O novo Regulamento Geral da Protecção de Dados

A menos de um ano da entrada em vigor do novo regulamento, as dúvidas são mais do que muitas. Aos participantes na conferência do Jornal de Negócios foi dada a possibilidade de colocar questões, aqui respondidas pelos especialistas nas várias áreas: a CMS Rui Pena & Arnaut, a Axians e a Thales.
O novo Regulamento Geral da Protecção de Dados
O regulamento europeu é aplicável directamente aos Estados-membros, sem necessidade de transposição local.
Vincent Kessler/Reuters
Filipe S. Fernandes 19 de junho de 2017 às 14:42
1 
O que é um Encarregado de Protecção de Dados e quais as empresas que são obrigadas a terem esta figura?
A figura do Encarregado de Protecção de Dados (DPO) é uma das mais relevantes inovações do novo regulamento. Um significativo número de organizações será obrigado a nomear um DPO e assegurar que este tem condições para o exercício das suas funções, como sejam: o apoio activo da administração; tempo suficiente para o cumprimento das suas tarefas; recursos financeiros, infra-estruturas (instalações, equipamentos) e pessoal, quando apropriado; comunicação oficial da designação a todos os funcionários e autoridade de controlo; acesso a outros serviços dentro da organização para que possam receber suporte, opiniões ou informações essenciais desses outros serviços, bem como formação contínua.

Do ponto de vista das competências, o DPO deverá ter um profundo conhecimento da legislação e práticas nacionais e europeias de protecção de dados, incluindo uma compreensão aprofundada do regulamento, conhecimento das operações de processamento realizadas, conhecimento das tecnologias de informação e de segurança dos dados, conhecimento do sector empresarial e da organização e capacidade de promover uma cultura de protecção de dados dentro da organização.

Note-se que, apesar dos DPO não se substituírem às empresas no que concerne à responsabilidade civil ou contra-ordenacional, serão um pilar essencial no cumprimento do regulamento e na criação de garantias para as organizações. (CMS Rui Pena & Arnaut)


2 
O conceito de portabilidade dos dados, por exemplo o das preferências, dos clientes estão realmente prontos no início de aplicação do regulamento para serem partilhados?
Do que temos observado no nosso contexto nacional, diríamos que a maior parte das organizações ainda não estará pronta em Maio de 2018 neste tema. A questão da portabilidade de dados tem um factor muito importante para a sua boa operacionalização, o formato comum para a portabilidade dos dados. Essa é uma preocupação que cremos que deverá passar obrigatoriamente por uma concertação sectorial para acordarem um modelo e formato comum para a portabilidade desses dados. Percebemos que esse será um dos principais desafios deste regulamento para os sectores dos serviços essenciais (Utilities e Telcos), serviços financeiros e saúde. (Axians)


3 
No caso de uma base de dados com informação do domínio público, por exemplo nomes de profissionais de saúde/n.º ordem profissional/especialização/local de trabalho, é necessário obter consentimento do titular dos dados/informá-lo de que temos esta informação?
Do ponto de vista estritamente tecnológico e no que toca à componente da protecção de dados/encriptação dos dados pessoais em repouso nas bases de dados, será de destacar que a solução Vormetric da Thales permite a segregação de acesso em função do perfil de acesso concedido aquando da atribuição das políticas de acesso. O caso referido na pergunta é paradigmático, pois no caso de dados de saúde os mesmos possuem um cariz relevante e sensível, sendo portanto recomendável, senão necessário, assegurar o acesso "atomizado" aos dados em específico que a cada função cabe aceder para o exercício das suas funções, não obstante no global o dado pessoal ser o mesmo e provavelmente armazenado de forma única no mesmo registo, no caso dos pacientes. Assim, a cada profissional de saúde caberá aceder apenas aos dados pessoais do paciente que são relevantes para a sua função no exercício do seu contributo para o acto médico daquele paciente. (Thales)


4 
O que é a Avaliação de Impacto sobre Protecção de Dados (DPIA)? Que questões são tratadas no âmbito do DPIA? Que tipos de tratamento estão sujeitos a um DPIA? Como se deverá executar um DPIA?
De acordo com a definição da Comissão Europeia, o DPIA (Data Privacy Impact Assessment - Avaliação de Impacto da Privacidade de Dados) é um processo destinado a descrever o processamento de dados privados, avaliar a necessidade e a proporcionalidade de um processamento dos dados e ajudar a gerir os riscos aos direitos e liberdades das pessoas resultantes do processamento de dados pessoais (avaliando-os e determinando as medidas para os abordar).

