Cinco lições e Cinco perguntas no caso "Russiagate"

Durante as últimas duas semanas, Portugal (e, curiosamente no mesmo dia em que se comemorava o dia de Portugal, Camões e das Comunidades Portuguesas) viu emergir algo que nunca se pensou acontecer: a transferência pela Câmara Municipal de Lisboa dos dados pessoais de três promotores de uma manifestação anti-Putin, para um Ministério russo e, cumulativamente, para a Embaixada da Rússia.

Sublinhe-se, à parte de qualquer juízo político ou condenação sobre quem e como, cumpre agora chamar à colação cinco pontos importantes que devemos ter em conta no que tange ao tratamento de dados, ao nível da sua proteção e segurança de informação, bem como formular perguntas por responder, em conformidade com o Regulamento Geral sobre a Proteção de Dados:

1. É imperativo um registo completo e exato das atividades de tratamento.
O art.º 30.º do RGPD prevê o registo de todas as atividades de tratamento onde conste os tipos de dados, categorias, finalidades, prazos de conservação entre outras. Quando se fala em "todas as atividades", devem estar mapeados e registados todos os fluxos e atos que comportem o tratamento dos dados, independentemente da sua importância. Não é possível deixar de fora quaisquer atividades, e todas devem estar abrangidas pelo levantamento exaustivo sob pena de aplicação das coimas elevadas, e já conhecidas, nos termos do disposto na al. a) do n.º 4 do art.º 83.º do RGPD.

2. Responsabilidade contraordenacional, responsabilidade penal e responsabilidade cível no caso Russiagate.
A violação de princípio de licitude, minimização, finalidades e dever de informação constituem quatro infrações ao RGPD.
O disposto no art.º 5.º do RGPD define os princípios da licitude, lealdade e transparência, bem como, o princípio das finalidades, princípio da minimização e do dever de informação. A não verificação desses princípios constituem quatro infrações cuja molduras das coimas pode ir até € 20.000.000 cada, o que significa € 80.000.000 conforme o disposto no art.º 83.º do RGPD, sem prejuízo dos correspondentes ilícitos penais nos termos da lei de execução nacional que podem ir até 8 anos de prisão efetiva ou, 1200 dias de multa. Acresce ainda ao exposto, a responsabilidade cível da Câmara Municipal de Lisboa por danos emergentes e lucros cessantes.

3. A notificação da autoridade de controlo num prazo de 72 horas em caso de violação de dados.
Qualquer violação da segurança que venha a provocar de modo acidental, ou ilícito, a destruição, a perda, a alteração, a divulgação ou acesso não autorizados, a dados pessoais, não transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, deve ser notificada pelo Responsável do Tratamento, in casu a Câmara Municipal de Lisboa, coadjuvado e aconselhado pelo Encarregado de Proteção de Dados, num prazo de 72 horas, após ter tido conhecimento da violação nos termos do disposto no art.º 33.º do RGPD.

4. Em caso de violação de dados, devem ser implementadas medidas de mitigação, reparação e atenuação do impacto nos titulares dos dados afetados.
A conformidade e controlo do risco do cumprimento da conformidade com o RGPD deve ser interpretada numa atitude proativa de prevenção, e não, de remediação.
O RGPD, que se aplica a todas as entidades, positiva que as mesmas devem aplicar as medidas técnicas e organizativas, bem como todos os controlos necessários para eliminar, evitar, partilhar com outra parte, aceitar e transferir o risco de impacto e desconformidade. A violação de dados comporta uma falha dessas mesmas medidas, contudo, a jusante, e tal como refere o disposto no n.º 3 do art.º 33.º do RGPD, devem ser implementadas medidas que diminuam esse mesmo impacto no titular dos dados. Em caso de falha na prevenção, deve-se apostar imediatamente na mitigação.

5. O Encarregado de Proteção de Dados não pode ser destituído pelo exercício das suas funções.
Resulta do Regulamento Geral sobre a Proteção de Dados que o Encarregado de Proteção de Dados (EPD) deve, no exercício das suas funções, atuar com autonomia, envolvido na empresa ao conhecimento necessário para aconselhamento, controlo da conformidade, promotor de uma cultura de proteção dos dados, sensibilizador e formador, agindo sempre de perto dos departamentos e órgãos decisores. As funções do EPD não se confundem com o papel do Responsável pelo Tratamento. Este cumpre com o RGPD, enquanto o EPD controla o risco de incumprimento por aquele. A nomeação do EPD deve estar bem balizada no que tange às suas responsabilidades, bem como quanto ao incumprimento das suas funções. O EPD não pode ser responsabilizado pela desconformidade da Câmara Municipal de Lisboa enquanto Responsável pelo Tratamento, em relação ao Regulamento. O EPD pode ser responsabilizado nos termos gerais do incumprimento contratual com todas as consequências que pode acarretar.

A verdade é que ficaram algumas perguntas por fazer (e responder):
- Será que foram disponibilizados os meios, os recursos ao EPD para o exercício das suas funções?
- Será que o EPD foi ouvido, consultado e tomado em consideração em todo o processo?
- Será que o EPD escreveu ao Presidente da Câmara Municipal de Lisboa recomendando a notificação da violação de dados à CNPD?
- Será que estes documentos, a existir, desapareceram?
- Será que foi solicitado ao EPD que se demitisse, e que este se terá recusado?

‍

Este artigo foi publicado aqui: Cinco lições e Cinco perguntas no caso "Russiagate"

‍