Correio do Minho

Braga, segunda-feira

- +

Proteção de Dados – parte II

A recuperação das aprendizagens

Proteção de Dados – parte II

Ensino

2021-03-24 às 06h00

Francisco Porto Ribeiro Francisco Porto Ribeiro

No último artigo ficámos na questão dos direitos do titular dos dados, nomeadamente, o direito de informação sobre as consequências pelo não fornecimento dos dados, no caso de existência de decisões automatizadas incluindo a definição de perfis, o direito de ser informado sobre a finalidade do tratamento, o direito de saber o prazo de conservação dos dados, saber quem é o responsável pelo tratamento desses dados e a quem é que esse responsável transmite os dados. Também referimos o direito de retificação e eliminação de dados, o direito a complementar dados, o direito à remoção quando se opõe ao consentimento, o direito a apagar dos dados e de impedir que continuem a serem tratados, o direito à limitação do tratamento dados, o direito de portabilidade de dados, o direito de oposição à comercialização dos dados e o direito à proteção contra decisões automáticas (no caso de tratamento automatizado de dados). Ficámos por aqui.
Vamos, agora, continuar a falar de direitos, mas do outro lado da “barreira”, limitando os direitos dos titulares, desde que se respeite a essência dos direitos e liberdades fundamentais como medida necessária, nomeadamente, a segurança e a defesa do Estado ou da segurança pública, nos casos de prevenção, investigação ou deteção, infrações penais ou ameaças à segurança pública ou outras questões de interesse público do Estado-Membro ou da União Europeia (UE).
Posto isto, é importante ressalvar que há 6 grandes princípios gerais do Tratamento de Dados Pessoais, nomeadamente, (1) o princípio da licitude, da lealdade e da transparência (os dados só podem ser objeto de tratamento quando o fundamento da licitude seja assente em fontes constantes no RGPD; no caso de execução de um contrato ou obrigação jurídica; quando estão envolvidos interesses vitais, funções de interesse público, o exercício da autoridade pública ou interesses legítimos do Responsável pelo Tratamento), (2) o princípio da limitação de finalidades (pressupõe que os dados só podem ser tratados para fins específicos, explícitos e legítimos), (3) o princípio da minimização de dados (apenas podem ser tratados dados pessoais que sejam relevantes e estritamente necessários para cumprimento da finalidade para a qual são tratados – need to know), (4) o princípio da exatidão (os dados pessoais que são objeto de tratamento para uma determinada finalidade estão atualizados e corretos, devendo ser eliminados ou corrigidos), (5) o princípio da limitação de conservação (os dados pessoais só podem ser conservados durante o tempo necessário para a prossecução da finalidade para a qual são recolhidos e tratados) e (6) o princípio da integridade e confidencialidade dos dados (a ser realizados de forma segura, protegida contra acessos e tratamentos ilícitos e contra persas acidentais, danos ou destruição).
É absolutamente fundamental que tenha presente estes princípios para saber onde estão os seus direitos e até onde pode ir a sua reclamação (eventual). Não podemos descurar o facto que passa haver consentimento explícito quando existe um acto de concordância ou manifestação de vontade, livre, específica, informada e explícita. Por outro lado, o responsável pelo tratamento de dados deve assegurar e comprovar que o tratamento é realizado em conformidade com o RGPD. Devem, ainda, conservar o registo de todas as atividades de tratamento sob a sua responsabilidade, nomeadamente, nomes dos responsáveis, finalidades do tratamento, prazo previsto para o apagamento, são as principais ações.
