns desequilíbrios”, afirmou o conhecido tecnocrata sicrano.
Alguns dias volvidos e quando as Bolsas regressam ao “normal”, seja lá isso o que for, correm rumores de que tudo não teria passado de um ligeiro descontrolo dos computadores e algoritmos que regem a Bolsa de Wall Street, o que causou o chamado flash crash (queda-relâmpago), isto é, a retirada em cascata e rápida de ordens de compra que provoca uma baixa nos preços. Mas, afinal, que tecnologias e computadores são estes que interferem até numa das áreas mais sensíveis da vida humana moderna: o dinheiro, a compra e venda, os mercados?
6
PÔR EM PRÁTICA O RGPD
© F
CA
1.1.1 Algoritmo
Recolhi do livro Mentes Digitais, a Ciência Redefinindo a Humanidade, de Arlindo Oliveira (2017), Presidente do Instituto Superior Técnico, a seguinte frase: “Os al-goritmos estão em toda a parte, e a vida moderna não seria a mesma sem eles.”
Podemos daqui extrair que os algoritmos são como os carros, estão por todo o lado e, sem eles, já não conseguimos viver. Mas não é bem assim, pois Arlindo Oli-veira (2017) acrescenta que sem os algoritmos os computadores, os sistemas de navegação, os smartphones, os gadgets de todo o tipo e até os carros, os navios e os aviões não poderiam ser criados ou funcionar com a sofisticação que se lhes reconhece. Estranha realidade esta, pois, desde jovem e, por acaso, no Instituto Superior Técnico, habituei-me a olhar para o algoritmo como se de uma receita culinária se tratasse. Felizmente, a obra Mentes Digitais, a Ciência Redefinindo a Humanidade (Oliveira, 2017) confirma que o algoritmo não passa de uma simples receita para se atingir qualquer propósito. Mas o que é que isto tem a ver com computadores?
Por estranho que pareça, um computador é uma máquina recheada de componen-tes eletrónicos ainda mais burra do que o veículo de transporte do candidato, isto porque sem programas para executar – o chamado software –, o mesmo só con-some corrente e, quando muito, acendem-se umas minúsculas lâmpadas ou LED. E é nesta execução de programas que entra o algoritmo, uma espécie de “maestro de orquestra” que explica ao computador como efetuar cálculos matemáticos es-pecíficos, de forma a produzir sinfonias de resultados úteis e sem os quais o Homo sapiens do século xxi, se calhar, não saberia viver.
O algoritmo, portanto, é comparável a uma receita culinária muito sofisticada e pormenorizada, em que o quanto baste de sal e açúcar não entra, tendo de se escrever “junte ou some” 8 gramas de sal e/ou 12 gramas de açúcar. E já que falei em soma ou operação aritmética, existem algoritmos que ensinam ao computador que pequenos passos o mesmo deve executar, quer para calcular o número de hectares de terra arável existentes no planeta, caso se encontrem todas as parce-las, por muitas que sejam, da adição.
Ainda a propósito de algoritmos, existem aqueles mais sofisticados que “ensinam” a técnica da aprendizagem automática ao computador, fazendo com que este, longe de não evoluir do seu estádio primitivo, atinja píncaros de conhecimento que são inacessíveis ao maior génio humano. O computador digital poderá ser, hoje, algo “idoso”, pois o primeiro a sério que se conhece, o Electronic Numerical
2NÓS E O RGPD
© F
CA
32
PÔR EM PRÁTICA O RGPD
© F
CA
ou ignorar o que os europeus pensam sobre a privacidade dos cidadãos e sobre certa posição de “reis e senhores” da Internet – que eles não criaram ou pagaram – e das tecnologias de informação e comunicação.
2.2 DEFINIÇÕES
Tanto o RGPD como o Manual da Legislação Europeia sobre Proteção de Dados, da responsabilidade da Agência dos Direitos Fundamentais da União Europeia (FRA) e do Conselho da Europa, publicado em abril de 2014, são rigorosos na definição de muitos termos que podem parecer algo triviais. Em caso de dúvidas, devemos consultar um advogado. Eis alguns dos mais importantes termos referidos no ca-pítulo I (“Disposições Gerais”), artigo 4.º (“Definições”), do RGPD:
“Dados pessoais – informação relativa a uma pessoa singular identificada ou identifi-cável (‘titular dos dados’); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identi-ficadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;”
Notem que a chamada “geolocalização” ou o endereço IP (Internet Protocol) do nosso smartphone ou portátil constituem também dados pessoais, muito embora não apareça escrito em nenhum servidor1 que indivíduo de Nome/Apelido esti-vesse na Rua “A”, n.º “XZ”, às 03:54 do dia 23/07/2020; porém, tendo o aparelho um proprietário, a pessoa é identificável. O mesmo se aplica ao quadro da Administra-ção Pública que viu, por força da sua nomeação, a sua identidade, local de trabalho e função exercida publicados em Diário da República. Em ambos os casos, não é pelo facto de os dados poderem constar de uma fatura de uma empresa, por exemplo, de telecomunicações, ou do Diário da República que os mesmos deixam de ser privados e passam a públicos.
