Regulamento Geral de Proteção de Dados

A 14 de Abril de 2016 o Parlamento Europeu aprovou o Regulamento Geral de Proteção de Dados (RGPD), que veio substituir anterior diretiva 95/46/EC vertida para o ordenamento jurídico Português na Lei n.º 67/98 de 26 de Outubro ainda em vigor.

Este regulamento, cuja aplicação efetiva e vinculativa será a 25 de Maio do 2018 tem como escopo a harmonização das leis que regulam esta matéria nos países da UE, mas acima de tudo criar uma nova consciência e abordagem sobre a forma como são vistos e tratados os dados pessoais. 

Considerando o novo paradigma de mundo orientado pela informação imediata e pelo poder dos dados pessoais colhidos e tratados com ou sem consentimento, ou pior, com ou sem conhecimento, o RGPD vem, de fato, trazer o discernimento exigido a esta matéria, não deixando, no entanto, de acarretar mudanças de grande impacto, muitas delas fonte de forte controvérsia.

Com enfoque no impacto do RGPD, nas empresas, temos percepção imediata que este é não só muito significativo no que concerne à sua adaptação a este novo regime, isto porque tem de ser estudado, preparado e adoptado para poder ser absorvido amortecendo o abalo ao regular funcionamento das organizações que este tipo de alteração implica para alcançar a conformidade, e porque a não conformidade acarreta o risco de penalizações financeiras bastante dissuasoras que estão definidas até 4% da faturação ou 20.000.000 EUR.

As alterações chave a saber sobre o RGPD começam desde logo pelo seu âmbito e pelos sujeitos a quem se destina, importando por isso começar por distinguir, de acordo com o artigo 4º do RGPD:

Controladores de dados e processadores de dados / Data controller e Data processor:

  • Data controller (Controlador) – Será pessoa singular ou coletiva, ente público ou privado, agência, instituição ou qualquer outro organismo que decide como e porque é que os dados são processados. Portanto, pessoa física ou jurídica que, isoladamente ou em conjunto com outros, determina os fins e meios de processamento de dados pessoais.
    Ora pelo artigo 5º do RGPD, o controlador é o responsável por provar o cumprimento dos princípios relativos ao tratamento de dados pessoais conforme está vinculado.
  • Data Processor (Processador) – Será pessoa singular ou coletiva, ente público ou privado, agência, instituição ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes (subcontratante). Ou seja, aquele que processa dados pessoais em nome do controlador.

    Pelo artigo 28.º do RGPD, o tratamento pode ser efetuado em nome de um controlador, mas este é responsável por subcontratar apenas os processadores que forneçam garantias suficientes de cumprimento do RGPD, isto é, processadores que tenham evidências da implementação das medidas técnicas e organizacionais adequadas de tal forma que o processamento satisfaça os requisitos do regulamento. O que nos leva à obrigatoriedade de qualquer empresa da UE ou mesmo fora da UE, como controlador ou processador, ter de implementar os controlos necessários para garantir a conformidade com o RGPD, desde que os dados a ser processados sejam sobre cidadão da UE. Esta responsabilidade é partilhada e por isso as multas podem ser aplicadas a ambos, controladores e processadores.

Além das informações aqui constantes, deve também ter em conta a nossa Política de Privacidade e Proteção de Dados, assim como os Termos e Condições de Serviço.

Passa a ser responsabilidade do controlador de dados implementar medidas efetivas capazes de demonstrar a conformidade das atividades de processamento de dados, mesmo que, como já vimos, o processamento seja realizado por um processador de dados em nome do controlador, sendo que neste caso se tratará de responsabilidade partilhada.

Então, controlador de dados passa a ser o responsável por garantir que os direitos assegurados pelo RGPD são efetivamente cumpridos, a saber os mais relevantes:

1 – Informação sobre os dados colhidos o seu fim e o consentimento

O pedido de consentimento para a colheita e processamento dos dados terá de ser levado a cabo de forma inteligível à vista do homem comum, contendo em si ou anexo qual o seu objetivo, fim ou fundamento. Portanto, o consentimento deve ser claro e distinguível de outros assuntos, facilmente acessível, fazendo uso de linguagem clara e simples. Permitindo ao titular dos dados, não só perceber o que está a consentir e quando o está a fazer, mas também do mesmo modo, ou com acesso e facilidade semelhantes, retirar o seu consentimento.

