A perspetiva da Cyber Academy
O GDPR regula os dados pessoais na UE e em qualquer organização que sirva residentes da UE. Base jurídica, direitos dos titulares dos dados, responsabilização, notificação de violações, fiscalização pelas autoridades de controlo. As coimas máximas (20 milhões de euros ou 4% do volume de negócios mundial) dominam as notícias; a maioria das ações de fiscalização resulta do diálogo com as autoridades de controlo, não da aplicação do máximo.
Um regulamento sobre responsabilização, não apenas sobre consentimento
O RGPD é muitas vezes reduzido, nas conversas, aos avisos de cookies e às janelas pop-up de consentimento, mas essa imagem não capta onde reside verdadeiramente o seu peso. O consentimento é apenas uma das várias bases jurídicas para o tratamento de dados pessoais e, para a maioria das operações de uma organização, nem sequer é aquela em que ela se apoia. A execução de um contrato, a obrigação legal e o interesse legítimo sustentam, na prática, muitos mais tratamentos.
A mudança mais profunda introduzida pelo RGPD é a responsabilização (accountability): não basta cumprir, é preciso conseguir demonstrar o cumprimento. Esse único princípio é o que transforma a proteção de dados, que passa de uma opinião jurídica para uma disciplina operacional, com registos, avaliações e provas por detrás de cada afirmação.
Por se tratar de um regulamento e não de uma diretiva, o RGPD aplica-se diretamente em toda a UE e, mais amplamente, no EEE, sem que cada país tenha de o transpor para o direito nacional, razão pela qual as suas obrigações fundamentais são idênticas em França, na Alemanha e na Irlanda. O seu alcance também se estende para além da Europa. Uma organização estabelecida fora da UE continua a estar abrangida pelo seu âmbito de aplicação quando oferece bens ou serviços a pessoas que se encontram na União ou monitoriza o comportamento delas nesse território. Este alcance territorial explica por que motivo uma empresa sem escritório europeu pode, ainda assim, ter de responder perante uma autoridade de controlo europeia.
Base jurídica, direitos dos titulares dos dados e deveres que daí decorrem
Todo o tratamento de dados pessoais necessita de uma base jurídica escolhida antes de o tratamento começar, e a base escolhida molda os direitos que as pessoas podem exercer. Os titulares dos dados podem pedir para aceder aos seus dados, para que sejam retificados ou apagados, para limitar o tratamento ou opor-se a ele e, em alguns casos, para os receber num formato portátil. Nenhum destes direitos é absoluto; cada um vem acompanhado de condições e isenções.
Em torno dos direitos situam-se os deveres do responsável pelo tratamento e do subcontratante: proteção de dados desde a conceção e por defeito, manutenção de um registo das atividades de tratamento, segurança dos dados através de medidas técnicas e organizativas adequadas, e celebração de contratos escritos sempre que um subcontratante trate dados por conta de um responsável pelo tratamento.
Dois deveres merecem destaque porque orientam o trabalho do dia a dia. Quando é provável que um tratamento resulte num risco elevado para as pessoas, o responsável pelo tratamento realiza uma avaliação de impacto sobre a proteção de dados antes de avançar, documentando o risco e a forma como é mitigado. E quando ocorre uma violação de dados pessoais, o responsável pelo tratamento fica sujeito a um dever de notificação à autoridade de controlo dentro de um prazo curto e definido, sendo também informadas as pessoas afetadas quando o risco para elas é elevado. Não são rituais burocráticos. São os pontos em que o princípio da responsabilização se torna uma obrigação concreta e sujeita a prazos.
Onde se situa o RGPD entre os conceitos vizinhos
Ajuda separar o RGPD dos papéis e das ferramentas que orbitam à sua volta. Um DPO é uma pessoa ou função que algumas organizações têm de designar para supervisionar o cumprimento; uma DPIA é o processo de avaliação para tratamentos de risco elevado; um ROPA é o inventário das atividades de tratamento; as cláusulas contratuais-tipo são um dos mecanismos para transferir dados para fora da UE de forma lícita. O RGPD é o regulamento que exige ou permite cada um destes elementos. As autoridades de controlo nacionais, como a CNIL em França, aplicam-no e emitem orientações, e o Comité Europeu para a Proteção de Dados coordena-as para que uma interpretação única se mantenha além-fronteiras.