Exemplificando, uma empresa que decida colecionar todos os documentos oficiais de constituição de empresas e crie uma base de dados com os nomes, moradas
1 Um servidor (computador ou software) realiza tarefas para outros computadores numa rede e/ou aloja serviços para outras máquinas e/ou utilizadores. Há servidores, entre outros, de aplicações (os programas ficam no servi-dor e são acedidos pelos clientes), de ficheiros (relativamente a ficheiros), de correio eletrónico (a máquina que centraliza a receção e o envio do correio eletrónico e o distribui pelos clientes) e de Web (o sistema que aloja um ou mais sites e que serve páginas Web aos visitantes).
33
NóS E O RGPD ©
FC
A
ou ignorar o que os europeus pensam sobre a privacidade dos cidadãos e sobre certa posição de “reis e senhores” da Internet – que eles não criaram ou pagaram – e das tecnologias de informação e comunicação.
2.2 DEFINIÇÕES
Tanto o RGPD como o Manual da Legislação Europeia sobre Proteção de Dados, da responsabilidade da Agência dos Direitos Fundamentais da União Europeia (FRA) e do Conselho da Europa, publicado em abril de 2014, são rigorosos na definição de muitos termos que podem parecer algo triviais. Em caso de dúvidas, devemos consultar um advogado. Eis alguns dos mais importantes termos referidos no ca-pítulo I (“Disposições Gerais”), artigo 4.º (“Definições”), do RGPD:
“Dados pessoais – informação relativa a uma pessoa singular identificada ou identifi-cável (‘titular dos dados’); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identi-ficadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;”
Notem que a chamada “geolocalização” ou o endereço IP (Internet Protocol) do nosso smartphone ou portátil constituem também dados pessoais, muito embora não apareça escrito em nenhum servidor1 que indivíduo de Nome/Apelido esti-vesse na Rua “A”, n.º “XZ”, às 03:54 do dia 23/07/2020; porém, tendo o aparelho um proprietário, a pessoa é identificável. O mesmo se aplica ao quadro da Administra-ção Pública que viu, por força da sua nomeação, a sua identidade, local de trabalho e função exercida publicados em Diário da República. Em ambos os casos, não é pelo facto de os dados poderem constar de uma fatura de uma empresa, por exemplo, de telecomunicações, ou do Diário da República que os mesmos deixam de ser privados e passam a públicos.
Exemplificando, uma empresa que decida colecionar todos os documentos oficiais de constituição de empresas e crie uma base de dados com os nomes, moradas
1 Um servidor (computador ou software) realiza tarefas para outros computadores numa rede e/ou aloja serviços para outras máquinas e/ou utilizadores. Há servidores, entre outros, de aplicações (os programas ficam no servi-dor e são acedidos pelos clientes), de ficheiros (relativamente a ficheiros), de correio eletrónico (a máquina que centraliza a receção e o envio do correio eletrónico e o distribui pelos clientes) e de Web (o sistema que aloja um ou mais sites e que serve páginas Web aos visitantes).
e restante identificação dos respetivos corpos sociais está a fazer tratamento de dados pessoais que não têm por base o consentimento ou disposição do RGPD ou da lei, nos termos do artigo 6.º do RGPD. Assim sendo, a empresa incorre em contraordenação muito grave, punida com coima de 2.000,00 € a 20.000.000,00 € ou 4% do volume de negócios anual.
“Tratamento – uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não auto-matizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por trans-missão, difusão ou qualquer outra forma de disponibilização, a comparação ou interco-nexão, a limitação, o apagamento ou a destruição;”
Como exemplo, imaginemos que uma diligente funcionária de uma farmácia re-solveu reunir receitas e faturas de clientes e criou no computador da empresa um ficheiro Excel com dez linhas, uma por cliente, e cinco colunas: nome, telefone, medicamento, tipo de doença e reposição da receita, em número de dias. O docu-mento fica, assim, com 50 células, cada uma contendo um dado que é pertença não da farmácia, mas de clientes identificáveis por quem tiver acesso a tal ficheiro. Isto é ilegal, porque houve aqui recolha, registo, organização e estruturação de dados pessoais sem que os titulares dos dados tivessem conhecimento de tal ficheiro, da sua razão de existência, do prazo de conservação, além de que a farmá-cia não solicitou o devido consentimento. Voltemos, então, ao RGPD para vermos o que é “consentimento”.