A todo o tempo os controladores de dados devem ter histórico de forma a poder provar que o consentimento foi adquirido de forma legitima e em conformidade com o RGPD.

Como controlador a Abreu e Neves, Lda. garante, ao dia de hoje, e na verdade desde sempre, que o consentimento da coleta dos dados cliente subscritor, no ato do preenchimento da sua ficha de cliente, é obtido de maneira ativa e consciente. No entanto e tendo em mente o principio da clareza que o novo regulamento preconiza, por ação prática, a Abreu e Neves, Lda. passa a separar, desde logo, o consentimento à receção de informação generalizada da aceitação das cláusulas contratuais gerais.

2 – Direito ao acesso

Um dos direitos que foram expandidos com o RGPD foi o direito de acesso dos sujeitos aos seus dados pessoais, à sua edição e retificação. Este direito extende a sua abrangência incluindo agora o direito de saber a todo o tempo se os seus dados estão ou não a ser processados, onde e para que finalidade. Além disso, o controlador deve fornecer uma cópia dos dados pessoais, gratuitamente, e em formato exportável.

No que diz respeito ao acesso aos dados, a Abreu e Neves, Lda., como controlador, sempre permitiu o acesso permanente e a todo tempo por parte do seu titular e através da sua área reservada, este pode também alterá-los, salvaguardando sempre a correção destes dados. De resto, e por obrigações fiscais, tipicamente, quando os dados do cliente Abreu e Neves, Lda. se verificam como incongruentes, existe contato proativo da nossa parte solicitando a correção. São exclusões a esta alteração direta a partir da área de cliente:

  • A alteração do número fiscal, solicitando-se ao cliente que pretenda alterar o seu número fiscal o solicite via email, sendo que, após verificação de congruência de dados, é acedida prontamente. Em qualquer caso o cliente subscritor tem sempre ao seu dispor o acesso à alteração do seu NIF, e mesmo à sua total omissão, desde que esteja dentro do que são os limites que permitem a emissão de fatura simplificada.
    Esta exclusão tem por base a prossecução das obrigações fiscais no que concerne à veracidade dos dados para emissão de documentos contabilísticos.
  • A alteração de dados por outras vias que não área de clientes e quando não haja acesso ao email autorizado, ou outro com as mesmas prerrogativas. A área reservada da Abreu e Neves, Lda., apesar de ter o email autorizado como identificador único por cliente, não deixa de permitir ao cliente que crie redundância para a garantia de acesso, podendo este, desde logo, adicionar outros emails com as mesmas prerrogativas. No entanto, caso o cliente não tenha acesso, por nenhuma forma ao seu email autorizado ou outro com as mesmas prerrogativas, é chamado contatar a Abreu e Neves, Lda. que lhe veiculará acesso a um formulário de alteração de email autorizado que deverá preencher com dados de identificação que terão necessariamente de ser atestados por meio legal – assinatura digital de cartão de cidadão, reconhecimento de assinatura, exibição de documentos de suporte, etc. Mediante a aceitação deste formulário a Abreu e Neves, Lda. fará a alteração dos dados em conformidade com o solicitado. Neste caso, muito embora sejemos forçados a manter o formulário como prova legitima deste pedido de alteração, este é codificado para confirmação da sua existência, mas o formulário em si apenas é acessível por sujeitos autorizados com a devida justificação que ficará devidamente registada.

3 – Direito à portabilidade

Intrinsecamente ligado ao direito ao acesso, ganha forma diferenciada o direito à portabilidade. O titular dos dados, além de acesso passa a ter o direito de exigir uma cópia em formato de uso comum, exportável e importável de forma automática/digital, adquirindo, assim, uma autonomia diferenciada já que pode transmitir esses dados a outro controlador, ou seja quebra a indução do atrito à mudança provocada pelo controlador.

