Opinion (Rogério COPETO / GNR officiel): LE NOUVEAU DANS LA PROTECTION PARADIGME DES DONNEES.
Le sujet de la protection des données est à l'ordre du jour, parce que le lendemain 25 Mai, commence l'application de Règlement sur la protection des données générales (RGPD) l'Union européenne (UE), révoquer au Portugal Loi sur la protection des données 1998 (Lei n.º 67/98, DE 27 Octobre).
Rogério COPETO
Le lieutenant-colonel de la GNR
Master en droit et de la sécurité intérieure et de sécurité vérificateur
Le chef du commandement et de la formation Division de l'éducation / Doctrine
Le RGPD est daté 27 Avril 2016 et il est en vigueur depuis le 24 Mai 2016, va être appliquée de vendredi prochain dans tous les Etats membres de l'UE, qu'au cours des deux dernières années, pas approuvé la législation nationale, y compris le Portugal, de sorte que le RGPD est automatiquement appliqué au Portugal, établissant de nouvelles règles pour le traitement, por uma pessoa, une entreprise ou une organisation, de dados pessoais relativos a pessoas na UE.
Si, du vendredi le paradigme de la protection des données va changer, et l'opinion générale de tous les experts, qu'il ya quelques entités publiques ou privées qui sont prêts à répondre à la RGPD, parce que cela s'applique à la plupart des entités publiques et privées.
Comme les seules exceptions RGPD sont pas applicables au traitement des données personnelles des personnes décédées, des personnes morales et dans l'exécution des activités domestiques, car il n'y a aucun lien avec une activité professionnelle ou commerciale.
Pour illustrer où le RGPD applique peut donner comme exemple une société basée dans l'UE qui fournit des services aux clients situés au Moyen-Orient ou d'une entreprise en dehors de l'espace européen qui traite les citoyens données UE. Un exemple qui ne s'applique pas est l'utilisation par toute personne de leur propre carnet d'adresses privé, dans le but de contacts personnels par téléphone ou par e-mail.
En d'autres termes, le RGPD applique dans pratiquement toutes les situations où les données sont traitées, un sabre: Le nom et le prénom; L'adresse d'une résidence; L'adresse e-mail; Le numéro d'une carte d'identité; Données de localisation (par exemple, la fonction de données de position sur un téléphone mobile); L'adresse IP (Internet Protocol); Le biscuits; L'identifiant de la publicité de votre téléphone, et; Toutes les données détenues par une entité publique ou privée (hôpital ou médecin, etc), d'identifier une personne sans ambiguïté.
Bien que l'intention de cet article tout RGPD densifier, on peut voir facilement que leurs articles 99, changer le paradigme de la protection des données dans l'UE, le plus Commission nationale de protection des données (CNPD) ont mis en garde, par son Président, Filipa Calvão, qui dans une interview a déclaré que la DPA ne dispose pas de ressources humaines pour assurer le contrôle du respect des nouvelles règles de protection des données, Publique tel que décrit à l'article "Commission de protection des données « ne peut pas se permettre » d'assurer l'application des nouvelles règles", de 16 Mai.
En tenant compte des dernières nouvelles, Le Portugal est non seulement qu'il ne soit pas prêt à répondre à la RGPD, comme indiqué à l'entreprise, aucun jour 13 Mai, dans son article intitulé "Protection des données: seuls cinq pays ont déjà mis à jour la législation", qui stipule que "Le Portugal est pas seul dans le domaine des retards dans la mise en œuvre des lois qui complète le Règlement général de protection des données".
Peut-être ce manque d'intérêt des Etats membres de l'UE dans la régulation RGPD est le fait que la protection des données maintenant se faire selon les principes de l'auto-responsabilité et l'autorégulation, devraient donc toutes les entités soumises à son application à adopter une série de mesures pour vérifier l'état de la protection des données, Il est nécessaire à cet effet de prendre des mesures dans l'évaluation des risques.
