RGPD

Resumo do RGPD explicado em 20 pontos essenciais

  • Tem de existir uma base legal para controlar e processar dados pessoais (Artigo 6). A base legal inclui consentimento direto do indivíduo (entenda-se como titular de dados) para a execução de um contrato de tratamento desses dados, conformidade com as obrigações legais da entidade, protegendo os interesses vitais do indivíduo, e os legítimos interesses da entidade. É essencial ser muito claro na base legal específica para recolher e processar dados pessoais, porque alguns direitos dos indivíduos são válidos só para dados guardados de acordo com uma ou duas bases legais, por exemplo. Enquanto a base dos “interesses legítimos” parece dar uma grande influência à entidade, existem várias várias circunstâncias que limitam a sua aplicabilidade, tal como ter em conta o contexto em que os dados são recolhidos e a relação entre o indivíduo e a entidade.
  • Deve-se recolher e processar dados pessoais só para objetivos legais, e proteger sempre esse dados. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso, e alteração. Ao abrigo do RGPD, os indivíduos têm direitos significativos e liberdades, e estes têm de ser confirmados através de adequadas medidas técnicas e organizativas.
  • Tem de se manter documentação de todas as atividades de processamento de dados (Artigo 30). Os detalhes mandatórios incluem o propósito do processamento, categorias dos assuntos e dados pessoais envolvidos, categorias dos destinatários, salvaguardas em todas as transferências de dados, e se possível, limites temporais para apagar. Também é necessário manter uma descrição técnica das medidas de segurança na organização. Estes registos deverão ser mantidos em suporte de papel ou eletrónico, e disponíveis para auditoria e revisão pela autoridade de supervisão sempre que solicitado. As entidades com menos de 250 empregados estão excluidas destes requisitos desde que não se verifique nenhuma das seguintes condições no tratamento de dados:
    • Seja suscetível de implicar um risco para os direitos e liberdades do titular de dados.
    • Nâo seja ocasional.
    • Abranja as seguintes categorias de dados : origem racial ou ética, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou relativos à vida sexual ou orientação sexual.
    • Dados pessoais relativos a condenações penais e infrações.
  • Fazer uma avaliação de riscos aos direitos e liberdades no controlo e processamento de dados pessoais, e implementar medidas organizacionais e tecnológicas para atenuar os riscos identificados. A avaliação de riscos tem de incluir as relações com as terceiras partes que processem dados em nome da sua entidade.
  • Ser capaz de demonstrar a conformidade com o RGPD através de medidas técnicas e organizativas , e em qualquer momento avaliar a robustez e adequação dessas medidas (Artigo 25). Demonstrar conformidade inclui ter políticas de proteção de dados sob controlo, uma avaliação atualizada dos riscos para os dados pessoais (privilégios de acesso) , medidas técnicas implementadas que reforcem a proteção (ex: encriptação), regras sobre a transferência de dados para outros países, programas de formação internos sobre a proteção de dados, meios para identificar e investigar violacões de dados, e os meios para responder prontamente a pedidos de acesso aos dados pessoais de cada indivíduo, entre outros. Todas estas medidas têm de estar sempre presentes assim como os meios para demonstrar a sua implementação e eficiência. Os mecanismos de certificação também são mencionados no RGPD, focalizando na necessidade da conformidade estar sempre presente. Em geral, a intenção do RGPD é que os dados pessoais passem a estar protegidos,  independentemente das ferramentas de proteção de dados que as entidades implementem.
  • Adotar o elevado standard de consentimento, ou seja, ter sempre o consentimento é a base legal para processar dados (Artigo 7). O consentimento significa “Uma manifestação de vontade específica, clara e sem ambiguidades dada livremente por um indivíduo através de uma declaração ou ação positiva inequívoca, que significa um acordo relativamente ao processamento de dados pessoais desse indivíduo” (Artigo 4 -11). O consentimento não pode ser implícito nem o resultado de ‘check-boxes’ preenchidas por defeito, ou o silêncio. O consentimento tem de ser documentado (o que significa que a entidade controladora de dados tem de ser capaz de demonstrar evidência de como o consentimento foi dado). E, entre outras condições, o consentimento não pode ser agrupado (tem de ser dado para uma operação específica e determinado propósito), e o indivíduo tem de poder retirar esse consentimento tão facilmente como o deu. Este elevado standard de consentimento abrange todos os consentimentos dados após a entrada em vigor do RGPD (final de Maio 2018) assim como todos os consentimentos dados antes da entrada em vigor deste acordo.
