REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

`hoje by Nuno Leite

A 14 de Abril de 2016 o Parlamento Europeu aprovou, finalmente, o Regulamento Geral de Proteção de Dados (RGPD), que veio substituir anterior diretiva 95/46/EC vertida para o ordenamento jurídico Português na Lei n.º 67/98 de 26 de Outubro ainda em vigor. Este regulamento, cuja aplicação efetiva e vinculativa será a 25 de Maio do 2018 tem como escopo a harmonização das leis que regulam esta matéria nos países da UE, mas acima de tudo criar uma nova consciência e abordagem sobre a forma como são vistos e tratados os dados pessoais.

As alterações chave a saber sobre o RGPD começam desde logo pelo seu âmbito e pelos sujeitos a quem se destina, importando por isso começar por distinguir, de acordo com o artigo 4º do RGPD:

Controladores de dados e processadores de dados / Data controller e Data processor

• Data controller (Controlador) – Será pessoa singular ou coletiva, ente público ou privado, agência, instituição ou qualquer outro organismo que decide como e porque é que os dados são processados. Portanto, pessoa física ou jurídica que, isoladamente ou em conjunto com outros, determina os fins e meios de processamento de dados pessoais. Ora pelo artigo 5º do RGPD, o controlador é o responsável por provar o cumprimento dos princípios relativos ao tratamento de dados pessoais conforme está vinculado.

• Data Processor (Processador) - Será pessoa singular ou coletiva, ente público ou privado, agência, instituição ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes (subcontratante). Ou seja, aquele que processa dados pessoais em nome do controlador.

Pelo artigo 28.º do RGPD, o tratamento pode ser efetuado em nome de um controlador, mas este é responsável por subcontratar apenas os processadores que forneçam garantias suficientes de cumprimento do RGPD, isto é, processadores que tenham evidências da implementação das medidas técnicas e organizacionais adequadas de tal forma que o processamento satisfaça os requisitos do regulamento. O que nos leva à obrigatoriedade de qualquer empresa da UE ou mesmo fora da UE, como controlador ou processador, ter de implementar os controlos necessários para garantir a conformidade com o RGPD, desde que os dados a ser processados sejam sobre cidadão da UE. Esta responsabilidade é partilhada e por isso as multas podem ser aplicadas a ambos, controladores e processadores. No que aqui importa a U3DE2 - Unidade de Desenvolvimento Empresarial, SA é, assim, o controlador de todos os dados que coleta dos seus clientes e, para prestação dos serviços subscritos e respetivo suporte, processador enquanto agente de alojamento dos seus dados, registo de domínios ou venda de certificados SSL.

1 - Informação sobre os dados colhidos o seu fim e o consentimento O pedido de consentimento para a colheita e processamento dos dados terá de ser levado a cabo de forma inteligível à vista do homem comum, contendo em si ou anexo qual o seu objetivo, fim ou fundamento. Portanto, o consentimento deve ser claro e distinguível de outros assuntos, facilmente acessível, fazendo uso de linguagem clara e simples. Permitindo ao titular dos dados, não só perceber o que está a consentir e quando o está a fazer, mas também do mesmo modo, ou com acesso e facilidade semelhantes, retirar o seu consentimento. A todo o tempo os controladores de dados devem ter histórico de forma a poder provar que o consentimento foi adquirido de forma legitima e em conformidade com o RGPD. Como controlador a U3DE2 SA garante, ao dia de hoje, e na verdade desde sempre, que o consentimento da coleta dos dados cliente subscritor, no ato do preenchimento da sua ficha de cliente, é obtido de maneira ativa e consciente. No entanto e tendo em mente o principio da clareza que o novo regulamento preconiza, por ação prática, a U3DE2 - Unidade de Desenvolvimento Empresarial, SA passa a separar, desde logo, o consentimento à receção de informação generalizada da aceitação das cláusulas contratuais gerais.

2 - Direito ao acesso Um dos direitos que foram expandidos com o RGPD foi o direito de acesso dos sujeitos aos seus dados pessoais, à sua edição e retificação. Este direito extende a sua abrangência incluindo agora o direito de saber a todo o tempo se os seus dados estão ou não a ser processados, onde e para que finalidade. Além disso, o controlador deve fornecer uma cópia dos dados pessoais, gratuitamente, e em formato exportável. No que diz respeito ao acesso aos dados, a U3DE2 - Unidade de Desenvolvimento Empresarial, SA, como controlador, sempre permitiu o acesso permanente e a todo tempo por parte do seu titular e através da sua área reservada, este pode também alterá-los, salvaguardando sempre a correção destes dados. De resto, e por obrigações fiscais, tipicamente, quando os dados do cliente U3DE2 SA se verificam como incongruentes, existe contato proativo da nossa parte solicitando a correção. São exclusões a esta alteração direta a partir da área de cliente:

• A alteração do número fiscal, solicitando-se ao cliente que pretenda alterar o seu número fiscal o solicite via email, sendo que, após verificação de congruência de dados, é acedida prontamente. Em qualquer caso o cliente subscritor tem sempre ao seu dispor o acesso à alteração do seu NIF, e mesmo à sua total omissão, desde que esteja dentro do que são os limites que permitem a emissão de fatura simplificada. Esta exclusão tem por base a prossecução das obrigações fiscais no que concerne à veracidade dos dados para emissão de documentos contabilísticos.

