Registo das atividades de tratamento – visão espanhola

A despeito das particularidades de adoção do RGPD em cada país da União Europeia, a visão de cada região a respeito da norma será cada vez mais útil para nortear procedimentos, tanto para empresas e controladores de dados quanto para as autoridades envolvidas.

Na Espanha, a Agência Espanhola de Proteção de Dados (AEPD), criou documentos extensos, porém didáticos, para auxiliar na informação a respeito do RGPD. Em seu excelente guia para DPOs, a agência espanhola detalha disposições, obrigações e oferece recomendações para os encarregados da proteção de dados, de forma simples e direta.

Em relação ao registo das atividades de tratamento de dados, em particular, o documento espanhol analisa de forma muito mais objetiva as necessidades e obrigações para acompanhamento de tais informações – uma luz para muitas perguntas que ainda seguem a responder em Portugal.

Números e precisão na informação

A informação disponível até agora a respeito do RGPD e particularidades que envolvem as responsabilidades do DPO e dos controladores de dados tem sido generalista e mesmo vaga. A AEPD oferece algumas referências quantitativas e qualitativas que poderão responder a algumas questões que seguem em aberto. No caso do registo das atividades – qualquer empresa precisará fazê-lo?

É difícil e mesmo injusto imaginar que uma padaria ou um café terá de efetuar registos frequentes de todos os dados que processa ou deixa de processar. Bem, a obrigação desses procedimentos, na visão da AEPD, recai sobre qualquer empresa, porém há algumas exceções nas quais há isenção da obrigação de tal registo.

Para a AEPD, estão isentas de tal obrigação empresas com menos de 250 empregados. Sim – um número! Entretanto, tal isenção anula-se uma vez que a empresa, ainda que com menos empregados que o citado, processe dados que possam causar riscos diretos aos direitos do usuário ou incluam dados classificados como sensíveis, segundo a óptica do RGPD.

AIPD – identificação, análise e medidas de mitigação dos riscos

A Avaliação de impacto sobre a proteção de dados, o AIPD, como está sendo popularizado após a entrada em vigor do RGPD, é um documento que deve, entre outras informações, conter um mapeamento e análise de riscos completa em relação ao processamento e tratamento dos dados, bem como uma descrição detalhada das medidas para prevenção e mitigação desses riscos.

A lógica segue na maioria dos aspetos qualquer estudo de mapeamento de riscos, mas possui foco nos dados e na forma com que são tratados. A inglesa ICO possui um modelo bastante objetivo para formulação do AIPD e, nele, encontra-se um resumo prático de como devem figurar os dados e informações referentes à analise dos riscos.

O mapeamento dos riscos

A classificação dos riscos pode variar de empresa a empresa, porém o modelo da ICO estipula alguns graus de análise que servem a praticamente qualquer propósito. Em um quadro, relacionamos os riscos associados aos dados e seus processamento e, para cada um deles, apontamos classificações em três outras colunas:

  1. Probabilidade do risco. Uma noção da possibilidade de que a ameaça venha a se concretizar. A ICO oferece a classificação entre REMOTA, POSSÍVEL e PROVÁVEL.
  2. Extensão dos danos. Uma vez deflagrada a ameaça, quais os danos potenciais? A ICO, desta vez, oferece a classificação entre MÍNIMOS, SIGNIFICATIVOS e SEVEROS.
  3. Potencial médio do risco. Uma leitura geral do quão representativo e preocupante é o risco relacionado. A ICO aqui sugere a classificação entre BAIXO, MÉDIO e ALTO.

Além dos riscos obviamente relacionados à informática e ao tratamento dos dados, como perda dos mesmos, roubo de identidades, corrupção de bases de dados e afins, recomenda-se pensar nos riscos como consequências diretas e não diretas de falhas e problemas relacionados ao processamento de dados. Por exemplo, a perda ou corrupção dos dados contábeis de uma empresa podem levar a atrasos na recolha de impostos ou pagamento de fornecedores, incorrendo em coimas e juros.

O tratamento dos riscos

Após relacionar todos os riscos possíveis, é preciso relacionar, descrever e categorizar as medidas para tratamento desses riscos. Em segurança da informação, diz “controlo” a medida para mitigação ou eliminação de um risco. A ICO oferece novamente uma tabela na qual relacionamos riscos em uma coluna, com classificações em três outras colunas para cada um deles.

  1. Efeito sobre o risco. Diz respeito ao resultado da medida sobre o risco, quando a mesma é levada a cabo com eficiência. Classifica-se entre ELIMINAÇÃO, REDUÇÃO ou ACEITAÇÃO.
  2. Risco residual. Mesmo após o tratamento, alguns riscos ainda permanecem em determinado grau. Quando isso ocorre, é preciso determinar se tal grau é PEQUENO, MÉDIO ou GRANDE.
  3. Medida aprovada. Finalmente, é preciso informar se a medida de controlo relacionada foi ou não aprovada pela direção, o que indica até que ponto pode ou não ser executada ou se necessita de autorizações ou aprovações antes que o seja.