“Consentimento do titular dos dados – uma manifestação de vontade, livre, especí-fica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;”
Já o diz o ditado “De boas intenções está o inferno cheio”. O que a diligente fun-cionária da farmácia deveria ter feito seria, primeiro, falar (presencialmente, ou por telefone ou e-mail) com os clientes e explicar-lhes a sua intenção de criar o ficheiro; segundo, dizer-lhes que precisava do seu consentimento explícito para tal; ter-ceiro, dar-lhes conhecimento de que os dados seriam conservados pela farmácia durante um determinado prazo (em questão de dados sobre saúde, a conservação
3AS ORGANIZAÇÕES E O RGPD
© F
CA
106
PÔR EM PRÁTICA O RGPD
© F
CA
Mais uma vez, o texto é longo e algo confuso – é obrigatório ou não e em que casos? –, daí que seja melhor tentarmos clarificar (chamo a atenção para o anexo II deste livro, que ajuda a perceber, através de três simples inquéritos, que tipo de empresas estarão, em princípio, dispensadas desta AIPD):
“A AIPD é uma ferramenta que permite avaliar, antecipadamente, quais são os poten-ciais riscos a que estão expostos os DP em função das atividades de tratamento a que são sujeitos. A análise dos riscos para um determinado tratamento permite identificar os riscos atinentes aos dados dos titulares e desenhar uma resposta/solução adotando as salvaguardas necessárias para reduzi-los até um nível de risco aceitável.”(UE, 2017a)
Deste modo, o RGPD prevê que as AIPD sejam realizadas “antes do tratamento”, nos casos em que seja provável a existência de elevados riscos para os direitos e as liberdades dos titulares dos dados pessoais. Assim sendo, isto não se aplica às operações de tratamento em curso à data da aplicabilidade da lei. Mas vejamos, na prática, o que é uma AIPD, analisando a Figura 3.6.
Este esquema da Figura 3.6 acerca da AIPD mostra que existem cinco fases:
1. Análise preliminar – No fundo, implica uma tomada de decisão acerca do tipo de dados e riscos e se a lei obriga ou não a uma AIPD.
2. Contexto – Com base nos dados e respetivo ciclo de vida, analisam-se a propor-cionalidade e a necessidade do tratamento.
3. Gestão de riscos – Quais são as ameaças e riscos presentes, como avaliar ou classificar os níveis de risco e como tratá-los.
4. Conclusão e validação – Qual é o plano de ação a seguir e que conclusões haverá a retirar (por exemplo, qual é a real probabilidade de um incidente e como resolvê-lo).
5. Supervisão – A partir deste ponto, trata-se da implementação dos processos, da manutenção e, se possível, da melhoria.
Além destes cinco passos, ou etapas, e para todo o processo, existem duas “guias”: a assessoria de todo o processo feita pelo EPD (caso exista) e a necessi-dade de revisão da totalidade do processo, no caso de haver mudanças ou novos tipos de tratamento de dados pessoais.
107
AS ORGANIZAÇõES E O RGPD ©
FC
A
Mais uma vez, o texto é longo e algo confuso – é obrigatório ou não e em que casos? –, daí que seja melhor tentarmos clarificar (chamo a atenção para o anexo II deste livro, que ajuda a perceber, através de três simples inquéritos, que tipo de empresas estarão, em princípio, dispensadas desta AIPD):
“A AIPD é uma ferramenta que permite avaliar, antecipadamente, quais são os poten-ciais riscos a que estão expostos os DP em função das atividades de tratamento a que são sujeitos. A análise dos riscos para um determinado tratamento permite identificar os riscos atinentes aos dados dos titulares e desenhar uma resposta/solução adotando as salvaguardas necessárias para reduzi-los até um nível de risco aceitável.”(UE, 2017a)
Deste modo, o RGPD prevê que as AIPD sejam realizadas “antes do tratamento”, nos casos em que seja provável a existência de elevados riscos para os direitos e as liberdades dos titulares dos dados pessoais. Assim sendo, isto não se aplica às operações de tratamento em curso à data da aplicabilidade da lei. Mas vejamos, na prática, o que é uma AIPD, analisando a Figura 3.6.
Este esquema da Figura 3.6 acerca da AIPD mostra que existem cinco fases:
1. Análise preliminar – No fundo, implica uma tomada de decisão acerca do tipo de dados e riscos e se a lei obriga ou não a uma AIPD.
2. Contexto – Com base nos dados e respetivo ciclo de vida, analisam-se a propor-cionalidade e a necessidade do tratamento.
3. Gestão de riscos – Quais são as ameaças e riscos presentes, como avaliar ou classificar os níveis de risco e como tratá-los.
4. Conclusão e validação – Qual é o plano de ação a seguir e que conclusões haverá a retirar (por exemplo, qual é a real probabilidade de um incidente e como resolvê-lo).