Interessante será avaliar a forma de uso pleno deste direito em conjugação de outra regra preconizada como boa prática pelo RGPD, a anonimização ou pseudonimização que, adiante, também abordaremos.

Enquanto processador, não conhecendo, por natureza, os dados pessoais que processa, limita-se a veicular o acesso permanente aos seus clientes – controladores – para que estes possam migrar os conteúdos alojados nos seus servidores para qualquer outro provedor de serviços ou, para um dispositivo de armazenamento a ser disponibilizado por este.

4 – Direito ao esquecimento

O direito ao esquecimento ou “Right to erasure” é uma das mudanças fulcrais introduzidas pelo RGPD. Quando antes cabia ao titular dos dados o ónus da prova quanto ao fato dos seus dados, ao estarem a ser processados ou disseminados serem causa direta de danos ou sofrimento para si, agora inverte-se o ónus, passando o direito a ser sempre invocável a todo o tempo.

Portanto o titular poderá reivindica-lo sempre, sendo ónus do controlador provar razão legalmente fundamentada para não o fazer.

O princípio subjacente a esta mudança no direito é facilitar e agilizar a eliminação, o fim do processamento ou disseminação de dados pessoais de quem assim não pretenda e quando, para tal, não haja uma razão justificada.

Estas razões justificadas que permitem o controlador negar o exercício deste direito ao titular dos dados devem pois, sempre, ser avaliadas à luz de um exercício de razoabilidade que nos obriga a pesar a importância dos interesses legítimos do controlador, face aos interesses ou direitos e liberdades fundamentais do titular dos dados.

O titular dos dados terá o direito inegável de ver os seus dados eliminados e interrompido o seu processamento quando:

  • O propósito original, ou o fim a que se destinavam os dados pessoais não existir e os dados em si não forem mais necessários para nenhum fim que lhe seja conhecido ou transmitido;
  • Quando o indivíduo não consentiu independentemente do fim;
  • Quando não haja sustentação legal para tal;
  • Se os dados processados ​​são de serviços prestados a uma criança;
  • Em qualquer caso em que os dados sejam processados ​​em violação RGPD.

O controlador poderá negar-se à eliminação ou alteração dos dados, provendo, em sua vez, a restrição do seu acesso e/ou processamento quando:

  • A precisão dos dados pessoais é contestada pelo titular dos dados, no entanto a sua exatidão não pode ser determinada ou provada;
  • Os dados pessoais que se pretende eliminar ou mudar devem ser mantidos para fins de evidência.

Em qualquer dos casos o controlador é responsável por comunicar, por escrito, ao titular dos dados a sua recusa de retificação ou eliminação de dados pessoais ou a restrição do seu tratamento, bem como os motivos da recusa. Sendo ainda fato que a própria lei poderá prever a exclusão a essa obrigação por parte do controlador, sempre que esta seja uma medida necessária e proporcional para um estado de direito democrático e, portanto, tendo sempre e devidamente em conta os direitos fundamentais e os interesses legítimos do titular dos dados. São exemplos, não exaustivos, destas exclusões todos os casos em que a eliminação ou alteração de dados possa:

  • Evitar prejudicar a prevenção, deteção, investigação ou aplicação de infrações penais ou a execução de sanções penais;
  • Por em causa a segurança pública;
  • Por em causa a segurança nacional;
  • Por em causa os direitos e liberdades dos outros;
  • Evitar ou obstruir investigações ou procedimentos oficiais/legais.

Não deixa aqui, no entanto, de ser o controlador obrigado a informar o titular dos dados da possibilidade de apresentar uma queixa a uma autoridade de controlo ou de interpor recurso judicial perante a sua recusa a este direito.

Para as entidades controladoras e processadoras a conformidade com o uso deste direito traz várias implicações, começando por aumentar a sua necessidade de capacidade de manter registos de atividades de processamento, bem como provas da relevância e da necessidade de todos os dados que controlam ou processam, o que inclui as finalidades do processamento, categorias envolvidas e prazos previstos. Esta informação deve ser comunicada ao titular dos dados e os registos devem ser mantidos de forma a poderem ser disponibilizados à autoridade de supervisão mediante solicitação de prova para qualquer matéria relacionada a um assunto de dados pessoais.