Tomando como base as boas práticas em segurança da informação, é preciso prever nas medidas de tratamento dos riscos uma lógica que cumpra com toda uma sequência. Quando uma situação de risco se torna uma ameaça, procedimentos bem desenhados de segurança precisam ser postos em prática. Geralmente essas medidas de contenção possuem uma gradação, que começa com a prevenção, etapa na qual a ameaça ainda é evitada, terminando na avaliação e passando por diversas outras etapas.

  1. AMEAÇA >> Prevenção;
  2. INCIDENTE >> Detecção >> Contenção;
  3. DANO >> Correção;
  4. RECUPERAÇÃO >> Avaliação.

A primeira etapa de uma medida de contenção exige a identificação de possíveis ameaças, o que reflete o risco que essas ameaças geram caso se materializem. A ameaça é qualquer coisa que interrompa o funcionamento de um negócio baseado em informações, ou cause a ele prejuízos em termos de resultados. Dentro do ciclo anterior, isso significa necessariamente que, após a deflagração de uma ameaça e entrada em cena de uma medida de controlo prevista no AIPD, modificar-se-á, possivelmente, o próprio documento. Os resultados da medida de controlo e as consequências da ameaça deflagrada geram necessidades de atualização, tanto na descrição dos riscos quanto nas medidas adotadas para o seu tratamento.

Quer mais detalhes sobre como conduzir uma análise de riscos? É bom dar uma olhada então na ISO/IEC 27005, que trata mais profundamente do tema. As ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27003, por outro lado, falam mais sobre o planeamento, implementação e operação de controlos.

Competências e atributos do encarregado da proteção de dados

A figura do DPO tornar-se-á cada vez mais frequente, especialmente em grandes empresas. Seja um contratado em prestação de serviços ou empregado que é parte do quadro, esse profissional precisa reunir características bastantes para atender ao disposto no Regulamento Geral de Proteção de Dados, mas também para conduzir suas tarefas dentro da empresa.

Chamado em Portugal de “Encarregado da Proteção de Dados”, o DPO é geralmente um profissional ligado à área de engenharia informática ou similar, conhecedor não apenas dos detalhes do RGPD, mas também de outras padronizações ligadas à segurança da informação.

Encarregado da proteção de dados – competências

O DPO é um profissional que precisa de reunir um certo rol de competências. Além de um background informático, precisa de liderança e certa flexibilidade para lidar com problemas que costumeiramente são parte da rotina de segurança da informação. Além de formação ou domínio no teor do RGPD, um bom profissional a assumir uma posição de DPO precisa também:

  • Possuir experiência notória em sistemas informáticos.
  • Ter grande conhecimento de segurança da informação, incluindo normas e padrões como a ISO 27001.
  • Proatividade no sentido de detetar problemas de segurança e privacidade e agir, independentemente dos requisitos do RGPD.
  • Quando interno, conhecimento vasto das rotinas de controlo e processamento da informação pela empresa.
  • Quando externo, tempo para conduzir investigações a respeito das rotinas de controlo e processamento da informação pela empresa.

Organizações que já possuem departamentos de informática e segurança da informação bem organizados podem considerar a nomeação de um de seus profissionais líderes na área para assumir as responsabilidades do DPO, do mesmo modo que companhias com prestadores de serviço especializados externos podem relegar aos prestadores de serviço a responsabilidade, mas sempre nomeadamente.

Em Portugal, fala-se muito no uso de juristas e advogados na função de DPO. Para algumas empresas, a utilização de profissionais desse segmento pode ser útil. Contudo, em empresas maiores que precisam lidar com problemas de segurança da informação de um ponto de vista mais técnico de aplicabilidade, o DPO jurista nada mais constitui do que um profissional suficiente para apontar riscos, mas nunca resolvê-los do ponto de vista objetivo.

