REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

CNIS promove sessões sobre os principais desafios para as IPSS

É um dos assuntos do momento no mundo inteiro e não o é pelas melhores razões. A recente polémica em torno da Cambridge Analytica, e da suspeita de que a empresa inglesa terá manipulado as eleições presidenciais norte-americanas ou o Brexit, entre outros atos eleitorais, que arrastou consigo, para já, a rede social Facebook, é a prova de que todo o cuidado é pouco quando se trata de dados pessoais ou organizacionais. Nesse sentido, e com o aproximar da data de entrada em vigor do Regulamento Geral de Proteção de dados, têm-se multiplicado as ações de esclarecimento promovidas por diversas entidades, com a CNIS a promover quatro em diversos pontos do País.
Os dados, hoje, são já encarados como o «novo petróleo» e algo bastante valioso neste mundo globalizado e fortemente mercantilista. Quem souber e tiver capacidade técnica para melhor tratar toda essa informação que circula no mundo digital tem uma vantagem enorme sobre a concorrência. Sim, hoje tudo gira em torno de ter vantagem sobre, muitas vezes sem olhar a meios para.
Por isso, há que tratar essa informação (muitas vezes delicada) com todo o cuidado e bastante rigor, tentando minimizar os riscos de eventuais maus usos ou fugas.
Cientes disto, as instâncias europeias decidiram intensificar os seus esforços para garantir a maior segurança possível dos dados, criando o Regulamento Europeu de Proteção de Dados (REPD), que entra em vigor em toda a União Europeia no próximo dia 25 de maio.
Não foi agora que a Europa acordou para esta questão, pois já em 1995 havia emitido a Diretiva 95/46/CE. No entanto, a sua aplicação foi pouco eficaz, pelo que a Comissão Europeia optou por criar este novo regulamento, obrigando todos os Estados-membros à sua implementação a partir do dia 25 de maio.
Não sendo, portanto, algo de totalmente novo, a verdade é que o REPD introduz algumas alterações significativas na forma como os dados pessoais são tratados pelas organizações.
Segundo o jurista José Luís Monteiro, “as instituições não devem deixar de fazer o que já fazem”, têm é que tomar mais cuidados e adequar a sua atuação às novas regras.
De momento a confusão ainda é grande, inclusive no seio das entidades que têm que liderar este processo e que têm autoridade sobre a matéria, no caso a Comissão Nacional de Proteção de dados, que é quem superintende a estas questões.
Perante a chegada da data limite (25 de maio) e o ainda grande desconhecimento sobre o que realmente está em causa em termos de procedimentos, têm-se multiplicado as sessões de esclarecimento, workshops e formações, algumas das quais a garantirem certificações para encarregados de proteção de dados, o que não corresponde à realidade (ver caixa).
Muitas das Uniões Distritais têm fomentado sessões sobre a questão e a CNIS não ficou de fora.
Inicialmente estava previsto apenas um workshop, mas o interesse e a adesão das instituições associadas foi tão grande que os responsáveis da CNIS avançaram para quatro sessões, em três locais diferentes.
Assim, as sessões de esclarecimento sobre Proteção de Dados nas IPSS e os desafios trazidos pelo novo Regulamento Geral de Proteção de Dados (RGPD) arrancaram no passado dia 20 de março, em Fátima, direcionada às IPSS dos distritos de Castelo Branco, Coimbra, Guarda, Leiria e Portalegre.
Seguem-se, no dia 10 de abril, novamente em Fátima, um workshop para as associadas do distrito de Santarém e, no dia 16 de abril (inicialmente agendada para dia 19), é a vez de Setúbal acolher, na Igreja Beato Scalabrini (Amora), uma nova sessão para as instituições de Beja, Évora, Faro, Lisboa e Setúbal.
O calendário fica completo com uma sessão no Porto, no Centro Social S. Martinho Aldoar, direcionada às IPSS associadas dos distritos de Aveiro, Braga, Bragança, Porto, Viana do Castelo, Vila Real e Viseu.
Os workshops decorrem entre as 10h00 e as 17h00 e são dinamizados pelo advogado José Luís Monteiro, Associado Sénior da «FCB - F. Castelo Branco & Associados».
Genericamente, estas sessões têm o seguinte programa: 1. Enquadramento geral - Novo quadro jurídico; 2. Obrigações para IPSS e outras entidades que exercem uma atividade económica – reforço e criação de obrigações; 3. Encarregado da proteção de dados; 4. Impactos na gestão de recursos humanos; 5. Responsabilidades e sanções; 6. Plano de ação técnico e operacional.
“Ir ao encontro das necessidades específicas das instituições e das diferentes respostas sociais é o objetivo da CNIS com estes workshops”, afirmou João Dias, presidente-adjunto da CNIS, na sessão de Fátima, revelando que “o que se pretende é elaborar um guião para que as instituições estejam preparadas para as visitas do Instituto da Segurança Social”.
Desmistificando um pouco a questão do RGPD, o advogado José Luís Monteiro lembrou que “nas IPSS tem que haver comando e controlo sobre os dados” face a esta “mudança de paradigma, em que as IPSS é que têm que garantir os 173 considerandos do RGPD, quando antes o controlo estava na CNPD”.
Com a entrada em vigor em 25 de maio de 2018, substituindo a diretiva de 1995 e a lei de proteção de dados em vigor, o Regulamento Geral de Proteção de Dados será supervisionado pela Comissão Nacional de Proteção de Dados e versa matérias como: a informação aos titulares dos dados; o exercício dos direitos dos titulares dos dados; o consentimento dos titulares dos dados; a natureza dos dados; a documentação e registo; a subcontratação; os processos de Segurança e Tratamento de Dados; a proteção de dados desde a conceção; a notificação de violações de segurança; as coimas; ou o encarregado de Proteção de Dados (DPO – Data Protection Officer).
Este elemento que o RGPD introduz tem criado alguma preocupação entre os responsáveis das IPSS, com alguns a considerarem a eventualidade de ter que aumentar o quadro de pessoal. Não é forçoso que assim seja, nem tão pouco que a função não possa ser desempenhada cumulativamente por um colaborador da instituição.
O regulamento introduz a figura do Encarregado de Proteção de Dados que terá um papel de controlador dos processos de segurança para garantir a proteção de dados no dia-a-dia da instituição. Refira-se que a existência desta figura não é obrigatória e depende das organizações e da sua dimensão.