Como observa a shortDefinition, os valores de destaque de até 20 milhões de euros ou 4 por cento do volume de negócios anual a nível mundial dominam a cobertura da imprensa, mas a maior parte da aplicação da lei decorre através do diálogo com a autoridade de controlo e não através de coimas máximas. As autoridades investigam, fazem perguntas, exigem correções e muitas vezes resolvem os assuntos através de medidas corretivas bem abaixo do limite máximo. Para os profissionais, a lição prática é que uma boa-fé demonstrável e uma postura de cumprimento sustentada por provas alteram o rumo desse diálogo. As organizações que saem pior são geralmente aquelas que não conseguem mostrar o que estavam a fazer com os dados, e não as que tomaram uma decisão honesta e documentada.
Como os profissionais o operacionalizam
Transformar o regulamento em trabalho de rotina começa geralmente pelo mapeamento. Constrói-se e mantém-se um registo das atividades de tratamento para saber que dados se detêm, porquê, com que base jurídica e para onde fluem. A partir daí, as equipas incorporam a privacidade desde a conceção nos novos projetos, realizam DPIA onde o risco é elevado, reforçam os contratos com subcontratantes e ensaiam o percurso de notificação de violações para que o relógio não as apanhe desprevenidas.
Muitas ancoram isto num sistema de gestão em vez de num dossiê de políticas, que é onde normas como a ISO 27701 e as orientações de apoio das autoridades de controlo conquistam o seu lugar. O objetivo é uma prova em regime permanente: a qualquer momento, é possível demonstrar uma base jurídica, um registo e um controlo para os dados pessoais que se tratam.
Frequently asked questions
01O RGPD aplica-se a empresas situadas fora da UE?
Sim, pode aplicar-se. O regulamento alcança as organizações estabelecidas fora da UE quando oferecem bens ou serviços a pessoas que se encontram na União ou monitorizam o comportamento delas nesse território. Não ter escritório europeu não o coloca fora do âmbito de aplicação; o fator decisivo é saber se visa ou rastreia pessoas na UE.
02É sempre necessário consentimento para tratar dados pessoais?
Não. O consentimento é apenas uma das várias bases jurídicas. Muitas operações apoiam-se, em vez disso, na execução de um contrato, numa obrigação legal ou no interesse legítimo. Deve escolher e documentar uma base adequada antes do tratamento, mas frequentemente não é o consentimento.
03Qual é a diferença entre um responsável pelo tratamento e um subcontratante?
Um responsável pelo tratamento decide por que e como os dados pessoais são tratados e assume a responsabilização principal. Um subcontratante trata os dados por conta do responsável pelo tratamento, ao abrigo de um contrato escrito e dentro das instruções do responsável pelo tratamento. Os dois papéis comportam deveres diferentes, mas que se sobrepõem, ao abrigo do regulamento.
04Quando é que uma violação tem de ser comunicada?
Um responsável pelo tratamento deve notificar qualquer violação de dados pessoais à autoridade de controlo competente dentro do prazo curto fixado pelo regulamento, exceto se for improvável que a violação resulte num risco para as pessoas. Quando o risco para as pessoas afetadas é elevado, essas pessoas devem ser igualmente informadas.
05Como é que o RGPD se relaciona com a ISO 27701?
O RGPD fixa as obrigações legais; a ISO/IEC 27701 dá-lhe um sistema de gestão da informação de privacidade certificável para as cumprir de forma estruturada e auditável. Possuir a certificação não o torna, por si só, legalmente conforme, mas institucionaliza os registos, as avaliações e os controlos que o regulamento espera.