Luis Lobo e Silva
Consultor em Gestão de Segurança de Informação
Managing Partner da Focus2Comply
Imagine, aproveitar o seu Sábado de manhã para rever a actividade escolar do seu filho na semana que termina e deparar-se com um flyer (panfleto) impresso (algures e por entidades que desconhece) em offset, sem estar inserido num invólucro fechado e sob garantia que só será aberto por si (ou o seu filho), no qual consta o nome completo do seu filho, o estabelecimento de ensino que frequenta, o respectivo ano e turma. Constata ainda que os dados do seu filho estão inseridos numa plataforma (cuja gestão e propriedade desconhece) digital de acesso a conteúdos (presume-se) didácticos, que recolheu algures os dados do seu filho (e possivelmente o seus), não sabendo exactamente que dados foram recolhidos. O que pode ser uma louvável iniciativa de incentivo ao conhecimento e evolução cultural do seu educando, rapidamente se esfumaça sob um sentimento de indignação (pelo menos para quem está mais desperto para estes temas da privacidade e direito à reserva de identidade). Percebe então que o edil do município onde reside e para onde contribui com o seus impostos, não respeita a sua privacidade. Pior, não respeita a privacidade (quiçá segurança e bem estar) do seu filho.
Se existe uma cultura generalizada de desleixo e desrespeito sobre a reserva de identidade e privacidade por parte de algumas entidades privadas, já concebo menos o mesmo se passe com entidades públicas e que dependem do erário público, devendo por isso ser os primeiros a dar o exemplo. Pois, para os mais incautos (pelo menos…), informa-se: Regulamento 2016/679 da União Europeia, de 27 de Abril de 2016, vulgo, RGPD – Regulamento Geral de Protecção de Dados.
Ora bem, para os menos informados, um Regulamento (europeu) difere de uma Normativa, exactamente na medida em que a partir do momento em que é publicado, entra obrigatoriamente em vigor em toda a União Europeia. Devem então, cada um dos Estados soberanos, transpôr os regulamentos para a sua Lei nacional. Talvez, nesta matéria de RGPD, algumas entidades julguem ainda considerar-se dispensadas das respectivas obrigatoriedades e ónus civil e criminal, pelo facto de em Portugal este regulamento não ter sido ainda transposto para Lei portuguesa. Isto porque, a Lei soberana de cada Estado é que prevalece no seu território e porque, também desta forma, não existe formalmente uma entidade a que tenham sido atribuídas competências legais para funcionar como autoridade fiscalizadora. Neste aspecto, se a CNPD era a entidade que assegurava o cumprimento da lei 67/98(Protecção de Dados Pessoais), não só temos essa lei (67/98) automaticamente revogada desde a publicação do novo regulamento 2016/679 da UE, como existe uma espécie de vaccum legis quanto à competência legal da CNPD enquanto autoridade para fazer cumprir o RGPD. Confuso? Eu também. E asseguro-lhe que muitos juristas e advogados conceituados divergem também sobre a matéria. Este é aliás um dos argumentos de defesa de uma entidade hospitalar recentemente advertida pela CNPD, relativamente a uma série de alegadas não conformidades no tratamento de dados pessoais. No entanto, este RGPD, prevê uma figura jurídica que poderá auxiliar na questão: o conceito one stop shop, ou seja, qualquer cidadão europeu, independentemente da sua nacionalidade, poderá reclamar junto de qualquer entidade fiscalizadora reconhecida para tal no seu país de origem. Podemos por exemplo, reclamar na German Federal Data Protection Act (‘Bundesdatenschutzgesetz’), na Alemanha, ou noutro país que já tenha transposto o regulamento para lei nacional e atribuído a respectiva competência legal a uma entidade no seu país.
Porém, não obstante o espaço temporal até transposição do RGPD para lei nacional portuguesa, não podemos esquecer que o mesmo terminará e afinal importa acima de tudo saber se podemos confiar (pelo menos) nas entidades públicas e se estas estão preparadas para estar em conformidade com as novas exigências para a privacidade de dados pessoais.
Na situação aqui exposta de início, importa recordar que, quer um município, quer uma entidade gestora de plataforma digital, com actuações idênticas, incorrem no imediato e pelo menos nas seguintes violações directas do RGPD:
– Artigo 6º: Existir uma base legal para controlar e processar dados pessoais. Base legal inclui consentimento direto do indivíduo (entenda-se como titular de dados) para a execução de um contrato de tratamento desses dados e para uma finalidade concreta;
– Artigo 7º: Ter sempre o consentimento é a base legal para processar dados. O consentimento significa “uma manifestação de vontade específica, clara e sem ambiguidades dada livremente por um indivíduo através de uma declaração ou ação positiva inequívoca”;
– Artigo 4º/11: O consentimento não pode ser implícito nem o resultado de ‘check-boxes’ preenchidas por defeito, ou o silêncio;
As responsabilidade de tais entidades, não se esgotam apenas nos artigos referenciados acima. Importa ainda que assegurem especificamente os artigos seguintes:
– Artigo 17º: O indivíduo tem o direito de apagar permanentemente qualquer dado pessoal de acordo com condições específicas. Estas condições incluem a retirada de consentimento, dados pessoais processados de forma ilegal , dados pessoais deixarem de ser necessários para a finalidade que motivou o processamento, entre outras;
– Artigo 18º: O indivíduo tem o direito de limitar o tratamento dos seus dados pessoais temporariamente de acordo com condições específicas. Estas condições incluem a contestação da exatidão de dados pessoais, dados processados de forma ilegal mas sem pedido de apagamento, entre outras;
– Artigo 20º: O indivíduo “tem o direito de receber (e conhecer) os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento”;
– Artigo 22º: Ter métodos alternativos para tomar decisões sobre indivíduos para além dos processamentos automáticos e definições de perfil, tais como a intervenção humana;
– Artigo 25º: Ser capaz de demonstrar a conformidade com o RGPD através de medidas técnicas e organizativas , e em qualquer momento avaliar a robustez e adequação dessas medidas;
– Artigo 30º: Tem de existir documentação de todas as atividades de processamento de dados.
Por fim, entendo que podem (e devem) existir iniciativas culturais e didácticas ao dispor das nossas crianças, mas que salvaguardem os seus direitos e segurança, sob pena de que condutas e prácticas que não o sejam, possam significar um presságio de um modelo para outras iniciativas menos dignas. Assim sendo, resta esperar pelo bom senso e a reversão de ilegalidades idênticas ao cenário aqui exposto, em último caso, responsabilidade do encarregado de protecção de dados das organizações em causa e do responsável hierárquico a quem reporta, sendo que “o encarregado de proteção de dados deve reportar ao nível mais alto da administração da empresa e deve ter independência na execução das suas tarefas – Artigo 38º do RGPD.
______________________________________________________________________________________________________
As opiniões expressas em cada artigo de opinião são da responsabilidade expressa e exclusiva dos seus autores, não vinculando nem traduzindo as opiniões dos demais autores ou as posições do Jornal de Mafra
______________________________________________________________________________________________________
