REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Saber o estritamente justificado e assegurar a confidencialidade

Quem nunca, ao intentar saber mais sobre um outro, ouviu uma resposta do género: “A tua vida não te chega?”. O novo paradigma da proteção de dados assenta precisamente nesta ideia, ou seja, saber apenas aquilo que é necessário e manter essa informação segura. Com a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), no dia 25 de maio, são as IPSS que têm que garantir o que até agora era responsabilidade da Comissão Nacional de Proteção de dados (CNPD): a segurança dos dados pessoais.
Para que não haja confusões, é importante começar por dizer que o RGPD só é aplicável a dados pessoais, isto é, a dados de pessoas singulares e não de organizações.
Por isso, importa perceber o que são dados pessoais. Segundo o artigo 4º do RGPD, dados pessoais são “informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular”.
Portanto, os dados sobre os quais se aplica o novo regulamento, no que às IPSS diz respeito, serão, em princípio, os de terceiros (utentes, familiares ou outros) e dos trabalhadores. Dentro destes, o regulamento considera ainda categorias especiais de dados, como os que eram anteriormente designados por dados sensíveis, que são aqueles que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical; dados genéticos, dados biométricos, dados relativos a saúde, a vida sexual ou orientação sexual. Neste caso, a regra geral é a proibição de tratamento (n.º 1 do artigo 9.º).
Por tratamento de dados entende-se “uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”.
A esta altura é conveniente passar uma mensagem bastante repetida nas diversas sessões de esclarecimento promovidas pela CNIS, em vários pontos do país, e que pretende tranquilizar as instituições. Não adianta ir atrás da pressa do mercado e contratar indiscriminadamente serviços a empresas que, como toda a gente, estão a navegar à vista, porque ainda há muita indefinição sobre diversos aspetos da aplicação do RGPD.
“Tem havido grande pressão sobre as IPSS para comprarem soluções, mas ainda há muito por esclarecer e muito por definir”, tem dito João Dias, presidente-adjunto da CNIS, nas várias sessões, avisando: “Cuidado com os aproveitamentos do mercado!”.
Foi notório nas iniciativas da CNIS que as IPSS estão preocupadas, ávidas por explicações e respostas e ansiosas por ter tudo em ordem no dia 25 de maio. Mas aquilo que podem desde já ir fazendo é o levantamento dos dados tratados, mapeando as maiores fragilidades identificadas, para em seguida implementarem o regulamento, devendo conseguir demonstrar os passos para essa mesma implementação.
Isto porque, a partir de agora, as IPSS têm que ter o controlo e o comando sobre os dados pessoais que tratam e garantir a sua confidencialidade e segurança, seguindo determinados princípios como a licitude, lealdade e transparência, a limitação de finalidades, a minimização dos dados, a exatidão, a limitação de conservação, a integridade e confidencialidade e, por fim, a responsabilidade.
Recorde-se ainda que, como as IPSS passam a ter de garantir o cumprimento do RGPD, devem exigir aos subcontratantes (empresas que fornecem serviços e que podem, eventualmente, tratar dados cuja responsabilidade é da IPSS) os mesmos níveis de segurança que a instituição tem implementados.
O tratamento dos dados pessoais deverá respeitar os direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados e à privacidade dos seus titulares. No fundo, o regulamento alicerça-se num conjunto de normas legais que regulam a forma de tratar informação sobre as pessoas, com respeito pelos direitos fundamentais, mas também não tem como objetivo proibir a utilização de informação pessoal e a recolha de dados nas instituições, que pode e deve continuar a ser feita. Porém, há que dar atenção e assegurar a confidencialidade e a segurança do armazenamento.
E, neste sentido, a minimização na recolha é logo um passo determinante no cumprimento do regulamento, evitando-se a posse de dados que efetivamente não são necessários.
É por isso que é muito importante que no seio da instituição sejam criados níveis de acesso aos dados, para que se saiba de forma clara quem tem acesso a que informação e porquê. Ou seja, os dados não devem estar acessíveis a toda a gente na instituição.
Para acautelar estas diversas questões, é importante que haja na instituição uma pessoa responsável pelos dados, mesmo quando a instituição não esteja sujeita à obrigação de ter um DPO (sigla resultante da designação inglesa Data Protection Officer, que em português é um encarregado de proteção de dados).
Esse responsável funcionará como interlocutor em relação aos titulares dos dados e também em relação à própria autoridade de controlo (a CNPD).
Nos casos em que a instituição tem um grande número de trabalhadores, ou faz tratamento de dados em grande escala ou grande quantidade de dados sensíveis (não havendo ainda, porém, a definição de parâmetros sobre o que consubstancia larga escala, ou grande quantidade, para este efeito), então será necessário ter um DPO.