  • Minimizar a quantidade de dados pesssoais a serem processados, um princípio denominado “minimização de dados” (Artigo 5 c). O que se pretende neste requisito é que não se deve recolher e/ou processar informação desnecessária para cada atividade de processamento de dados. O RGPD vai ainda mais longe quando menciona a “Proteção de dados desde a conceção e por defeito” (Artigo 25). Com este requisito,  assim que determinados dados pessoais deixem de ser necessários para as determinadas atividades de processamento, os mesmos devem ser minimizados através da pseudonimização (um processo que substitui identificadores diretos e indiretos por valores com menos sentido, embora estes possam ser re-identificados) ou apagados.
  • Notificar a autoridade supervisora de uma violação de dados no prazo de 72 horas após ter conhecimento da mesma (Artigo 33), e em determinadas circunstâncias, notificar os indivíduos afetados por essa violação de dados (Artigo 34). Não é necessário notificar a autoridade supervisora se a violação de dados não representar um risco para os direitos e liberdades dos indivíduos. Também não é necessário notificar os indivíduos afetados se essa violação de dados não representar um alto risco para os seus direitos e liberdades. Por exemplo, se os dados violados estiverem encriptados com um mecanismo de encriptação forte, as notificações não são necessárias.
  • Nomear um encarregado de proteção de dados (Artigo 37), que pode ser um funcionário de uma entidade, um representante para um grupo de organizações, ou um consultor externo. Esta nomeação é obrigatória para as autoridades públicas, e para as entidades que tenham pelo menos uma das seguintes condições :
    • As atividades dos seu ‘core business’ consistem em processamento de dados que necessitam de monitorização regular e sistemática dos indivíduos em larga escala.
    • Categorias especiais de dados que são processadas em larga escala.
    O encarregado de proteção de dados (DPO) deve ter qualidade profissional e conhecimento especializado acerca das leis de proteção de dados e melhores práticas. Deve ser igualmente capaz de desempenhar as tarefas descritas no regulamento (Artigo 39). Nomeadamente, informar e aconselhar os responsáveis pelo tratamento, subcontratante e trabalhadores acerca das suas obrigações decorrentes do RGPD, monitorizar a conformidade e comunicar com  a autoridade supervisora. O encarregado de proteção de dados deve reportar ao nível mais alto da administração da empresa (Artigo 38) e deve ter independência na execução das suas tarefas.
  • Executar uma avaliação de impacto sobre a proteção de dados (DPIA) para os processamantos de dados que apresentarem potenciais riscos para os direitos e liberdades dos indivíduos e assegurar a participação do encarregado de proteção de dados nessa avaliação (Artigo 35). Potenciais riscos são atividades de processamento automático e definição de perfis, decisões que produzem efeitos jurídicos nos indivíduos, processamento em larga escala de categorias especiais de dados e controlo sistemático de zonas acessíveis ao público em geral. O objetivo destas avaliações é forçar uma pré-avaliação prévia do que é realmente necessário, de como a atividade de processamento pode afetar os indivíduos e como desenvolver medidas organizativas e técnicas que reduzam esses riscos. Em certas circunstâncias, as entidades têm de consultar a autoridade supervisora antes de efetuar o processamento, e esperar até a atividade de processamento de dados ser considerada legal pela autoridade supervisora (Artigo 36).
  • Assegurar a proteção de dados durante as atividades de processamento, através da implementação de medidas técnicas e organizativas que sejam adequadas (Artigo 25). Estas salvaguardas de proteção têm de ser implementadas quando se determina como se vai fazer um processamento e na altura da execução do mesmo. As salvaguardas necessárias terão de ser proporcionais aos riscos sobre os direitos e liberdades dos indivíduos.  Como exemplos de medidas, existe a pseudonimização, encriptação, confidencialidade, integridade, disponibilidade e resiliência dos serviços de processamento.  E, terá igualmente de ser implementado um processo  (artigo 32) para testar e avaliar regularmente a eficácia destas medidas.