A Abreu e Neves, Lda., enquanto controlador, nunca vedou ao cliente o direito ao esquecimento. No entanto, em exercício de razoabilidade, avaliados os parcos dados que coleta face às suas obrigações contratuais e a defesa dos seus interesses legítimos, bem como o cumprimento da lei, nomeadamente a lei fiscal, a Abreu e Neves, Lda. poderá negar-se à eliminação ou alteração dos dados, provendo, em sua vez, a restrição do seu acesso e/ou processamento de forma preserva-lo como evidência. Estes dados são, no entanto, armazenados, não processados, e apenas com acesso restrito e justificado.

Além dos titulares dos dados que exerçam direito ao esquecimento, também todos aqueles que apresentem mais de 8 anos de inatividade passarão automaticamente a ser armazenados em conformidade. Os prazos e meios de exercer este direito, apesar de constarem já nas condições gerais de prestação de serviço, estão a ser criteriosamente vertidos para a nova versão de política de privacidade da Abreu e Neves, Lda. que, para garantia de conformidade com o RGPD e informação detalhada para os nossos clientes, está, agora, a ser revista.

Enquanto Processador apesar de não ser responsabilidade direta da Abreu e Neves, Lda. garantir ao titular dos dados que o seu direito ao esquecimento é levado a cabo, no que concerne aos dados alojados nos seus servidores, a lícita limitação ao direito ao esquecimento está intrinsecamente ligada ao tempo obrigatório de retenção de backups.

Não poderá ainda a Abreu e Neves, Lda. apagar qualquer dado quando não haja ordem expressa do controlador ou de autoridade judiciária com poderes para o ato.

5 – Psudonomização e anonimização

O RGPD recomenda a pseudonimização para reduzir os riscos de exposição dos titulares de dados em causa o que, por si, também viabiliza uma segurança adicional para os responsáveis ​​pelo tratamento e os processadores. Muito embora o RGPD incentive a utilização da pseudonimização, os dados pseudonimizados não deixam de ser considerados dados pessoais, permanecendo, por isso, abrangidos pelo RGPD.

O RGPD define a pseudonimização, como um processamento de dados pessoais levado a cabo de forma a não poderem ser atribuídos a um sujeito ou dado específico sem o uso de informações adicionais. Para pseudonimizar um conjunto de dados de forma eficiente as informações adicionais devem ser mantidas separadamente e sujeitas a medidas técnicas e organizacionais que garantam a sua não atribuição a uma pessoa identificada ou identificável.

As técnicas de pseudonimização diferem das técnicas de anonimização. Com a anonimização os dados são apagados para qualquer informação que possa servir como um identificador de um assunto de dados. A pseudonimização, como vimos, não remove todas as informações de identificação dos dados, mas apenas reduz a vinculação de um conjunto de dados com a identidade original de um indivíduo, usando, por exemplo a criptografia, que torna os dados originais ininteligíveis e o processo não pode ser revertido sem acesso à chave de descodificação correta ou a tokenização, que é outra abordagem para proteger os dados substituindo-os por outros, chamados tokens.

A distinção legal entre dados anónimos e pseudonimizados é a sua categorização como dados pessoais. Os dados sob pseudónimo ainda permitem alguma forma de reidentificação (mesmo indireta e remota), enquanto os dados anónimos não podem ser reidentificados.

Tanto a pseudonimização como a anonimização são preconizadas pelo RGPD, que aspira e incentiva a sua utilização de forma generalizada e recorrente.

Assim, os controladores e os processadores de dados pessoais são convidados a implementar uma ou outra dessas técnicas para minimizar o risco e, uma vez que as duas técnicas diferem, diante do RGPD, a escolha deverá depender do grau de risco e de como os dados serão processados.