De facto, há muita coisa a ter em conta, enquanto titulares de dados pessoais, mas temos que nos proteger daí esta partilha. E continuando com os cuidados a ter, um aspeto importante prende-se com a transferência de dados pessoais para países terceiros ou organizações internacionais (muitas vezes, são veículos de fuga à responsabilidade). Neste caso, temos que ter a garantia que qualquer transferência de dados pessoais, da cá para lá e vice-versa, só se realiza nos termos das condições do RGPD. Por fim, deve o encarregado de proteção de dados (EPD), também podendo ser referido como DPO (data protection officer, versão anglo-saxónica) tem como funções identificar as atividades de tratamento, analisar e verificar a conformidade das atividades e prestar informações. O EPD (ou DPO) deve ser designado com base nas suas qualidades profissionais e conhecimentos especializados (embora o RGPD não explicite quais).
Agora, colocados (alguns) esclarecimentos, outra questão se levanta, nomeadamente, quanto ao que se deve fazer em caso de violação de dados? Pois, aqui inicia-se o busílis e o processo abre com uma notificação de violação de dados pessoais à Autoridade de Controlo (AdC) por parte do EDP ou do responsável pelo Tratamento, no limite máximo até 72 horas (3 dias) após ter tido conhecimento da situação, salvo se a violação não resulte num risco de direitos. A notificação, a ser feita pela organização, deve ser sempre acompanhada da descrição do acto, com as devidas métricas de consequências, para além do dever de comunicação ao verdadeiro titular dos dados. Por sua vez, a AdC assegura o processo de averiguação e, se assim o considera, aplica coimas que podem ir até 20 milhões de Euros ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior, consoante o montante mais elevado (atenção que isso não representa o valor que o titular dos dados recebe). Para se salvaguardarem, as organizações devem elaborar um código de conduta e submeterem à apreciação da AdC, que em Portugal é a Comissão Nacional de Proteção de Dados (https://www.cnpd.pt/) para emissão de parecer favorável ou fazer recomendações.
Postos estes esclarecimentos, o que devemos reter (o highlight) da partilha? Que a proteção de dados exige atenção por parte do titular, quando utiliza meios informáticos, navega na internet, faz partilhas em redes sociais ou preenche formulários. Devemos ajustar os nossos comportamentos para: (1) ler e responder às questões de adesão a um serviço, uma rede social ou uma aplicação móvel, (2) exercer os direitos de forma consciente e responsável, (3) sempre adotar medidas de segurança e, por fim, (4) atuar com respeito pelos dados pessoais, nossos e de terceiros. Se todos agirmos em conformidade, passa a haver uma harmoniza de conceitos e de forma de atuação. Por outro lado, e em termos de medidas de segurança, (1) não podemos deixar à vista, nos locais de trabalho, informação relevante como palavras-chave (passwords), documentos com dados pessoais nossos ou de terceiros, por vezes sensíveis, (2) devemos sempre aferir a veracidade da informação que se procura e não colocar dados pessoais em sites de pouca confiança, (3) devemos fazer pagamentos apenas em sites com segurança certificada (https://, onde o S significa segurança, quando assim não for acautele-se) e nunca em redes públicas, (4) não devemos colocar na nuvem (cloud) do telemóvel ou portátil dados sensíveis sem estarem devidamente encriptados (por exemplo, o whatsapp, até ao momento, trabalha sempre com dados encriptados) e (5) devemos sempre usar antivírus (não é um custo mas um investimento), para evitar que seja fácil aceder aos dados pessoais (seus e de terceiros) que tem guardados no computador.
São estes os alertas para evitar riscos maiores, para a sua organização e para si. Boa sorte.

Deixa o teu comentário

Usamos cookies para melhorar a experiência de navegação no nosso website. Ao continuar está a aceitar a política de cookies.

Registe-se ou faça login

Com a sessão iniciada poderá fazer download do jornal e poderá escolher a frequência com que recebe a nossa newsletter.




A 1ª página é sua personalize-a

Escolha as categorias que farão parte da sua página inicial.

Continuará a ver as manchetes com maior destaque.

Bem-vindo ao Correio do Minho
Permita anúncios no nosso website

Parece que está a utilizar um bloqueador de anúncios.
Utilizamos a publicidade para ajudar a financiar o nosso website.

Permitir anúncios na Antena Minho