5. Supervisão – A partir deste ponto, trata-se da implementação dos processos, da manutenção e, se possível, da melhoria.
Além destes cinco passos, ou etapas, e para todo o processo, existem duas “guias”: a assessoria de todo o processo feita pelo EPD (caso exista) e a necessi-dade de revisão da totalidade do processo, no caso de haver mudanças ou novos tipos de tratamento de dados pessoais.
Supervisionar e rever a implementação
Plano de ação e conclusões
Descrever o ciclo de vida dos dados
Identificar ameaças e riscos
Avaliar os riscos
Tratar os riscos
Analisar a necessidade e proporcionalidade do tratamento
Analisar a necessidade de efetuar uma AIPD
Contexto
Gestão de riscos
Conclusão e validação
Supervisão
1
2
3
4
5
6
Análise preliminar
Con
sulta
e a
sses
soria
feita
pel
o E
PD
Rev
er p
eran
te m
udan
ças
no t
rata
men
to
Figura 3.6 • Avaliação de Impacto sobre Proteção de Dados (https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf, adaptado de Agencia
Española de Protección de Datos, 2018)
Talvez o esquema da Figura 3.6 desiluda um pouco os leitores, que gostariam de ver, na prática, como o método deve ser executado. A realidade é que o esquema está traduzido em aplicativos ou programas de software que as empresas de con-sultoria devem ter. Acontece que estas ferramentas de trabalho são propriedade das consultoras e não de divulgação pública. No fundo, seguem o fluxo de trabalho descrito na Figura 3.6, que é completado com uma série de questionários que, na minha opinião, devem estar adaptados aos diversos tipos de dados, tratamentos e indústrias ou áreas de negócio.
AAnexo I – Regulamento Interno de Proteção de Dados
Anexo II – Ferramenta de Auxílio para Avaliação de Riscos
Anexo III – Modelo de Contrato de Subcontratação
Anexo IV – Avaliar o Nível de Segurança
Anexo V – O RGPD, Visão, Missão e Stakeholders
ANEXOS
147
© F
CA
ANEXO II
FERRAMENTA DE AUXÍLIO PARA AVALIAÇÃO DE RISCOS
Os inquéritos apresentados neste anexo constituem uma base de aferição simples sobre a necessidade da organização ter ou não de realizar uma Avaliação de Im-pacto sobre a Proteção de Dados (AIPD).
Se nos três seguintes inquéritos, a empresa responder “Nenhum dos anteriores”, pode afirmar-se que, em princípio, não realiza tratamentos que impliquem um alto risco para os direitos e as liberdades das pessoas, como dados de saúde ou tra-tamentos massivos de dados, entre outros. Assim sendo, não precisará de efe-tuar uma AIPD. Por norma, o tipo de pequena e média empresa (PME) com estas características só faz tratamento de dados pessoais de clientes, fornecedores e trabalhadores.
De qualquer forma, estes inquéritos não dispensam a colaboração de consultores especializados em proteção de dados.
A) Setores de atividade da PME:
A atividade da sua empresa pertence a algum dos seguintes sectores? Assinale:
Saúde
Solvência patrimonial e crédito
Geração e uso de perfis pessoais
Atividades políticas, sindicais ou religiosas
Serviços de telecomunicações
Seguros
Entidades bancárias e financeiras
Atividades de serviços sociais
Publicidade
Videovigilância massiva (átrios de estações ou centros comerciais)
Nenhum dos anteriores
© F
CA
148
PÔR EM PRÁTICA O RGPD
B) Tipos de dados existentes na PME:
A sua empresa trata algum dos dados da listagem? Assinale:
Dados que revelem origem étnica ou racial
Dados de opiniões políticas ou religiosas
Dados genéticos
Dados biométricos identificativos de pessoas, de forma unívoca
Dados de saúde física ou mental
Dados relativos à vida sexual ou orientação sexual
Dados relativos a condenações ou infrações penais
Geolocalização
Nenhum dos anteriores
C) Tipos de tratamento realizados pela PME:
A sua empresa realiza algum dos seguintes tratamentos de dados pessoais? Assinale:
Faz ou analisa perfis
Faz publicidade e prospeção comercial massiva a potenciais clientes
Presta serviços de exploração de redes públicas ou serviços de comunicação eletrónica
Gere associados ou membros de partidos políticos, sindicatos, igrejas, confissões ou comunidades religiosas, fundações ou outras entidades sem fins lucrativos, cuja finalidade seja política, filosófica, religiosa ou sindical
Gestão, controlo sanitário ou venda de medicamentos
Historial clínico ou sanitário
Nenhum dos anteriores
C
M
Y
CM
MY
CY
CMY
K
Arte - Pôr em pratica o RGPD.pdf 1 16/07/18 14:56