Como controlador, a Abreu e Neves, Lda. é percursora do uso da pseudonimização sendo que o uso do ID de cliente, ID de serviço, ID de pagamento ou ID de ticket são termos familiares ao cliente Abreu e Neves, Lda.. Internamente e no tratamento da informação, tipicamente, o normal operador não precisa conhecer senão o email autorizado do cliente, para sua identificação, já que todas as outras matérias, daí por diante, são tratadas com uso aos referidos ID.

6 – Criação de perfil

Na Abreu e Neves, Lda. não há tratamento automatizado, incluindo a definição de perfis que produzam decisões c/ efeitos jurídicos.

1 – Obrigação do uso da privacy by design, privacy by default e Data Minimisation

Privacidade por design – privacy by design – como um conceito passa a ser parte de uma exigência legal do RGPD. A privacidade por design exige a inclusão da proteção de dados desde o início do design dos sistemas, portanto deve ser projetada no desenvolvimento dos processos de negócios para qualquer produto ou serviços, sendo definidas configurações de privacidade de elevado padrão e recorrendo a medidas técnicas e de procedimentos capazes de garantir que o processamento, durante todo o ciclo de vida dos dados, esteja em conformidade com o regulamento.

É ainda exigido que os responsáveis pelo tratamento mantenham e processem apenas os dados absolutamente necessários para o cumprimento de seus deveres e para cumprimento das finalidades para as quais foram recolhidos e são tratados (minimização de dados), bem como o acesso a dados pessoais seja limitado àqueles que precisam realizar o processamento.

O RGPD vem ainda garantir que são colocados em prática todos os mecanismos e técnicas que possam garantir que, por defeito, apenas será recolhida, utilizada e conservada, a quantidade necessária de dados pessoais tendo em conta a sua finalidade. Esta obrigação deve ser considerada durante toda a vida dos dados e do seu tratamento, bem como no seu prazo legal de conservação, considerando para ambos os casos os requisitos diferenciados necessários à sua acessibilidade. Esta obrigação visa assegurar que os dados pessoais não são disponibilizados massivamente ou a um número indeterminado de pessoas ou sem intervenção humana.

Todas estas medidas trazem a responsabilidade acrescida ao controlador/processador que fica, assim, adstrito, desde a concepção e durante todo o tempo em que processe ou controle dados pessoais, a garantir a privacidade dos titulares dos dados, o que conduzirá, necessariamente, à minimização da exposição ao risco.

Enquanto, controlador, a Abreu e Neves, Lda. cumpre com os requisitos inerentes ao que se entende por privacy by design e by default, usando os meios de segurança adaptados, com certificados de segurança e pseudonomização desde a subscrição de serviço, encriptação de dados, firewall, antivirus & antimalware, acessos autenticados por VPN controlados, restritos e escalonados, arquivo reduzido, não guardando password e com rigorosa política de limpeza de sistemas internos ciclicamente.

Enquanto processador, a Abreu e Neves, Lda. garante:

  • Os acessos físicos à sua infraestrutura, controlados por Circuito Fechado de Televisão, são controlados 24 horas/dia pelo pessoal responsável da segurança. Existem câmaras nas zonas comuns tanto nos interiores como nos exteriores e o acesso às salas técnicas é totalmente proibido; sistema do controlo global para a deteção de presença de intrusos no edifício. A segurança baseia-se na presença de pessoal 24×7 que dispõe de todos os sistemas necessários para o controlo de todas as zonas do edifício desde o posto de controlo. A segurança é ainda responsável pelo registo humano de acessos aos quais acresce o controle por RFID;
  • A nossa rede é composta por trânsito de vários operadores Tier 1, presença em vários pontos de troca de tráfego, bem como múltiplos acordos de peering privado;
  • Os vários Datacenters (certificados pela DIN ISO/IEC 27001 e/ou ISO 9001, ISO 14001 e ISO 50001) encontram-se interligados permitindo trocas de tráfego público e privado de forma segura e com latências reduzidas. Como opção disponibilizamos serviço de VPN quer seja “client to site” ou “site to site”, permitindo acesso seguro e por rede privada aos serviços e infra estrutura alojada nos vários Datacenter;
  • Toda a infraestrutura é monitorizada 24x7x365, disponibilizando gráficos com métricas e latência de acesso aos serviços para os vários clientes (serviços que o incluam). Em caso de eventos a equipa de operações é notificada e são tomadas as ações necessárias à normalização do serviço. Possuímos SIEM (security information and event management) eficiente bem como política de Gestão de vulnerabilidades, com Monitorização 24x7x365.