ALERTA ÀS IPSS

A proximidade da data limite para a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), 25 de maio, não deve, segundo a CNIS, levar as instituições a apressar procedimentos e a desperdiçar recursos.
Igualmente, no primeiro workshop realizado em Fátima, o palestrante José Luís Monteiro alertou para o facto de não existirem ainda formações certificadas respeitantes à questão da proteção de dados.
Nesse dia 20 de março algumas instituições deram sinal de que já estariam a procurar integrar os seus futuros encarregados de proteção de dados em programas de certificação. Isto, pura e simplesmente, ainda não existe.
Nesse sentido, a CNIS já emitiu a informação às associadas de que: “Ainda não existe certificação de encarregados de proteção de dados com a necessária validade, à luz do RGPD e da lei nacional; e que, de acordo com o comunicado do Conselho de Ministros emitido dia 22 de Março, será o Instituto Português de Acreditação que irá assumir a responsabilidade de acreditação dos organismos de certificação em matéria de proteção de dados”.
Como são muitas as ações de esclarecimento sobre o RGPD levadas a efeito por empresas de consultoria com anúncios de certificação, a CNIS recomenda “às instituições que aguardem até que esta matéria esteja adequadamente regulamentada e esclarecida antes de procederem à contratualização de tais certificações”.
O advogado José Luís Monteiro deixou esta ideia bem clara, no workshop que decorreu em Fátima: “Neste momento não há certezas absolutas e, por isso, não se deixem levar pelas pressas do mercado”.
Rumores veiculados na reunião davam conta de haver entidades no mercado a criar o medo entre as instituições e a pedir valores na ordem dos sete/oito mil euros, prometendo algo que ainda ninguém sabe muito bem como vai ser.
“É preciso serenidade, a pressa existe é no mercado”, alertou José Luís Monteiro.
Para ajudar todos os que têm que pôr em prática o novo Regulamento, a Comissão Nacional de Proteção de Dados criou uma área no seu site com «10 medidas para preparar a aplicação do REPD».
Para que as entidades públicas e privadas possam ir acompanhando o trabalho que está a ser desenvolvido conjuntamente pelas autoridades de proteção de dados, a nível europeu, a CNPD disponibiliza através do link https://www.cnpd.pt/bin/rgpd/rgpd.htm um espaço dedicado ao RGPD, com o objetivo de atingir uma aplicação uniforme do documento, tendo já emitido orientações concretas em diversas áreas.
Neste espaço é ainda possível dar contributos através das consultas públicas que estejam a decorrer por iniciativa do Grupo do Artigo 29.º.

Pedro Vasco Oliveira (texto e fotos)

 

Data de introdução: 2018-04-06