banner

 Cinco lições e algumas perguntas no caso da Russiagate.

Durante as últimas duas semanas, Portugal (e curiosamente no mesmo dia em que se comemorava o dia de Portugal, Camões e das Comunidades Portuguesas), viu emergir algo que nunca se pensou acontecer: a transferência pela Câmara Municipal de Lisboa dos dados pessoais de três promotores de uma manifestação anti-Putin, para um Ministério russo e cumulativamente para a Embaixada da Rússia. 

Sublinhe-se, à parte de qualquer juízo político ou condenação sobre quem e como, cumpre agora chamar à colação 5 (cinco) pontos importantes que devemos ter em conta no que tange ao tratamento de dados ao nível da sua proteção e segurança da informação, bem como formular perguntas por responder em conformidade com o Regulamento Geral sobre a Proteção de Dados:

1. É imperativo um registo completo e exato das atividades de tratamento.

O art.º 30.º do RGPD prevê o registo de todas as atividades de tratamento onde constem os tipos de dados, categorias, finalidades, prazos de conservação entre outras. Quando se fala em “todas as atividades” devem estar mapeados e registados todos os fluxos e atos que comportem o tratamento dos dados, independentemente da sua importância. Não é possível deixar de fora quaisquer atividades e todas devem estar abrangidas pelo levantamento exaustivo sob pena de aplicação das coimas elevadas, e já conhecidas, nos termos do disposto na al. a) do n.º 4 do art.º 83.º do RGPD.

2. Responsabilidade contraordenacional, responsabilidade penal e responsabilidade cível no caso Russiagate.

A violação de princípio de licitude, minimização, finalidades e dever de informação constituem quatro infrações ao RGPD. 

O disposto no art.º 5.º do RGPD define os princípios da licitude, lealdade e transparência, bem como, o princípio das finalidades, princípio da minimização e do dever de informação. A não verificação desses princípios constituem quatro infrações cuja molduras das coimas pode ir até € 20.000.000 cada, o que significa € 80.000.000, conforme o disposto no art.º 83.º do RGPD, sem prejuízo dos correspondentes ilícitos penais nos termos da lei de execução nacional que podem ir até 8 anos de prisão efetiva ou 1200 dias de multa. Acresce ainda ao exposto, a responsabilidade cível da Câmara Municipal de Lisboa por danos emergentes e lucros cessantes.

3. A notificação da autoridade de controlo num prazo de 72 horas em caso de violação de dados.

Qualquer violação da segurança que venha a provocar de modo acidental ou ilícito a destruição, a perda, a alteração, a divulgação ou acesso não autorizados, a dados pessoais, não transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, deve ser notificada pelo Responsável do Tratamento in casu a Câmara Municipal de Lisboa, coadjuvado e aconselhado pelo Encarregado de Proteção de Dados, num prazo de 72 horas, após ter tido conhecimento da violação nos termos do disposto no art.º 33.º do RGPD.

4. Em caso de violação de dados, devem ser implementadas medidas de mitigação, reparação e atenuação do impacto nos titulares dos dados afetados.   

A conformidade e controlo do risco dos tratamentos para os titulares de dados, devem ser interpretados numa atitude proativa de prevenção e não, de remediação.

O RGPD que se aplica a todas as entidades, positiva que as mesmas devem aplicar as medidas técnicas e organizativas, bem como, todos os controlos necessários para aceitar, eliminar, mitigar ou transferir o risco de impacto e desconformidade. A violação de dados comporta uma falha dessas mesmas medidas, contudo, a jusante, e tal como refere o disposto no n.º 3 do art.º 33.º do RGPD, devem ser implementadas medidas que diminuam esse mesmo impacto no titular dos dados. Em caso de falha na prevenção, deve-se apostar imediatamente na mitigação.

5.  O Encarregado da Proteção de Dados não pode ser destituído pelo exercício das suas funções.

Resulta do Regulamento Geral sobre a Proteção de Dados que o EPD deve, no exercício das suas funções, atuar com autonomia, envolvido na empresa, com o conhecimento necessário para aconselhamento, controlar a conformidade, promover uma cultura de proteção dos dados, sensibilizar e formar, agindo sempre de perto dos departamentos e órgãos decisores. As funções do EPD não se confundem com o papel do Responsável pelo Tratamento. Este cumpre com o RGPD e o EPD controla a conformidade e o risco de incumprimento por aquele. A nomeação do EPD deve estar bem balizada no que tange às suas responsabilidades, bem como, quanto ao incumprimento das suas funções. O EPD não pode ser responsabilizado pela desconformidade da Câmara Municipal de Lisboa enquanto Responsável pelo Tratamento, em relação ao Regulamento. O EPD pode ser responsabilizado nos termos gerais do incumprimento contratual com todas as consequências que pode acarretar.

Cumpre-nos ainda questionar o seguinte:

Será que foram disponibilizados os meios, os recursos ao EPD para o exercício das suas funções?

Será que o EPD foi ouvido, consultado e tomado em consideração em todo o processo?

Será que o EPD escreveu ao Presidente da Câmara Municipal de Lisboa recomendando a notificação da violação de dados? 

Será que estes documentos a existir, desapareceram?

A DPO Consulting concebe estratégias relativas à Privacidade, Proteção de Dados e Segurança da Informação. Ajuda os seus clientes a implementar e controlar todas as atividades conducentes ao pleno cumprimento da legislação em vigor e a ganharem a confiança dos titulares dos dados. Veja aqui os nossos serviços:

  • DPO as a Service
  • Apoio ao DPO
  • Formação e Sensibilização
  • Políticas, Processos e Procedimentos
  • Auditoria e Mapeamento
  • Preparação para Incidentes de Violação de Dados
  • Governance
  • Avaliação de Risco e de Conformidade

Somos uma equipa focada no cliente e nas suas necessidades.

pt_PT