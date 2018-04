A questão em torno da protecção de dados conhece outra realidade a partir do próximo dia 25 de Maio, data em que se assinala a entrada em vigor do Novo Regulamento imposto pela Comissão Europeia, em Portugal. Este documento começou a ser preparado em 2014 e passados dois anos, mais concretamente, em 2016, foi publicado, ou seja, foram dados dois anos para os países da comunidade se adaptarem a esta nova realidade.

Mas afinal o que é este Novo Regulamento de Protecção de Dados? O DIÁRIO propôs-se a juntar três profundos conhecedores sobre a matéria, a fim de obter respostas a todas as questões envolvidas neste processo.

Pedro Camacho, Ricardo Vieira e José Miguel Tropa, engenheiro informático, segurador e advogado, respectivamente, sentaram-se numa mesa que, curiosamente, estava repleta de computadores e propuseram-se a abordar a temática.

“Nós estamos a um mês da entrada em vigor e agora é que ficámos preocupados com isto”, começou por referir José Miguel Tropa, o primeiro interveniente do círculo de conversação, explicando que “a Comissão Europeia disse que somos pessoas no meio digital e também temos de ser protegidos e regulados”.

De acordo com o advogado, esta nova directiva surge porque “o paradigma mudou” de há uns anos a esta parte, portanto, a título de exemplo, agora “o telemóvel sabe sempre onde nós estamos, sabem o que nós adquirimos ao comprar produtos com um cartão de crédito, os cartões de supermercado registam quais as preferências dos nossos produtos, ou na Internet sabem onde andamos a navegar pelo registo do histórico”.

Ainda assim, José Miguel Tropa afirma que “os dados não são só digitais”, embora tenham sido “os que mais cresceram desde 1995”, ano em que curiosamente entrou em vigor a última directiva.

“Os dados também são físicos. Se formos à Associação de Futebol da Madeira temos 15 mil fichas de atletas que não estão digitalizadas. A grande inovação é que a Comissão Europeia decidiu estabelecer um ‘mercado’ único digital, que regula esse nosso perfil, o que vemos na Internet e o que consumimos, o que compramos ou onde vamos. São dados que a Comissão decidiu agora tratar de uma maneira mais rigorosa e tratou de duas formas: primeiro, protegeu os direitos das pessoas, para poderem reclamar a utilização dos seus dados, e por outro vão aplicar multas de valor substancial para as empresas que possuem esses dados não poderem tratá-los ilicitamente”, esclareceu.

Sobre esta matéria, o jurista destacou ainda o facto de os cidadãos passarem a ter o direito a serem esquecidos.

“Houve um espanhol que pôs uma acção contra a Google, porque cada vez que em Espanha colocavam o nome dele nesse motor de busca ele aparecia como devedor às finanças. Passaram cinco anos, o homem saldou as suas dívidas, mas cada vez que colocavam o seu nome no Google aparecia sempre que ele devia milhões de euros ao fisco”, disse José Miguel Tropa, prosseguindo na explicação.

“Ele ganhou a acção, ou seja, o nome dele, que é um dado pessoal, quando é pesquisado, já não remete para aquele aspecto negativo da vida dele e foi esse caso que levou a que este direito fosse inscrito”.

Oportunidade para melhorar

Para Pedro Camacho “não é só pela questão das coimas que nos temos de preocupar”, sendo esta “uma excelente oportunidade para melhorar os processos”.

“Quando eu falo de processos é toda e qualquer passagem de informação, documental, dentro de uma organização. Às vezes fazemos coisas durante muitos anos e não sabemos porquê que as fazemos dessa forma. Podemos estar a tratar os dados de uma forma incorrecta”, afirmou o engenheiro informático, que encara esta fase como uma “oportunidade” para encararmos estes processos e dizermos que “há pontos que podem ser optimizados”.

Segundo Pedro Camacho, “esta lei, embora seja europeia, ela é aplicada em países como a Islândia, a Noruega e o Liechtenstein”, ou seja, “se eu tiver uma empresa nos EUA e prestar serviços a cidadãos europeus estou abrangido pela lei”.

“É importante referir que nasce a figura do DPO (Data Protection Officer) nas organizações, em português, Encarregado de Protecção de Dados, e essa é uma figura nova. As empresas, a partir de um determinado volume de tratamento de informação, ou mesmo que não tenham volume, mas que tratem de dados sensíveis, são obrigadas a ter um DPO”, explicou o engenheiro informático, adiantando que o DPO “tem de ser independente dentro de uma organização, ou seja, uma pessoa que responda ao patrão”, querendo com isto dizer que “em caso de uma fuga de informação grave ele tem o dever de alertar as autoridades, o que é sempre complicado denunciar o próprio chefe”.

