Opinião (Rogério Copeto/ Oficial GNR): A PROTEÇÃO DE DADOS NUMA FORÇA DE SEGURANÇA.
Na sequência do nosso último artigo com o título “O novo paradigma na proteção de dados”, sobre o Regulamento Geral de Proteção de Dados (RGPD) cuja aplicação se tornou obrigatória no dia 25 de maio, voltamos ao assunto para falarmos da proteção de numa Força de Segurança (FS).
Rogério Copeto
Tenente-Coronel da GNR
Mestre em Direito e Segurança e Auditor de Segurança Interna
Chefe da Divisão de Ensino/ Comando de Doutrina e Formação
Conforme referido no nosso último artigo, uma das obrigações previstas no RGPD é a nomeação de um Encarregado de Proteção de Dados (EPD), que segundo o seu artº 37º, é obrigatória quando: “O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional”.
Assim, o EPD pode ser uma pessoa ou um conjunto de pessoas e tem as responsabilidades e funções de informar e aconselhar, o responsável máximo da instituição e os seus funcionários, a respeito das obrigações que resultam do RGPD, controlar a conformidade com o RGPD e com as políticas da sua organização relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes, prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e cooperar com a Comissão Nacional de Proteção de Dados Ponto.
Tendo em conta a importância do EPD numa organização estima-se que serão necessários na Europa e nos EUA mais de 28.000 EPD, podendo atingir os 75.000 em todo o mundo, sendo que só no reino Unido as pesquisas por EPD aumentaram 700%, verificando-se que a necessidade de EPD é mais premente nas empresas tecnológicas, de marketing digital, de finanças, de saúde e de retalho. Multinacionais como a Uber, o Twitter, a Airbnb, a Cloudflare ou a Experian publicaram anúncios on-line para contratação de um EPD, tal como a Microsoft, o Facebook, a Salesforce.com e a Slack que tiveram também de contratar um EPD.
Esta corrida aos EPD poderá advir do valor das coimas a aplicar em caso de incumprimento das normas do RGPD, que nos casos menos graves, poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado e nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado, concluindo-se que o EPD passará a ser um dos funcionários mais importantes dentro de qualquer entidade pública ou privada.
O EPD de uma FS terá a mesma importância, sendo nomeado nos termos do artº 32º da Diretiva (UE) 2016/680, com as mesmas responsabilidade e funções que qualquer outro EPD e cuja Diretiva se aplica a quem tiver de tratar dados pessoais na qualidade de órgão de policia criminal (OPC), não se aplicando no entanto a todos os dados que uma FS terá de processar, abrangendo o tratamento de dados no âmbito da prevenção, investigação, deteção ou repressão da prática de crimes ou contra-ordenações, incluindo os dados referentes aos elementos das FS no âmbito da gestão do seus recursos humanos.
O dever legal de uma FS é manter a lei e a ordem, prevenir o crime, levar os infratores perante a justiça e proteger todos os cidadãos e para isso é necessário processar dados pessoais dos cidadãos de acordo com o interesse público, significando que o processamento desses dados é feito de acordo com o previsto na lei e no âmbito da administração da justiça.
Os dados que são considerados pessoais são o nome e o endereço, informação sobre o emprego, informação financeira, raça ou étnica, opinião política, religião ou crença, estado de saúde, física ou mental, orientação sexual, registo criminal, características físicas, incluindo DNA, impressões digitais e outras amostras biológicas, fotografia, som e imagens, informação de antecedentes criminais, informação de acidentes, etc. Podendo os dados referidos constarem em bases de dados informáticas ou registadas em papel.
Os dados pessoais na posse das FS provêm de várias fontes, para além dos órgãos de inteligência da própria FS, incluindo outros OPC nacionais ou internacionais ou entidades responsáveis pelo licenciamento de atividades, como o registo automóvel, assim como Tribunais, estabelecimentos prisionais, Comissões de Proteção de Crianças e Jovens, empresas de segurança privada, organizações não-governamentais parceiras em estratégias de protecção de vítimas de crime e na prevenção da delinquência e da criminalidade, serviços de emergência como os bombeiros, serviço nacional de saúde, etc.
Estes dados pessoais são mantidos nas bases de dados das FS, devidamente seguros e encriptados, só podendo ser consultados segundo critério da “necessidade de saber”, unicamente através dos próprios elementos policiais, garantindo que todos os dados pessoais são tratados dentro da legalidade, só podendo ser usados para fins legais e para cumprimento da missão de manter a lei e a ordem, prevenir o crime e proteger todos os cidadãos e seus bens, devendo todos os dados desnecessários ser eliminados.
Assim como os dados pessoais podem ser provenientes de várias fontes, também as FS podem ter que partilhar os dados por si recolhidos e tratados, com outros organismos, onde se incluem os restantes OPC, Tribunais, organismos governamentais, etc, devendo a partilha de dados pessoais ser avaliada caso a caso e de acordo com a finalidade pretendida, garantindo medidas de segurança especiais, na partilha com organismos fora da União Europeia, especialmente onde não existe legislação de proteção de dados pessoais semelhante ao RGPD.
A segurança dos dados pessoais pelas FS é garantido através da implementação de medidas de segurança e da formação dos elementos responsáveis pelo seu tratamento, de acordo com as normas legais vigentes, bem como os servidores onde se encontrem alojadas as bases de dados se encontrem em locais seguros e de acesso restrito a elementos autorizados, bem como o acesso às bases de dados ser feito apenas por quem necessita da informação e devidamente credenciado.
Todos estes sistemas devem ser alvo de auditorias ou inspeções de segurança, quer físicas quer no âmbito da cibersegurança, garantido a protecção contra a perda de dados por uso indevido, devendo os procedimentos de acesso serem revistos periodicamente, assim como a credenciação de quem tem acesso aos dados pessoais.
As FS mantêm na sua posse os dados pessoais pelo tempo estritamente necessário à sua finalidade, podendo ser por tempo ilimitado, garantindo os direitos dos cidadãos que são: O Direito de ser informado, nomeadamente como foram obtidos e para que finalidade, devendo esta informação constar no “Aviso de Politica de Privacidade”; O Direito de Acesso, permitindo que qualquer cidadão pode aceder aos seus dados pessoais, estando no entanto sujeito a certas restrições; O Direito de Solicitar a sua Retificação, possibilitando corrigir os seus dados pessoais; O Direito de Eliminação e o Direito de Restrição, que permite solicitar a eliminação dos dados pessoais e/ou restringir o tratamento desses dados, por ausência de motivo; O Direitos Relativos à Tomada de Decisão Automatizada, quando o tratamento dos dados pessoais é realizado por meios automatizados sem qualquer envolvimento humano (o uso inteligência artificial).
Pelo atrás referido, podemos concluir que de entre todas as entidades que detêm dados pessoais, possivelmente as FS serão aquelas que melhor poderão cumprir as regras do RGPD, bem como garantir a proteção desses mesmo dados, podendo qualquer cidadão conhecer as políticas de privacidade das FS, bastando para isso fazer um pedido de acordo com o seu direito à informação.