O DPIA é uma avaliação de risco, que avalia o impacto da concretização de ameaças de privacidade de dados com a sua probabilidade de ocorrência, com o objectivo de serem identificadas estratégias de tratamento desses riscos num nível aceitável através de um racional de custo-benefício. (Axians)


5 
O que é que muda no que diz respeito ao consentimento dado pelos indivíduos e pelas empresas?
O recurso ao consentimento para a recolha e tratamento de dados pessoais tem constituído uma prática recorrente em Portugal. As organizações têm privilegiado o consentimento como solução prática para assegurar a licitude do tratamento de dados pessoais de terceiros. O regulamento, contudo, veio criar barreiras adicionais às actuais práticas, e introduz regras muito mais rígidas às empresas quando se trata de obter o consentimento para recolha e tratamento de dados pessoais. As organizações são, assim, obrigadas a considerar mecanismos alternativos, como sejam o contrato com o titular dos dados, o cumprimento de uma obrigação jurídica, a defesa de interesses vitais do titular dos dados, o exercício de funções de interesse público ou os interesses legítimos do responsável pelo tratamento.

Concretamente, a utilização de caixas pré-marcadas, o silêncio, a inactividade, o consentimento genérico ou obtenção do consentimento através de termos e condições genéricas deixarão de ser permitidos, na medida em que qualquer dos referidos mecanismos deixará de configurar como um meio de demonstração do cumprimento dos requisitos de consentimento do regulamento. Caso, ainda assim, as organizações pretendam privilegiar o consentimento como fundamento para o tratamento de dados pessoais, as regras mudam e são mais exigentes: o consentimento deverá ser concedido de forma desagregada dos demais termos e condições; deverão ser utilizados mecanismos que indiciem práticas activas dos titulares dos dados; o consentimento deverá ser óbvio, granular e facilmente identificável; a linguagem adoptada, simples e concisa; o titular deverá estar identificado, bem como as organizações que terão acesso aos dados; o consentimento deverá estar documentado em permanência e ser, com a periodicidade possível, renovado; deverá ser concedido em situações de equilíbrio entre as partes; e, por fim, deverá ser facilmente revogável. (CMS Rui Pena & Arnaut)


6 
As empresas vão ser obrigadas a mudar os seus sistemas e a fazer uma nova recolha de dados?
Do ponto de vista estritamente tecnológico e no que toca à componente da protecção de dados/encriptação dos dados pessoais em repouso nas bases de dados, a solução Vormetric da Thales assegura que tal não será necessário, garantido uma continuidade nos processos sem quaisquer impactos para as empresas. É um sistema não intrusivo, "agnóstico" e não degradante da performance das infra-estruturas existentes (desde que estas estejam a operar abaixo dos 80% da sua capacidade). Assim, o processo de migração de um ambiente não protegido para um ambiente encriptado e protegido processa-se de forma suave, não disruptiva e sem perda de quaisquer dados ou contexto. Acresce que não serão necessárias adaptações nas bases de dados existentes e a encriptação e supervisão dos acessos às bases de dados, assim como, a sua protecção e monitorização são efectuadas pela solução Vormetric da Thales independentemente dos modelos, versões e fabricantes das bases de dados. (Thales)


Todas as empresas devem dar atenção ao tema, mesmo que as exigências sejam diferentes.


7 
Como é que as PME podem adequar-se ao novo regulamento?
O maior desafio para a conformidade com o novo regulamento será o nível de organização, gestão, controlo e estruturação dos seus dados, onde as organizações, independentemente da sua dimensão, que tiverem menores níveis de maturidade sobre a governação dos seus dados (físicos ou digitais), terão um maior esforço para conseguir atingir este nível de controlo e monitorização dos riscos de privacidade, bem como na operacionalização dos imperativos do regulamento ao nível processual sobre os direitos dos cidadãos europeus.

A abordagem de estar em conformidade deverá ser a mesma seja qual for a dimensão da organização. Com algumas diferenças particulares em função da natureza do seu negócio (por exemplo, se necessita ou não de um DPO - Data Privacy Officer), o modelo funcional da organização, e o estado actual da gestão e controlo dos seus dados, que pode implicar técnicas distintas de inventariação e desenho dos fluxos de dados pessoais, bem como no desenho e implementação dos controlos de privacidade. (Axians)






A sua opinião0
Este é o seu espaço para poder comentar o nosso artigo. A sua opinião conta e nós contamos com ela.
Faltam 300 caracteres
Negócios oferece este espaço de comentário, reflexão e debate e apela aos leitores que respeitem o seu estatuto editorial, promovam a discussão construtiva e combatam o insulto. O Negócios reserva-se ao direito de editar, apagar ou mesmo modificar os comentários dos seus leitores se atentarem contra o bom senso e seriedade.O acesso a todas as funcionalidades dos comentários está limitada a leitores registados e a Assinantes.
comentar