• A alteração de dados por outras vias que não área de clientes e quando não haja acesso ao email autorizado, ou outro com as mesmas prerrogativas. A área reservada da U3DE2 - Unidade de Desenvolvimento Empresarial, SA, apesar de ter o email autorizado como identificador único por cliente, não deixa de permitir ao cliente que crie redundância para a garantia de acesso, podendo este, desde logo, adicionar outros emails com as mesmas prerrogativas. No entanto, caso o cliente não tenha acesso, por nenhuma forma ao seu email autorizado ou outro com as mesmas prerrogativas, é chamado contatar a U3DE2 - Unidade de Desenvolvimento Empresarial, SA que lhe veiculará acesso a um formulário de alteração de email autorizado que deverá preencher com dados de identificação que terão necessariamente de ser atestados por meio legal - assinatura digital de cartão de cidadão, reconhecimento de assinatura, exibição de documentos de suporte, etc. Mediante a aceitação deste formulário a U3DE2 - Unidade de Desenvolvimento Empresarial, SA fará a alteração dos dados em conformidade com o solicitado. Neste caso, muito embora sejemos forçados a manter o formulário como prova legitima deste pedido de alteração, este é codificado para confirmação da sua existência, mas o formulário em si apenas é acessível por sujeitos autorizados com a devida justificação que ficará devidamente registada.

3 - Direito à portabilidade Intrinsecamente ligado ao direito ao acesso, ganha forma diferenciada o direito à portabilidade. O titular dos dados, além de acesso passa a ter o direito de exigir uma cópia em formato de uso comum, exportável e importável de forma automática/digital, adquirindo, assim, uma autonomia diferenciada já que pode transmitir esses dados a outro controlador, ou seja quebra a indução do atrito à mudança provocada pelo controlador. Interessante será avaliar a forma de uso pleno deste direito em conjugação de outra regra preconizada como boa prática pelo RGPD, a anonimização ou pseudonimização que, adiante, também abordaremos. A U3DE2 SA, enquanto controlador, permite ao titular dos dados, através da sua área de cliente exportar todos os seus dados pessoais num formato universal podendo assim ser importado por qualquer software. Enquanto processador, não conhecendo, por natureza, os dados pessoais que processa, limita-se a veicular o acesso permanente aos seus clientes – controladores - para que estes possam migrar os conteúdos alojados nos seus servidores para qualquer outro provedor de serviços ou, para um dispositivo de armazenamento a ser disponibilizado por este.

4 - Direito ao esquecimento O direito ao esquecimento ou “Right to erasure” é uma das mudanças fulcrais introduzidas pelo RGPD. Quando antes cabia ao titular dos dados o ónus da prova quanto ao fato dos seus dados, ao estarem a ser processados ou disseminados serem causa direta de danos ou sofrimento para si, agora inverte-se o ónus, passando o direito a ser sempre invocável a todo o tempo. Portanto o titular poderá reivindica-lo sempre, sendo ónus do controlador provar razão legalmente fundamentada para não o fazer. O princípio subjacente a esta mudança no direito é facilitar e agilizar a eliminação, o fim do processamento ou disseminação de dados pessoais de quem assim não pretenda e quando, para tal, não haja uma razão justificada. Estas razões justificadas que permitem o controlador negar o exercício deste direito ao titular dos dados devem pois, sempre, ser avaliadas à luz de um exercício de razoabilidade que nos obriga a pesar a importância dos interesses legítimos do controlador, face aos interesses ou direitos e liberdades fundamentais do titular dos dados. O titular dos dados terá o direito inegável de ver os seus dados eliminados e interrompido o seu processamento quando:

• O propósito original, ou o fim a que se destinavam os dados pessoais não existir e os dados em si não forem mais necessários para nenhum fim que lhe seja conhecido ou transmitido;

• Quando o indivíduo não consentiu independentemente do fim;

• Quando não haja sustentação legal para tal;

• Se os dados processados são de serviços prestados a uma criança;