“É muito importante que as instituições estejam preparadas para, em caso de uma inspecção, ou mesmo no caso de uma pessoa que lhes entregou os dados, poder justificar que tipo de tratamento é que dão”, evidenciou o madeirense, explicando sucintamente a questão de uma forma muito simples.

“A área da saúde é minimamente regulamentada, vai havendo registos dos tratamentos, mas podem não haver registos de quem consultou os meus dados e isso já é um problema. Há que ter em mente a questão dos dados sensíveis, que são dados que têm de ser alvo de um tratamento ainda mais especial e onde as coimas podem ser muito mais altas”, alertou Pedro Camacho, sobre uma matéria em que podem estar envolvidas informações como “origem racial e dados financeiros, ou seja, dados biométricos que permitam identificar uma determinada pessoa”, isto é, “há determinadas pessoas que recebem instrução sexual ou monetária porque há gente que tem acesso aos dados pessoais e que fazem chantagem, por exemplo, em tornar públicos esses dados”.

Madeira é caso particular

“Estamos expostos”, respondeu prontamente Pedro Camacho quanto ao facto da Madeira poder ou não passar ao lado desta problemática. “Estando em Berlim, Paris ou Funchal é tudo a mesma coisa. Com a sociedade da informação deixou de haver o conceito do ‘somos pequenos’. O número de habitantes pressupõe que se eu trabalhar apenas com o mercado regional o número de queixas poderá ser muito menor, mas os danos reputacionais podem ser muito mais violentos do que numa grande capital. Se acontecer aqui na Madeira a empresa estará completamente queimada”, elucidou.

Há dois níveis em que esta lei nos toca a todos. Primeiro, “nós temos os nossos dados pessoais, ou seja, nós somos os clientes deste regulamento” e “se sentirmos que estão a violar os nossos dados pessoais, dando-os uma utilização diferente e destruindo-os, podemos nos queixar”.

“Por outro lado, nos nossos trabalhos lidamos com dados pessoais de outras pessoas, portanto somos simultaneamente utilizadores e utilizados por dados pessoais. Por isso, independentemente dos utilizadores que existam na Madeira, ou do local, acabamos diariamente por lidar com dados pessoais e eles são feitos para nosso conforto, só que esse conforto implica obrigações que até agora não estavam a ser responsabilizadas”, observou.

Ainda assim, Pedro Camacho referiu que “os dados estatísticos não são dados pessoais” e “é perfeitamente legítimo, desde que consigamos tornar a informação anónima, fazer estatística”.

“Estes dados são úteis porque assim deixávamos de ter ciência e os próprios países deixavam de ter história. Os dados para uso doméstico não são considerados dados pessoais. Se andar pela Internet a recolher informação não há problema. Podemos fazer o que quisermos com os dados domésticos, desde que não os tornemos públicos, pois aí já estamos a incorrer de uma violação”.

Há ataques todos os dias

“Não estamos preparados”, assim respondeu Ricardo Vieira a uma das questões mais relevantes, isto é, se as instituições e a comunidade em geral já se aperceberam da nova política em torno da protecção de dados.

“As empresas, a nível geral, não estão preparadas. Nesse aspecto, surgem os seguros, como forma de mitigação de riscos ou perdas financeiras, dado que a exposição ao risco como estamos aqui a percepcionar já é muito grande e a forma de reduzir em parte o prejuízo, a saber, a custo da perda de dados, uma denúncia ou falha na informação, é efectivamente contratar um seguro para reduzir os custos desses problemas, que são altíssimos”, elucidou Ricardo Vieira, assegurando que o seguro garante todos os custos inerentes ao processo de reconstituição, pois “se não houver seguros as empresas poderão não ter capacidade para continuar a desenvolver a sua actividade”.

“Se se perder uma base de dados de clientes poderemos estar a falar em milhares ou milhões de euros. Este é um pequeno exemplo. O nosso posicionamento nos seguros, neste tipo de risco, é alertar as empresas e os intervenientes que há uma solução para reduzir o risco a que estão expostos”, explicou.

O papel do seguro está então dividido em três partes: responsabilidade no pagamento de indemnizações, gestão do incidente e salvaguardar a perda de exploração, isto é, “em caso de um ataque, se uma empresa não conseguir facturar e abrir uma perda de lucro e custos fixos, o seguro cobra essa situação”.

“Há aqui uma cobertura importante, essencialmente para a Madeira, que tem a ver com o efeito reputacional, ou seja, os ataques acontecem na Madeira diariamente e ninguém sabe. Se soubessem era demasiado delicado para as empresas que são atacadas, mas temos várias instituições que são atacadas diariamente”, alertou Ricardo Vieira.