2 – Encarregado de Proteção de Dados (“DPO – Data Protection Officer”) e o responsável pelo tratamento e proteção dos dados pessoais

A nomeação de DPO será mandatória para autoridades públicas, com exceção dos tribunais ou autoridades judiciárias independentes, quando atuem no exercício das suas funções judiciais. Além das autoridades públicas será obrigatório um DPO para todos os controladores e processadores cujas atividades principais consistam em operações de processamento de processamento de dados de forma regular e sistemático e em larga escala ou quando esses dados pertençam a categorias especiais – dados sensíveis. Segundo o art.º 9 do RGPD são dados sensíveis todos os que revelem a origem racial ou étnica, as opiniões políticas, as convições religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

O DPO deve ser nomeado com base nas suas qualificações profissionais com especial enfoque no conhecimento técnico sobre legislação e práticas de proteção de dados.

O DPO é o responsável pela conformidade e pela gestão de processos tendo em vista a segurança de dados. É ainda responsável por lidar com situações de crise, como fugas de informação ou outros problemas críticos para continuidade de negócios no que concerne à manutenção e processamento de dados pessoais e confidenciais.

Mesmo nas entidades em que não seja obrigatório o DPO, a entidade deverá designar um responsável pelo tratamento, ou seja, uma entidade, funcionário ou não que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais.

A Abreu e Neves, Lda. tendo já um responsável pelo tratamento de dados, está a formar um DPO para garantir conformidade com o RGPD. Pretendemos que o DPO esteja à altura das tarefas a desempenhar e por isso não poderíamos deixar de investir numa formação eficaz e capaz de responder às exigências deste cargo. Simultaneamente a Abreu e Neves, Lda. é coadjuvada e acompanhada no que ao RGPD concerne, mas principalmente tendo em vista a implementação da ISO 27001 por entidade externa especializada na área.

Para reportar qualquer incidente com privacidade de dados pessoais queira faze-lo através do email do DPO da Abreu e Neves, Lda. para [email protected].

Caso considere que o tratamento dos seus dados pessoais viola a legislação aplicável em matéria de protecção de dados poderá apresentar reclamação à Comissão Nacional de Protecção de Dados – CNPD – www.cnpd.pt.

3 – Responsabilidade por fundamento na coleta e processamento de dados

Os dados não podem ser coletados ou processados sem que haja um fundamento legal que o justifique.

Em termos de complexidade o essencial fundamento será sempre o consentimento expresso por parte do titular, não podendo este ser generalista, mas antes elencar e especificar cada um dos fins a que se destina.

Fora o consentimento, o processamento, por ser indispensável para a prestação de um serviço ou venda de um produto, pode afigurar-se como necessário e a esta necessidade será intrínseca a necessidade de processar os dados para a preparação e execução de um contrato, acordo, proposta ou outro documento oficial ou com força legal.

O processamento é sempre necessário e justificado para o cumprimento de uma obrigação legal à qual o controlador está sujeito ou para acautelar interesses vitais do titular dos dados ou mesmo de outros que destes dependam.

Tem pleno assento e justificação legal todo o processamento que cumpra obrigações necessárias para levar a cabo uma tarefa de interesse público e para defender os interesses legítimos do controlador/processador. Ficando a salvaguardo que a ponderação desses interesses legítimos deve sempre ser sempre feita atendendo aos direitos, liberdades e garantias fundamentais do titular dos dados, já que, em casos em que estes últimos prevaleçam, exige-se sobretudo a proteção dos dados pessoais, em particular se o titular dos dados for uma criança.