• Em qualquer caso em que os dados sejam processados em violação RGPD. O controlador poderá negar-se à eliminação ou alteração dos dados, provendo, em sua vez, a restrição do seu acesso e/ou processamento quando:

• A precisão dos dados pessoais é contestada pelo titular dos dados, no entanto a sua exatidão não pode ser determinada ou provada;

• Os dados pessoais que se pretende eliminar ou mudar devem ser mantidos para fins de evidência. Em qualquer dos casos o controlador é responsável por comunicar, por escrito, ao titular dos dados a sua recusa de retificação ou eliminação de dados pessoais ou a restrição do seu tratamento, bem como os motivos da recusa. Sendo ainda fato que a própria lei poderá prever a exclusão a essa obrigação por parte do controlador, sempre que esta seja uma medida necessária e proporcional para um estado de direito democrático e, portanto, tendo sempre e devidamente em conta os direitos fundamentais e os interesses legítimos do titular dos dados. São exemplos, não exaustivos, destas exclusões todos os casos em que a eliminação ou alteração de dados possa:

• Evitar prejudicar a prevenção, deteção, investigação ou aplicação de infrações penais ou a execução de sanções penais;

• Por em causa a segurança pública;

• Por em causa a segurança nacional;

• Por em causa os direitos e liberdades dos outros;

• Evitar ou obstruir investigações ou procedimentos oficiais/legais.

Não deixa aqui, no entanto, de ser o controlador obrigado a informar o titular dos dados da possibilidade de apresentar uma queixa a uma autoridade de controlo ou de interpor recurso judicial perante a sua recusa a este direito. Para as entidades controladoras e processadoras a conformidade com o uso deste direito traz várias implicações, começando por aumentar a sua necessidade de capacidade de manter registos de atividades de processamento, bem como provas da relevância e da necessidade de todos os dados que controlam ou processam, o que inclui as finalidades do processamento, categorias envolvidas e prazos previstos. Esta informação deve ser comunicada ao titular dos dados e os registos devem ser mantidos de forma a poderem ser disponibilizados à autoridade de supervisão mediante solicitação de prova para qualquer matéria relacionada a um assunto de dados pessoais. A U3DE2 SA, enquanto controlador, nunca vedou ao cliente o direito ao esquecimento. No entanto, em exercício de razoabilidade, avaliados os parcos dados que coleta face às suas obrigações contratuais e a defesa dos seus interesses legítimos, bem como o cumprimento da lei, nomeadamente a lei fiscal, a U3DE2 SA poderá negar-se à eliminação ou alteração dos dados, provendo, em sua vez, a restrição do seu acesso e/ou processamento de forma preserva-lo como evidência. Estes dados são, no entanto, armazenados, não processados, e apenas com acesso restrito e justificado. Além dos titulares dos dados que exerçam direito ao esquecimento, também todos aqueles que apresentem mais de 8 anos de inatividade passarão automaticamente a ser armazenados em conformidade. Os prazos e meios de exercer este direito, apesar de constarem já nas condições gerais de prestação de serviço, estão a ser criteriosamente vertidos para a nova versão de política de privacidade da U3DE2 SA que, para garantia de conformidade com o RGPD e informação detalhada para os nossos clientes, está, agora, a ser revista. Enquanto Processador apesar de não ser responsabilidade direta da U3DE2 SA garantir ao titular dos dados que o seu direito ao esquecimento é levado a cabo, no que concerne aos dados alojados nos seus servidores, a lícita limitação ao direito ao esquecimento está intrinsecamente ligada ao tempo obrigatório de retenção de backups. Não poderá ainda a U3DE2 SA apagar qualquer dado quando não haja ordem expressa do controlador ou de autoridade judiciária com poderes para o ato.

