Opinião (Rogério Copeto/ Oficial GNR): O NOVO PARADIGMA NA PROTEÇÃO DE DADOS.
O assunto da proteção de dados está na ordem do dia, porque no próximo dia 25 de maio, inicia-se a aplicação do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia (UE), revogando em Portugal a Lei de Proteção de Dados de 1998 (Lei n.º 67/98, DE 27 de outubro).
Rogério Copeto
Tenente-Coronel da GNR
Mestre em Direito e Segurança e Auditor de Segurança Interna
Chefe do Da Divisão de Ensino/ Comando de Doutrina e Formação
O RGPD tem a data de 27 de abril de 2016 e está em vigor desde 24 de maio de 2016, passando a ser aplicado a partir da próxima sexta-feira em todos os estados-membros da UE, que nos últimos dois anos, não aprovaram legislação interna, onde se inclui Portugal, pelo que o RGPD é aplicado automaticamente em Portugal, estabelecendo as novas regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE.
Assim, a partir de sexta-feira o paradigma da proteção de dados irá mudar, sendo a opinião geral de todos os peritos, que poucas são as entidades públicas ou privadas que estão preparadas para cumprir o RGPD, porque este aplica-se à generalidade das entidades públicas e privadas.
Como únicas exceções o RGPD não se aplica ao tratamento de dados pessoais de pessoas falecidas, de pessoas coletivas e no exercício de atividades domésticas, desde que não haja qualquer ligação com uma atividade profissional ou comercial.
Para exemplificar onde o RGPD se aplica podemos dar como exemplo uma empresa com sede na UE que presta serviços a clientes situados no médio oriente ou uma empresa fora do espaço da UE que trate dados de cidadãos pertencentes à UE. Um exemplo onde não se aplica é na utilização por uma qualquer pessoa do seu próprio livro de endereços privado, para efeitos de contatos pessoais por telefone ou por correio electrónico.
Ou seja, o RGPD aplica-se praticamente em todas as situações em que são tratados dados pessoais, a saber: O nome e apelido; O endereço de uma residência; O endereço de correio eletrónico; O número de um cartão de identificação; Os dados de localização (por exemplo, a função de dados de localização num telemóvel); O endereço IP (protocolo de internet); Os cookies; O identificador de publicidade do seu telefone, e; Todos os dados detidos por uma qualquer entidade pública ou privada (hospital ou médico, etc), que permitam identificar uma pessoa de forma inequívoca.
Apesar de não ser intenção do presente artigo densificar todo o RGPD, verifica-se facilmente que os seus 99º artigos, mudam o paradigma da proteção de dados na UE, tendo por isso a Comissão Nacional de Proteção de Dados (CNPD) já vindo avisar, através da sua Presidente, Filipa Calvão, que em entrevista referiu que a CNPD não dispõe de recursos humanos que permitam garantir a fiscalização sobre o cumprimento das novas regras da proteção de dados, conforme o Público refere no artigo “Comissão de Proteção de Dados ‘não tem condições’ para garantir aplicação de novas regras”, de 16 de maio.
Tendo em conta as notícias mais recentes, não é só Portugal que não está preparado para cumprir o RGPD, conforme referia o Negócios, no dia de 13 de maio, no seu artigo com o título “Proteção de dados: só cinco países já têm legislação actualizada”, onde consta que “Portugal não está sozinho em matéria de atrasos na implementação da legislação que complementa o Regulamento Geral de Proteção de Dados”.
Possivelmente esta falta de preocupação dos estados membros da UE na regulamentação do RGPD estará no facto da proteção de dados passar a ser feita segundo os princípios da auto-responsabilização e da auto-regulação, devendo por isso todas as entidades sujeitas à sua aplicação adoptar um conjunto de medidas para verificação do estado da proteção dos dados, sendo necessário para o efeito seguir alguns passos na avaliação de risco.
A primeira fase é a de Diagnostico, que deverá servir para identificar todos os dados que a entidade possui. Qual o tratamento que é feito? Que tipos de dados existem? Para que finalidade? E qual o prazo de conservação? Quais os fluxos de dados existentes? Existem terceiras pessoas com acesso aos dados? Ou seja deverá ser “arrumada a gaveta” onde os dados foram introduzidos nos últimos 20 anos, minimizando dessa forma o risco.
A seguir é fase de Revisão, devendo confirmar-se a existência de consentimento dos titulares dos dados para o seu tratamento e respetivos documentos de consentimento, devendo ainda serem revistas as políticas de privacidade e os termos de utilização, colocando toda a documentação de acordo com o previsto no RGPD.
A terceira fase é constituída pela nomeação de um Encarregado de Proteção de Dados (EPD) envolvendo-o em todo o processo de preparação e responsabiliza-lo pela quarta fase, a da Implementação, identificando as medidas a adotar, avaliar os sistemas informáticos necessários para o efeito e elaborar um plano de implementação que seja capaz de executar as novas medidas, procedendo às necessárias avaliações e correções, de modo a cumprir-se a última fase, a do Cumprimento, que se iniciará no próximo dia 25 de maio.
Conforme referido uma das obrigações previstas no RGPD é a nomeação de um EPD, que segundo o seu artº 37º, é obrigatória quando: “O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º”.
O EPD pode ser uma pessoa ou um conjunto de pessoas e tem as responsabilidades e funções constantes no artº 38º e 39º do RGPD, concluindo-se que o EPD passará a ser um dos funcionários mais importantes dentro de qualquer entidade publica ou privada, considerando a Reuters no seu a artigo de 14 de fevereiro de 2018 com o título “Rise of the data protection officer, the hottest tech ticket in town”, em que o EPD “may not have the cachet of entrepreneurs, or geek chic of developers, but data protection officers are suddenly the hottest properties in technology”.
Esta importância do EPD poderá advir do valor das coimas a aplicar em caso de incumprimento das normas do RGPD, que nos casos menos graves, poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado e nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
Ainda sobre o EPD importa referir que todas as Forças e Serviços de Segurança também devem proceder à nomeação de um EPD, de acordo com o artº 32º da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dado.
O EPD de uma Força ou Serviço de Segurança terá as responsabilidade e funções constantes nos artº 33º e 34º da Diretiva (UE) 2016/680, sendo responsável pela verificação do tratamento dos dados em conformidade com o RGPD, visando proteger todos os dados privados à sua guarda.
Dando como exemplo o caso da GNR, o EPD deverá garantir a proteção dos dados pessoais referentes aos militares e civis da instituição e de qualquer outro cidadão que conste nas bases de dados da GNR.
No entanto a maior parte do tratamento de dados pessoais na GNR não se baseia no consentimento dos seus titulares, sendo exceção o tratamento dos dados referentes ao apoio às populações vulneráveis no âmbito dos vários programas especiais de policiamento de proximidade, que necessitará do consentimento das mesmas, devidamente expressa em documento próprio.
Esta nova tarefa não é novidade para a GNR, porque ao contrário de outras entidades, a implementação de medidas ativas de proteção de dados e da privacidade de todos os cidadãos, é uma das preocupações da GNR, desde a entrada em vigor da Lei de Proteção de Dados em 1998, encontrando-se todos os dados pessoais existentes nas bases de dados da GNR encriptados.