Ultimamente, o gestor da Unidade de Negócio da Madeira da SABSEG esclarece que “as empresas agora já estão mais conscientes e abertas, porque agora percebem, como a lei vai sair em menos de dois meses, que este é um risco muito grande e já estão a contratar este tipo de seguro”.

Pegando nas palavras do gestor de seguros, “qualquer pessoa pode fazer uma denúncia” e isso “também pode acontecer por questões desleais. “Isto é muito complicado a nível do tratamento. As empresas não têm noção da complexidade de tudo isto, mas é um assunto que requer uma mudança de paradigma na organização. Têm de se readaptar e posicionar de forma a que cumpram este regulamento. A pior forma será com as multas, o que antes não havia”.

O Facebook também é ‘humano’

“As pessoas esquecem-se que o que põem nas redes sociais estão a torná-las públicas”. A frase pertence a Pedro Camacho, alertando para o facto de “nós aceitarmos os termos” daquela rede social, todos os dias.

“As pessoas não lêem, mas quase todas as semanas eles têm sido actualizados. Eu aceito, mas o que aconteceu de errado com o Facebook, tem a ver com o facto dos dados de utilizadores terem sido passados para um subcontratante, outra empresa, sem autorização do titular dos dados. Dei os dados ao Facebook, para um tratamento além do meu consentimento. Não consenti que os meus dados fossem trabalhados daquela forma e com aquelas intenções. Tenho o direito de saber o que é feito da minha informação”, disse o engenheiro informático.

A título de exemplo, Pedro Camacho destacou ainda que “não lemos por vezes o que vem nos cookies” e “a Amazon controla pela câmara para que zona do ecrã estamos a olhar”, portanto, sabem para que produtos estamos, efectivamente, a olhar ou à procura.

Directiva 95/46/CE vigorava desde 24 de Outubro de 1995 e foi agora revogada

- O Regulamento Geral sobre a Protecção de Dados 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revoga a anterior Directiva 95/46/CE, ou seja, o anterior regulamento, que vigorava desde 24 de Outubro de 1995. Abaixo identificámos as 10 áreas principais de actuação para prosseguir nos próximos meses, segundo a Comissão Nacional de Protecção de Dados.

- Informação aos titulares dos dados: “Deve rever a informação que fornece aos titulares dos dados, por escrito ou por telefone, no âmbito da recolha de dados, seja esta realizada directamente junto do titular ou não”.

- Exercício dos direitos dos titulares dos dados: “Deve rever os procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, atendendo a novas exigências específicas do regulamento neste domínio quanto à tramitação dos pedidos. Todo o procedimento deve ser devidamente documentado”.

- Consentimento dos titulares dos dados: “Deve verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares, quando este serve de base legal para o tratamento de dados pessoais”.

- Dados sensíveis: “Deve avaliar a natureza dos tratamentos de dados efectuados, a fim de apurar quais os que se podem enquadrar no conceito de dados sensíveis, e consequentemente se aplicarem condições específicas para o seu tratamento”.

- Documentação e Registo de actividades de tratamento: “Deve documentar de forma detalhada todas as actividades relacionadas com o tratamento de dados pessoais, tanto as que resultam

directamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações”.

- Contratos de subcontratação: “Deve rever os contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais para verificar se contêm todos os elementos exigidos pelo regulamento”.

- Encarregado de protecção de dados: “Deve preparar a designação do encarregado de protecção de dados com a antecedência devida, para garantir que a organização cumpre todas as obrigações legais desde o início da aplicação do regulamento”.

- Medidas técnicas e organizativas e segurança do tratamento: “Dever rever as políticas e práticas da organização à luz das novas obrigações do regulamento, e adoptar as medidas técnicas e organizativas adequadas e necessárias para assegurar e poder comprovar que todos os tratamentos de dados efectuados estão em conformidade com o RGPD a partir do momento da sua aplicação”.

- Protecção de dados desde a concepção e avaliação de impacto: Deve avaliar rigorosamente o tipo de tratamentos de dados que

tenha projectado realizar num futuro próximo”.

- Notificação de violações de segurança: “Deve adoptar procedimentos internos e ao nível da subcontratação, se for o caso, para lidar com casos de violações de dados pessoais, designadamente na detecção, identificação e investigação das circunstâncias, medidas mitigadoras, circuitos da informação entre responsável e subcontratante, envolvimento do encarregado de protecção de dados e notificação à CNPD, atendendo aos prazos prescritos no regulamento”.