Além destes, resulta como intrínseco às suas funções que o processamento dos dados seja levado a cabo legitimamente, no ato do próprio exercício da autoridade oficial do controlador (DPO ou responsável pelo tratamento e proteção dos dados pessoais), pelo que neste caso o seu acesso e tratamento estará, desde logo, acautelado.

Havendo minimização na coleta, todos os dados que são processados pela Abreu e Neves, Lda., enquanto controlador encontram o seu fundamento na subscrição dos serviços por cláusulas contratuais gerais, e ora assim, na necessidade intrínseca à sua prestação. Fora estas a Abreu e Neves, Lda. não recolhe ou processa quaisquer outros dados e todos os que lhe possam ser facultados pelo titular de forma voluntária e discricionária são ignorados e excluídos de processamento.

Enquanto processador, todos os dados armazenados nos nossos servidores foram recebidos com base na contratação do referido serviço e assim prevalecem enquanto o serviço/contrato prevalecer. Fora este tempo fica a obrigação residual, também advinda do próprio contrato, de manter, durante os tempos definidos os backups dos conteúdos anteriormente alojados.

4 – Prestar contas da conformidade com o RGPD – Accountability

No sentido do RGPD, a prestação de contas é a prova de conformidade de uma entidade com o próprio regulamento.
 Nessa mesma lógica, a responsabilidade é acompanhada de medidas para mostrar a realidade da proteção de dados. É importante observar esses dois aspetos da responsabilidade: a implementação responsável do GDPR e do “relatório”.

O RGPD redefiniu que os dados “pessoais” são os dados usados ​​para identificar uma pessoa: “é considerado identificável uma pessoa que pode ser identificada direta ou indiretamente (…), inclusive por referência a um identificador, por exemplo nome, número de identificação, dados de localização ou identificador on-line, ou a um ou mais elementos específicos da sua identidade física, fisiológica, genética, psicológica, económica, cultural ou social “.

Nesse contexto, o RGPD impõe aos controladores/processadores a adaptar o seu funcionamento de forma a garantir (e poder mostrar – “renderizar contas” se traduzirmos literalmente o termo), que o seu tratamento de dados pessoais cumprem a lei.

Em termos práticos, esta obrigação de prestação de contas traz consigo a figura do DPO e do responsável pelo tratamento e proteção dos dados pessoais, mas acima de tudo força estas entidades a manter um registo documental dos processamentos realizados sob a responsabilidade do controlador ou processador e a analisar as consequências concretas desse processamento de dados, apresentando, em conclusão, os riscos particulares no que diz respeito aos direitos e liberdades dos titulares desses dados.

Em suma, pretende o regulamento que o controlador de dados deva ser capaz de provar que cumpre todas as obrigações de proteção de dados e que todas as medidas apropriadas foram tomadas para proteger efetivamente os dados coletados.

Mais do que falar, é importante dar mostras desta segurança e do cumprimento deste Regulamento, é neste campo, que a Abreu e Neves, Lda., enquanto controlador e enquanto processador encontra sempre um caminho a percorrer, de forma a dar mostras da aplicação prática do RGPD. Tendo estabelecido o processo de gestão de incidentes de Segurança de Informação e privacidade que inclui os termos de reacção e comunicação bem como as políticas de BCP ( Business continuity plan), DR (disaster recovery), BP (Backup Policy), PP (Privacy Policy), AUP (Acceptable Use Policy), mantemos a necessidade e vontade de incrementar a documentação procedimental que servirá de base e suporte à conformidade com o RGPD. Contando já com um Sistema de gestão da qualidade muito vivo e constituendo, a Abreu e Neves, Lda. incrementa diariamente a sua procedimentação nas mais diversas áreas, sendo esta a de principal enfoque no momento, não só para garantia de conformidade como para garantia de que somos capazes de mostrar o que na prática já bem fazemos. Por isso, e por prioridade, trabalhamos com parceiros especializados para garantir que o melhor se faz em procedimento e que estes sejam capazes de acompanhar e fazer ver o que de melhor praticamos diariamente.

5 – Fugas de informação e falhas de segurança – data breaches

O RGPD define uma violação de dados pessoais como “uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados ​​de outra forma”.

