8
vozes do mercado
o RGPD e a gestão da privacidade dos dados pessoais nas PME António Neves1, Paulo Cabral2 Responsável do Departamento de Sistemas de Informação, aj@iep.pt
1
2
Responsável do Gabinete de Relações Institucionais, pc@iep.pt iep – Instituto Electrotécnico Português
“The world most valuable resource is no longer oil, but data.” Título da revista “The Economist”, maio 2017
ANTECEDENTES A questão da proteção dos dados pessoais, não sendo um tema recente, tem merecido nos últimos tempos uma enorme atenção, graças à recente entrada em aplicação do Regulamento Geral de Proteção de Dados (RGPD), Regulamento (UE) 2016/679, de 27 de abril de 2016. Esse regulamento veio substituir a anterior Diretiva 95/46/CE, que não teve uma transposição uniforme em todos os Estados-Membros da União Europeia (UE). Mais do que uma alteração do quadro legal aplicável ao tratamento de dados pessoais, o RGPD representa uma mudança de paradigma na forma como as empresas e demais organizações, tanto públicas como privadas, terão de passar a encarar a proteção dos dados pessoais, nas suas diversas vertentes. Casos mediáticos ocorridos nos últimos anos, como a revelação feita por Edward Snowden de que a agência governamental americana NSA teria tido acesso a comunicações de líderes políticos europeus, ou a cedência pela Facebook à Cambridge Analytica de dados relativos a dezenas de milhares de contas dessa rede social, levaram as autoridades europeias a reformular as regras de proteção dos dados pessoais dos cidadãos da União Europeia. O presente artigo procura apresentar, de uma forma sintética, os aspetos principais da RGPD, apontando algumas das metodologias que permitirão às pequenas e médias empresas demonstrar que estão em conformidade (compliance) com o novo quadro legal.
DEFINIÇÕES Antes de mais, vamos ver o significado de algumas das principais expressões que são utilizadas no RGPD. Todo o regulamento está www.oelectricista.pt o electricista 64
centrado nos dados pessoais, isto é, na informação relativa a uma pessoa singular identificada ou identificável (designada por titular dos dados). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou um ou mais elementos específicos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social. Os dados pessoais são objeto de tratamento, definido como uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre os conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição. O responsável pelo tratamento é a pessoa singular ou coletiva, a autoridade pública,
a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais. O tratamento dos dados pode também ser feito por um subcontratante (ver nota), que é uma pessoa singular ou coletiva, uma autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes. Nota: manteve-se no presente artigo a designação “subcontratante” conforme está na tradução portuguesa do RGPD. Em rigor, todavia, trata-se de um subcontratado (a versão francesa designa-o por “sous-traitant” e na versão inglesa surge como “processor”). Em muitas situações, para que o tratamento seja lícito, é necessário o consentimento do titular dos dados, isto é, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. Constitui uma violação de dados pessoais a violação da segurança que provoque,