A Microsoft organizou um evento dedicado ao Regulamento Geral de Proteção de Dados (RGPD), procurando esclarecer, junto dos Data Protection Officers (DPO), as suas funções e os desafios que enfrentam
Paula Panarra, Portugal General Manager da Microsoft, começou por esclarecer a razão de a empresa de tecnologia decidir prestar esclarecimentos sobre o RGPD. Em primeiro lugar, porque a Microsoft se considera um “enabler”, depois porque “a privacidade é um bem essencial” em qualquer contexto. O papel dos DPO é de “guardiões” da privacidade e segurança. Paula Panarra acredita que “não há liberdade sem segurança” e que o princípio não se aplica apenas “ao mundo físico”, mas também ao digital, introduzindo o conceito de “ciberliberdade”, indispensável na era da transformação digital, e permitido por matrizes como o RGPD. Para a General Manager, há três processos-chave para ser possível cumprir os pressupostos da proteção de dados: treinar os funcionários, melhorar processos internos de privacidade em conformidade com a regulamentação, e investir em tecnologia. Depois da apresentação de Paula Panarra, seguiu-se um debate subordinado à questão “Data Breach – E agora?”, que pôs os intervenientes a conversar sobre falhas de segurança nas empresas e os vários níveis de gravidade das ameaças que ocorrem. André Azevedo, National Technology Officer da Microsoft, moderou a conversa entre Inês de Castro Ruivo, DPO da Randstad, Daniel Reis, advogado da PLMJ, e Tiago Félix da Costa, advogado da Morais Leitão & Associados. Segundo Daniel Reis, é com “a prática que se aprende” a uniformizar procedimentos que respeitem o RGPD, e essa prática traduz-se nos próprios data breaches, “que nos estão a ensinar”. E, se dúvidas houvesse, “todas as empresas têm data breaches. Se não têm, vão ter”, refere Daniel Reis, sendo que “o conselho” que Tiago Félix da Costa dá às organizações é que “para quem ainda não teve um data breach... simule um”. Daniel Reis clarificou que as violações de dados pessoais podem ser tão simples quanto enviar um e-mail para um funcionário com o mesmo nome que um cliente, contendo informações pessoais sobre esse cliente. Este é um caso simples de resolver – porque é conhecida a sua origem e identificado imediatamente o erro – mas não deixa de configurar um data breach. Outro ponto em cima da mesa foi o prazo de 72 horas para notificar a CNPD sobre violações do documento. Tiago Félix da Costa considera “manifestamente pouco” visto que “em 72 horas, além de termos de investigar, temos de tomar decisões”. Por seu lado, Daniel Reis lembra que a decisão de notificar a CNPD (bem como o titular dos dados) deve ser ponderada, por haver situações em que não há uma ameaça concreta, e os encarregados de proteção de dados não se devem precipitar. Outro problema é a morosidade do processo de resposta após as notificações à CNPD. Os advogados assumem que já notificaram por diversas vezes a autoridade no âmbito do cumprimento do RGPD, mas não obtêm respostas céleres. Por isso, Tiago Félix da Costa aconselha os DPO a manterem registos de todas os processos, até mesmo aqueles que não merecerem notificação junto da CNPD, porque o assunto pode regressar passados “meses ou anos”, e os encarregados “chamados a dar explicações” muito depois de terem feito notificações sobre data breaches. Ainda sobre a responsabilidade dos Data Protection Officers, Inês de Castro Ruivo refere que “o regulamento é claro” no que toca à autonomia dos DPO, sendo que esta entidade não pode aceitar pedidos da organização para quem trabalha. “Criaram a figura do DPO como uma espécie de super-herói” com competências multidisciplinares, diz a DPO da Randstad, mas é preciso que “esses recursos e formação” multidisciplinares sejam oferecidos pelas empresas, como previsto no regulamento, de modo a que os encarregados de proteção de dados possam de facto agir com todas as ferramentas e conhecimentos disponíveis. Seguiu-se a apresentação sobre “O Desafio da Regulamentação Nacional”, explicado pela coordenadora do Grupo de Trabalho parlamentar dedicado ao RGPD, a deputada Andreia Neto. A responsável afirma que “aquilo que não existia até agora [antes do RGPD] era um regime sancionatório”, já existindo normas para a proteção de dados. Com a introdução de sanções, as empresas ficaram “mais alerta”. “Dentro deste grupo de trabalho existiu um amplo consenso” e “as ideologias dos diferentes partidos” ficaram de fora – “conseguimos implementar o bom senso”, diz Andreia Neto. “Os trabalhos foram densos, foram complexos, e ainda não terminaram”, refere a deputada, garantindo que é a 5 de junho que o documento final de substituição resultante do Grupo de Trabalho está concluído e disponível para consulta. Depois de já ter sido publicado um primeiro texto de substituição da lei portuguesa, que iria subir a votação global, alguns pontos tiveram de ser alterados, como a polémica norma que dava mais seis meses para renovação do consentimento, quando esses seis meses deveriam contar a partir de 25 de maio de 2018. O ponto foi eliminado. Andreia Neto admitiu ainda que outras partes do texto foram alteradas e estarão disponíveis, já neste dia 5, para consulta – nomeadamente alterações sobre o consentimento de menores que, no ponto 2 do Artigo 16º, se prevê “com recurso a autenticação segura, como o Cartão do Cidadão ou Chave Móvel Digital”. O texto foi adaptado para não “bloquear uma evolução tecnológica” que possa ocorrer no contexto da identificação digital. O texto sobe a plenário no dia 7 de junho. |