Violações de dados pessoais podem ser divididas em três tipos e uma só violação de dados pode envolver, uma, duas ou até as três categorias, a saber:

  • Violação de confidencialidade, quando haja divulgação ou acesso não autorizado ou acidental a dados pessoais;
  • Violação de disponibilidade, quando houve uma perda de acesso ou destruição de dados pessoais;
  • Violação de integridade, quando haja alteração não autorizada ou acidental de dados pessoais.

Com o RGPD o controlador, mais do que responsável por evitar que as violações de segurança aconteçam, passa ainda a ter a obrigação legal de verificar a gravidade da violação e notificar a autoridade supervisora sem demora indevida. A menos que a violação de dados não venha de forma nenhuma a constituir uma violação dos dados pessoais e portanto não seja suscetível de resultar num risco para os direitos e liberdades dos indivíduos tendo um efeito prejudicial significativo sobre os indivíduos afetados, ie, que possam resultar em discriminação, danos à reputação, perda financeira, perda de confidencialidade ou outras desvantagens económicas ou sociais significativas. Fora esta exceção o controlador tem um prazo máximo de 72 horas após tomar conhecimento da violação de dados para fazer o relatório e comunicar à autoridade supervisora.

Quando esse efeito prejudicial seja provado cumpre ainda ao controlador notificar os sujeitos afetados. A notificação deve ser feita em linguagem clara e simples com uma explicação concreta da ocorrência. Prescinde-se da obrigação de aviso aos titulares de dados se o controlador de dados tiver implementado medidas de proteção técnicas e organizacionais apropriadas que tornem os dados pessoais ininteligíveis a qualquer pessoa que não esteja autorizada a aceder-lhes, como pseudonomização ou anonimização ou caso tome medidas subsequentes que afastem o risco de afetação os direitos e liberdades dos titulares dos dados.

A Abreu e Neves, Lda. enquanto controlador e processador sempre usou da política de transparência para os seus clientes, portanto a obrigação de comunicação ao titular não passa a ser uma tarefa acrescida, mas antes uma tarefa que tudo faremos, como até hoje, para evitar ter que levar a cabo. Em todo o caso, considerando os vários tipos de criticidade de uma possível fuga de informação, os procedimento ou metodologias de ação para comunicação adaptada, está em fase de implementação, ajuste e teste. Temos como maior preocupação ajustar a avaliação do impacto para garantir que esta é devidamente granular e minuciosa de forma a, por um lado, não se correr o risco de agir por defeito não comunicando, mas também não agir por excesso potenciando um alarme ou uma intranquilidade e insegurança que, em rigor, não são verdade ou reflexo do risco real.

O nosso objetivo é manter a nossa infraestrutura e sistemas seguros para todos. Trabalhamos diariamente na identificação de novas soluções e implementação de melhorias na nossa infraestrutura. Se detetou alguma vulnerabilidade de segurança agradecemos a sua ajuda e a divulgação da mesma de forma responsável. Divulgar publicamente uma vulnerabilidade pode colocar toda a nossa infraestrutura em risco.

Se detetou alguma vulnerabilidade agradecemos que contacte a nossa equipa técnica e envie os detalhes da mesma.

Trabalharemos ativamente consigo para avaliar e entender o âmbito do problema e identificar as soluções e medidas necessárias à sua correção.

As vulnerabilidades submetidas serão analisadas, triadas e em seguida avaliadas em detalhe para determinar o nível de risco. As vulnerabilidades de segurança são tratadas com a máxima importância para garantir a segurança dos seus dados pessoais e a segurança do nosso serviço.

Se tem qualquer outra questão ou dúvida relacionada com segurança dos seus dados pessoais ou dos dados que aloja na nossa infraestrutura, encontramo-nos ao inteiro dispor para esclarecimento. Poderá enviar-nos um email para [email protected].

A Abreu e Neves, Lda., na perspetiva de melhoria contínua, reserva-se o direito de, a qualquer altura, proceder a reajustamentos ou alterações às medidas e procedimentos de segurança e proteção de dados pessoais aqui constantes.