  • Respeitar as condições especiais para processamento de categorias especiais de dados pessoais. De acordo com o regulamento (Artigo 9(1)), “É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”. Contudo, existem 10 exclusões a esta regra (Artigo 9(2)). Considerando o elevado risco dos indivíduos nesta categoria especial, também são necessárias maiores proteções. O RGPD reconhece que a utilização de dados pode ser sensível , então, há a intenção de tentar limitar a sua utilização. É por isso que as avaliações de impacto sobre a proteção de dados são geralmente necessárias para processar categorias especiais de dados; o encarregado de proteção de dados tem de estar à frente do processamento e a consulta à autoridade supervisora é obrigatória.
  • Responder prontamente a pedidos dos indivíduos acerca dos seus dados pessoais que determinada entidade controla, processa ou transfere (Artigo 15). Os indivíduos têm o direito de acesso para saberem o objetivo do processamento, categorias de dados pessoais processados, destinatários ou categorias de destinatários que têm acesso oas dados, durante quanto tempo irão estar gravados, o direito de retificar ou apagar, e mais. Se os dados pessoais estão sujeitos a processamentos automáticos e definição de perfil, a entidade tem de providenciar informação acerca da lógica envolvida, assim como o significado e as previstas consequências desse processamento para o indvíduo. O primeiro pedido de cada indivíduo tem de ser executado sem qualquer custo, embora possa ser cobrada uma pequena taxa baseada nos custos administrativos para mais cópias. O RGPD acrescenta que o indivíduo deveria ter a possibilidade de executar este direito facilmente e com intervalos razoáveis de forma a conhecer o processamento e verificar a sua legalidade, sugerindo ainda que a entidade deveria usar um sistema seguro que permitisse aos indivíduos aceder aos seus dados pessoais diretamente.
  • O indivíduo tem o direito de pedir a alteração e/ou correção de dados pessoais incompletos através de qualquer meio, incluindo uma declaração adicional (Artigo 16). Isto é o lado oposto do direito à retificação. As entidades terão de implementar uma integração entre todos os sistemas e processos de forma a assegurar que os dados atualizados num sistema serão automaticamente atuaiizados em todos os sistemas dessa entidade.
  • O indivíduo tem o direito de apagar permanentemente qualquer dado pessoal de acordo com condições específicas (Artigo 17). Estas condições incluem a retirada de consentimento (quando o mesmo foi a origem da recolha e processamento), dados pessoais processados de forma ilegal , dados pessoais deixarem de ser necessários para a finalidade que motivou o processamento, entre outras. Se entretanto, esses dados tiverem sido tornados públicos por alguma razão, têm de ser tomadas ações razoáveis no sentido de informar os outros controladores de dados do pedido/direito de apagar esses dados.
  • O indivíduo tem o direito de limitar o tratamento dos seus dados pessoais temporariamente de acordo com condições específicas (Artigo 18). Estas condições incluem a contestação da exatidão de dados pessoais, dados processados de forma ilegal mas sem pedido de apagamento, entre outras. Existem vários métodos para limitar o processamento e este facto deve estar claramente indicado no sistema.
  • O indivíduo “tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento” (Artigo 20). Existem várias exclusões referidas no respetivo artigo.
  • Ter métodos alternativos para tomar decisões sobre indivíduos para além dos processamentos automáticos e definições de perfil, tais como a intervenção humana (Artigo 22). Consequentemente, o indivíduo “tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamanto automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar” . Existem várias exclusões referidas no respetivo artigo.
  • Evitar que os dados possam ser transferidos para fora da União Europeia para um país terceiro ou organização internacional, a menos que existam proteções específicas em vigor (Artigo 44). Estas proteções tanto podem ser uma decisão adequada da União Europeia como níveis adequados de proteção de dados dos destinatários , entre outros. (Artigos 45,46 e 47)
  • Assegurar restrições adicionais ao manuseamento de dados pessoais de crianças quando lhes são oferecidos serviços diretamente. A linguagem utilizada diretamente com as crianças tem de ser clara o suficiente para garantir que a criança pode compreender facilmente. O consentimento é dado por quem tiver a responsabilidade parental para crianças com menos de 16 anos. Os estados membros da União Europeia podem baixar o limite de idade até 13 anos. (Artigo 8). Uma forte implicação deste requisito reside na forma de verificação da idade.