5 - Pseudonomização e anonimização O RGPD recomenda a pseudonimização para reduzir os riscos de exposição dos titulares de dados em causa o que, por si, também viabiliza uma segurança adicional para os responsáveis pelo tratamento e os processadores. Muito embora o RGPD incentive a utilização da pseudonimização, os dados pseudonimizados não deixam de ser considerados dados pessoais, permanecendo, por isso, abrangidos pelo RGPD. O RGPD define a pseudonimização, como um processamento de dados pessoais levado a cabo de forma a não poderem ser atribuídos a um sujeito ou dado específico sem o uso de informações adicionais. Para pseudonimizar um conjunto de dados de forma eficiente as informações adicionais devem ser mantidas separadamente e sujeitas a medidas técnicas e organizacionais que garantam a sua não atribuição a uma pessoa identificada ou identificável. As técnicas de pseudonimização diferem das técnicas de anonimização. Com a anonimização os dados são apagados para qualquer informação que possa servir como um identificador de um assunto de dados. A pseudonimização, como vimos, não remove todas as informações de identificação dos dados, mas apenas reduz a vinculação de um conjunto de dados com a identidade original de um indivíduo, usando, por exemplo a criptografia, que torna os dados originais ininteligíveis e o processo não pode ser revertido sem acesso à chave de descodificação correta ou a tokenização, que é outra abordagem para proteger os dados substituindo-os por outros, chamados tokens. A distinção legal entre dados anónimos e pseudonimizados é a sua categorização como dados pessoais. Os dados sob pseudónimo ainda permitem alguma forma de reidentificação (mesmo indireta e remota), enquanto os dados anónimos não podem ser reidentificados. Tanto a pseudonimização como a anonimização são preconizadas pelo RGPD, que aspira e incentiva a sua utilização de forma generalizada e recorrente. Assim, os controladores e os processadores de dados pessoais são convidados a implementar uma ou outra dessas técnicas para minimizar o risco e, uma vez que as duas técnicas diferem, diante do RGPD, a escolha deverá depender do grau de risco e de como os dados serão processados. Como controlador, a U3DE2 é percursora do uso da pseudonimização sendo que o uso do ID de cliente, ID de serviço, ID de pagamento ou ID de ticket são termos familiares ao cliente da nossa empresa. Internamente e no tratamento da informação, tipicamente, o normal operador não precisa conhecer senão o email autorizado do cliente, para sua identificação, já que todas as outras matérias, daí por diante, são tratadas com uso aos referidos ID.

6 - Direito à oposição à tomada de decisões automatizadas e à criação de perfil "profiling" Tomada de decisões automatizadas e o profiling são dois conceitos distintos, mas muitas vezes interligados. A criação de um perfil – profiling - é uma forma de processamento automatizado de dados pessoais usado para analisar ou prever questões relacionadas a um indivíduo, por exemplo, analisar a sua situação financeira, saúde, interesses ou localização. A tomada de decisão automatizada é a capacidade de tomar decisões sem envolver a ponderação humana. Os dois conceitos interligam-se na medida em que o profiling pode, na grande maioria das vezes ser o precursor da tomada de decisões automatizada. Na prática isto pode processar-se de duas formas, mas antes demais terá sempre de haver uma recolha de dados para traçar um de perfil geral, depois que os indivíduos são segmentados em diferentes grupos com base na análise dos dados colhidos. Partindo daqui, com base neste perfil podem ser tomadas: • Decisões humanas - onde um humano toma uma decisão baseada no perfil do individuo; • Tomada de decisão exclusivamente automatizada - onde um algoritmo toma uma decisão, sem intervenção humana. O RGPD vem proibir certos tipos de tomada de decisão automatizada, ou seja, as ações baseadas exclusivamente na tomada de decisões automáticas que produzam efeitos jurídicos ou que, de igual modo, afetem significativamente um indivíduo são proibidas. Considerando-se, assim, que todos os atos que afetam significativamente o individuo são atos que colidam com os direitos do individuo, afetam o seu estatuto legal ou os seus direitos enquanto parte de um contrato. Na prática, e a título de exemplo, poder ter ou não direito a benefícios para habitação, entrada numa fronteira nacional, recusa automática de um pedido de crédito on-line, recrutamento eletrónico sem qualquer intervenção humana, publicidade segmentada por perfil que leva a diferentes pessoas possam ser cobradas em diferentes preços, etc. Exceptua-se desta proibição os casos em sejam necessárias para o desempenho de uma determinada tarefa, haja consentimento explícito do titular dos dados ou estejam previstas num contrato e ainda quando sejam autorizadas por lei. No caso, mantendo-se o profiling as tomadas de decisão exigirão uma certeza quanto à forma da tomada de decisão e, naturalmente, o impacto e consequências para o indivíduo. Além desta proibição fica ainda preceituada a obrigação de salvaguardas e transparência. Ou seja, os indivíduos devem ser avisados quando uma decisão foi tomada usando exclusivamente decisões automatizadas, sendo-lhes sempre concedido o direito de solicitar uma revisão dessa decisão. A revisão deve ser realizada necessariamente por humano com autoridade e capacidades apropriadas para alterar a decisão e deverá considerar todos os dados relevantes e toda a informação adicional fornecida pelo indivíduo, além dos dados recolhidos por profiling. Além disto os titulares dos dados têm sempre o direito a opor-se ao uso de profiling, ou a qualquer forma automatizada de processamento de informação pessoal, com o objetivo de os avaliar e tipificar. Na U3DE2 SA não há tratamento automatizado, incluindo a definição de perfis que produzam decisões c/ efeitos jurídicos.

Gratos pela sua compreenção.