La première phase est le diagnostic, qui devrait servir à identifier toutes les données que l'entité a. Qu'est-ce que le traitement est fait? Quels types de données sont? Dans quel but? Et quelle est la durée de vie? Ce qui les flux de données? Il y a des tiers ayant accès aux données? -À-dire doit être « ranger le tiroir » où les données ont été introduites au cours des dernières 20 ans, minimisant ainsi le risque.
La phase suivante est critique, devrait confirmer l'existence du consentement des personnes concernées pour leurs documents de traitement et de consentement respectifs, et devrait également être examiné les politiques de confidentialité et conditions d'utilisation, mettre toute la documentation conformément aux dispositions de RGPD.
La troisième phase consiste en la nomination d'un agent de la protection des données (EPD) l'enroulant autour du procédé de préparation et il accuse de la quatrième phase, la mise en œuvre, l'identification des mesures à adopter, évaluer les systèmes nécessaires à cet effet et d'élaborer un plan de mise en œuvre pour être en mesure de mettre en œuvre les nouvelles mesures, faire les commentaires et les corrections nécessaires, à remplir dans la dernière étape, la conformité, qui commencera le lendemain 25 Mai.
Comme il est mentionné une des obligations en vertu de RGPD est la nomination d'un DPO, qui, conformément à son Article 37, Il est nécessaire lorsque: "Le traitement se fait par une autorité ou un organisme public, à l'exception des tribunaux dans l'exercice de sa fonction judiciaire; Les activités principales du contrôleur ou le processeur consistent en des opérations de traitement, en raison de leur nature, sous et / ou à , nécessitent un suivi régulier et systématique des sujets de données à grande échelle; ou As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º".
L'EPD peut être une personne ou un groupe de personnes et ont des responsabilités et des tâches énoncées à l'article 38 et 39 de RGPD, concluant que l'EPD sera l'un des fonctionnaires les plus importants de toute entité publique ou privée, compte tenu de Reuters dans son article 14 Février 2018 avec le titre "Hausse de l'agent de protection des données, le billet de technologie la plus chaude en ville", où l'EPD "peuvent ne pas avoir le cachet des entrepreneurs, ou connaisseur chic développeurs, mais les agents de protection des données sont soudainement les propriétés les plus chaudes de la technologie".
Cette importance de l'EPD peut résulter du montant des amendes à infliger en cas de violation des règles RGPD, que dans les cas moins graves, poderá ter um valor até 10 millions ou 2% do volume de negócios anual a nÃvel mundial, selon le plus élevé, et dans les cas plus graves, a coima poderá ter um valor até 20 millions ou 4% do volume de negócios anual a nÃvel mundial, selon le plus élevé.
Toujours sur l'EPD, il faut noter que toutes les forces et services de sécurité sont également de nommer un DPO, conformément à l'article 32 de politique (UE) 2016/680 le Parlement européen et du Conseil, de 27 Avril 2016, sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes pour la prévention, recherche, deteção ou repressão de infrações penais ou execução de sanções penais, et à la libre circulation de ces données.
L'EPD d'un service de travail ou de sécurité a la responsabilité et les tâches énoncées dans artº 33 et 34 de la directive (UE) 2016/680, Il est chargé de vérifier le traitement des données conformément à RGPD, pour protéger toutes les données privées sous sa garde.
En prenant comme exemple le cas de GNR, le DPO doit veiller à la protection des données personnelles à des fins militaires et civiles de l'institution et tout autre citoyen qui a enregistré dans les bases de données de GNR.
Cependant, la plupart du traitement des données personnelles dans GNR ne repose pas sur le consentement de leurs détenteurs, exception étant le traitement des données relatives au soutien des populations vulnérables dans les différents programmes spéciaux de la police communautaire, Vous avez besoin du consentement des parties, correctement exprimée dans le document lui-même.
Cette nouvelle tâche ne consiste pas nouvelles à la GNR, parce que contrairement à d'autres entités, la mise en œuvre des mesures de protection des données actives et la vie privée de tous les citoyens, Il est l'une des préoccupations du GNR, depuis l'entrée en vigueur de la Loi sur la protection des données dans 1998, couché toutes les données personnelles dans les bases de données de GNR cryptées.