O encarregado pela proteção de dados pode ser do quadro de pessoal da instituição, garantida que esteja a sua independência perante a Direção, e sê-lo a tempo parcial ou em exclusivo, ou então ser contratado externamente. Deve ser um perito em legislação sobre dados pessoais e seu tratamento, podendo ser exclusivo da instituição ou partilhado com outras.
Contudo, a existência do encarregado de proteção de dados, interno ou externo, não desresponsabiliza a instituição. No caso de o DPO ser uma entidade terceira e se houver uma quebra de segurança, a responsabilidade, em última instância, é sempre da instituição. Essencial, então, é a instituição garantir que cumpre todos os procedimentos exigidos para o caso de haver brechas de segurança (as quais têm necessariamente de ser comunicadas à CNPD em 72 horas).
Note-se que o DPO não tem que ter acesso aos dados, mas sim que informar e aconselhar a instituição, o subcontratante e os trabalhadores a respeito das suas obrigações legais, monitorizar o cumprimento da lei, dar formação, realizar auditorias, prestar aconselhamento no que respeita à avaliação de impacto sobre a proteção de dados, articular com o titular dos dados e cooperar e servir de ponto de contacto com a CNPD.
Com a implementação do RGPD, há também um conjunto de novas obrigações para as IPSS, como sejam a avaliação de impacto das operações de tratamento de dados; o registo de atividades de tratamento de dados; a implementação de medidas técnicas e organizativas que garantam a conformidade com a lei e a integridade e segurança dos dados (por exemplo, a pseudonimização e a privacidade por defeito); a consulta prévia em casos específicos (ainda não regulamentado).
Importa ainda destacar que a identificação do fundamento jurídico para o tratamento dos dados é crucial para demonstrar o cumprimento com o novo regulamento.
O tratamento de dados tem fundamento no caso de haver consentimento expresso, o qual deve ser livre, explícito e informado; se decorrer da execução de um contrato ou para realizar diligências pré-contratuais; para cumprimento de uma obrigação jurídica; na defesa de interesses vitais do titular dos dados ou de outra pessoa singular; para exercício de funções de interesse público ou exercício da autoridade pública de que esta? investido o responsável pelo tratamento; ou ainda na prossecução de interesses legítimos pelo responsável pelo tratamento ou por terceiros, desde que com garantias de respeito pelos interesses ou direitos e liberdades fundamentais do titular.
Quanto ao consentimento, as instituições devem ter sempre presente que, no caso de não terem como obter o consentimento (livre, explícito e informado) de um utente, o consentimento prestado por um familiar não tem qualquer valor, excepto se este último for o representante legal do utente.
Por outro lado, na relação com os trabalhadores, muitos dos quais têm, na prática, acesso a dados pessoais, alguns deles sensíveis (como, por exemplo, os dados de saúde), a instituição deve sempre garantir a confidencialidade, pelo menos para aqueles trabalhadores que não estejam legalmente obrigados a sigilo profissional.
As quebras de segurança, para além do dano reputacional, serão exemplarmente punidas, com as coimas a poderem chegar aos 20 milhões de euros ou 4% da facturação (consoante o valor concretamente mais alto).
Para implementarem o RGPD, há um conjunto de passos organizacionais internos que as instituições podem levar a cabo: formação aos funcionários sobre as regras relativas a segurança dos dados e as respetivas obrigações, especialmente em matéria de confidencialidade; proteção contra o acesso a instalações e a hardware e software do responsável pelo tratamento ou do subcontratante, incluindo controlos sobre a autorização de acesso; certificação de que as autorizações de acesso a dados pessoais foram concedidas pela pessoa competente e exigem documentação adequada; documentação exaustiva para outras formas de divulgação diferentes do acesso automatizado a dados, a fim de demonstrar que não ocorreram quaisquer transmissões ilegais de dados; e realização de auditorias internas e externas.
Para, numa primeira linha, avaliar se a instituição está no rumo certo para a conformidade com o RGPD, os seus responsáveis devem assegurar que as atividades respeitam os princípios do regulamento e possuem fundamento jurídico; que os tratamentos possuem «proteção de dados desde a conceção e por defeito», com medidas técnicas e organizacionais adequadas (categorias especiais); que a instituição atende aos direitos e à transparência satisfatoriamente; que notifica os incidentes de segurança conforme criticidade; e que mantém, quando aplicável, um DPO, o Registo das Atividades de Tratamento e faz as necessárias Avaliações de Impacto.
A fechar, repetir a mensagem passada pelo presidente-adjunto da CNIS e ainda pelos juristas José Luís Monteiro e Ana Rodrigues, que protagonizaram as diversas sessões de esclarecimento, para que as IPSS não fiquem ansiosas nem nervosas com a data de 25 de maio, porque, dada a presente incerteza, mais importante neste momento é conseguir demonstrar que estão a ser dados passos concretos para implementar o RGPD.

Pedro Vasco Oliveira (texto e fotos)

 

Data de introdução: 2018-05-11