Certificações mundiais na área de segurança da informação já estabeleciam, há tempos, recomendações que em muitos aspetos igualam-se às exigências do RGPD. Nesse sentido, um encarregado da proteção de dados com conhecimento nessas padronizações informáticas é capaz não apenas de atender às disposições legais do GDPR europeu, mas inclusive implementar melhorias aos processos que vão além do disposto em lei. Dentro do disposto nos guias e documentos do RGPD, as competências do DPO devem incluir:

  • Competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um conhecimento profundo do RGPD
  • Conhecimento das operações de tratamento efetuadas
  • Conhecimento das tecnologias da informação e da segurança dos dados
  • Conhecimento do setor empresarial e da organização
  • Capacidade para promover uma cultura de proteção de dados no seio da organização.
Encarregado da proteção de dados – recursos alocados

A simples nomeação de um DPO não garante o cumprimento com as normas do RGPD. O trabalho é continuado, como ocorre com processos de implementação de normas para certificação, como ISO 9000, ISO 14000 e ISO 27001 (segurança da informação). Para que possa desempenhar seu papel e manter a empresa longe de coimas e também problemas, o encarregado da proteção de dados precisará sempre de:

  • Ter acesso a todos os sistemas informáticos da empresa
  • Ter apoio da direção da empresa
  • Livre trânsito entre departamentos
  • Formação contínua
  • Uma equipa em consonância com o tamanho e porte da organização
  • Recursos financeiros e tecnológicos bastantes para lidar com os problemas e questões que irá detetar
Encarregado da proteção de dados – quanto ganha um DPO

A extensão das responsabilidades, o porte da empresa e das rotinas de processamento de dados e também o grau de expertise do DPO irão definir seu salário – por isso é difícil falar de forma imediata em valores. Contudo, tendo em vista que formações em DPO já existentes em território português têm custos que podem facilmente exceder os € 1.500 por algumas horas de treinamento, há de se concordar que profissionais dessa gama não terão ordenados inferiores a alguns milhares de euros ao mês.

Para empresas que necessitem de contratar um DPO, mas possuam menor porte, consultorias e prestadores de serviço serão uma solução mais viável. Quando o processamento de dados é considerável, mas não volumoso o suficiente para justificar um DPO em tempo inteiro, contratar um terceiro pode ser suficiente e reduzir os custos de adequação à nova norma. Desse modo, um mesmo consultor poderá assumir o papel de DPO em mais de uma organização, que na prática partilharão os custos de seus rendimentos.

Outra possibilidade, especialmente para empresas que já possuem departamentos informáticos organizados, é nomear outro executivo ou profissional como responsável. A lei não aponta especificamente um conjunto de formações necessário para o DPO, apenas seu papel dentro da organização. Um diretor de outra área qualquer, em tese, pode assumir tal papel, contudo os prejuízos do desconhecimento de rotinas legais e informáticas podem colocar em situação de desconformidade a organização.

AIPD – necessidade do documento e descrição inicial

Uma AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos. As AIPD são instrumentos importantes em matéria de responsabilização, uma vez que ajudam os responsáveis pelo tratamento não apenas a cumprir os requisitos do RGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com o regulamento. Por outras palavras, uma AIPD é um processo que visa estabelecer e demonstrar conformidade.

As diretrizes e orientações referentes ao AIPD começam desse modo e estendem-se por páginas intermináveis. Contudo, há quem busque um pouco mais de didática para elaborar essa avaliação. A Avaliação de Impacto sobre a Proteção de Dados é, talvez, um dos pontos que pode gerar coimas ou multas mais pesadas – cheio de detalhes e, ao mesmo tempo, um documento longe de ter modelos matematicamente precisos, terá de conter absolutamente tudo o que for possível, de modo a evitar que a fiscalização pública à base da interpretação literal venha a punir mesmo aquilo que parecer razoável.

Recomendações do ICO

A elaboração do AIPD segue algumas diretrizes, mas não é um documento totalmente padronizado. A depender da forma com que cada companhia trata seus dados, haverá necessidade de incluir ou não alguns aspetos no relatório. Embora a lei em si possua documentos que orientam a organização do AIPD, há modelos mais objetivos e eficientes para aqueles que estão a desenvolver sua primeira avaliação.

Um desses modelos é o do britânico Information Commissioner’s Office (ICO), um órgão independente especializado na divulgação de informações relativas à privacidade. O ICO possui um modelo de AIPD bastante direto e compreensível, orientado por passos.

Passo 1 – identificar a necessidade de um AIPD

Explicar de forma abrangente quais as metas do projeto e que tipo de processamento está envolvido. É útil, neste ponto, estabelecer relações com outros documentos que sejam pertinentes, como memorais de projeto, propostas e projetos de arquitetura de dados, entre outros. O documento do RGPD estabelece nove critérios que deverão nortear a identificação da necessidade de um AIPD:

  1. Bases de dados que efetuam a avaliação ou classificação de perfis com base em dados pessoais, como instituições bancárias que efetuem análises de crédito segundo perfis de clientes, por exemplo.
  2. Decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente de modo similar, ou seja, sistemas que efetuem tomadas de decisão de forma automática que possam levar a episódios de exclusão ou discriminação.
  3. Quando há o chamado “controlo sistemático”, ou seja, a monitorização ou controlo dos titulares dos dados em zonas acessíveis ao público, o que inclui uma rede social, por exemplo.
  4. Sempre que o processamento de dados inclua a manipulação de dados altamente sensíveis de natureza pessoal, como opiniões políticas ou mesmo antecedentes criminais.
  5. A existência de dados tratados em grande escala, um conceito que precisa de ser revisto conforme os termos do RGPD – por vezes, o número absoluto de pessoas simplesmente não é atributo bastante para avaliar tal item.
  6. Quando exista correspondência ou associação de dados que crie conjuntos de dados resultantes que excedam as expectativas iniciais do titular dos dados. Aqui o exemplo de sistemas de inteligência artificial, que produzam projeções ou previsões, aplica-se de forma direta.
  7. Quando haja a manipulação pelo controlador de dados pessoais de titulares de dados considerados sensíveis, como idosos, doentes, portadores de deficiências e quaisquer outros grupos que possam ser considerados incapazes de opor-se ou interferir na forma com que seus dados são processados.
  8. Quando haja a utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais, tais como combinar a utilização da impressão digital e do reconhecimento facial para melhorar o controlo do acesso físico.
  9. Quando o próprio tratamento impede os titulares dos dados de exercer um direito ou de utilizar um serviço ou um contrato. Aqui aplica-se novamente o exemplo do banco que utiliza dados pessoais para avaliação de crédito, decidindo se concede ou não acesso a crédito ou empréstimos ao titular dos dados.
Passo 2 – descrição minuciosa do processo

Tudo deve ser descrito em relação ao processamento e tratamento dos dados. O ICO divide esta parte do AIPD em quatro tópicos para facilitar sua compreensão e elaboração. Considerando um sistema de processamento e tratamento de dados, a descrição do AIPD deverá incluir.

Natureza do processamento

Descrição de como a empresa recolhe, utiliza, armazena e eventualmente apaga os dados. É preciso descrever de forma clara e minuciosa a origem e fonte de todos os dados que sejam manipulados. Nesta parte ainda, caso os dados sejam partilhados com qualquer outra pessoa ou entidade será preciso descrever também. Se possível ou necessário, os fluxos dos dados podem e devem ser demonstrados por meio de fluxogramas e gráficos estruturais. Finalmente, ainda na natureza do processo, deve-se citar tipos de tratamento que possam envolver alto risco para os titulares dos dados.

Escopo do processamento

Em seguida, será preciso elaborar mais sobre a natureza dos dados recolhidos e sobre a existência de categorias especiais ou legalmente sensíveis dentre os mesmos. Qual o volume de dados recolhido e com que frequência ocorre ou ocorrerá sua recolha? O escopo ainda precisa conter informações sobre o período de tempo em que os dados serão mantidos ou armazenados, assim como o número de indivíduos afetados e alcance geográfico da recolha.

Contexto do processamento

Qual o relacionamento da empresa com os indivíduos cujos dados são recolhidos? Quanto controlo tais indivíduos terão sobre seus dados e como esperam que a empresa que os processa utiliza-se dessas informações? O contexto ainda precisa citar a existência de possíveis grupos sensíveis ou vulneráveis dentre os titulares dos dados, incluindo crianças, além de relacionar quaisquer potenciais riscos que já estejam previstos na atividade de processamento que pretende conduzir.

O contexto ainda pode incluir avaliações e informações sobre possíveis preocupações de caráter público em relação ao processamento desses dados ou aos grupos de indivíduos envolvidos no processo, bem como relacionar possíveis certificações, homologações e códigos de conduta aos quais o controlador dos dados ou empresa esteja sujeito ou possua.

Propósito do processamento

Sob a égide da transparência, o controlador dos dados precisa ainda informar quais os objetivos que pretende a partir do processamento dos dados, assim como a forma com que espera que os titulares dos dados sejam afetados. Em outras palavras, a empresa precisa declarar de forma clara como beneficiará do projeto e que possíveis consequências, positivas ou negativas, espera que os titulares dos dados venham enfrentar.

Como reportar uma violação de dados ao CNPD?

Sob o disposto no artigo 33º do Regulamento Geral de Proteção de Dados, exige-se que violações de dados pessoais de usuários sejam reportadas ao organismo de autoridade de controlo para cada país da União Europeia. Em Portugal, essa incumbência cabe à Comissão Nacional de Proteção de Dados (CNPD).

A CNPD já disponibiliza um formulário de notificação de violação de dados pessoais. O procedimento é simples, ainda que o website da própria CNPD encontre-se bastante desatualizado, não apenas em relação a algumas modificações relativas ao GDPR europeu, como principalmente em termos de usabilidade e web design. De qualquer modo, há diferentes formulários padrão para reportar:

  • Violações de dados pessoais
  • Queixas ou reclamações

Ao aceder o formulário de violações de dados pessoais da CNPD, o DPO ou responsável pelo tratamento de dados encontrará duas opções: ou poderá reportar e registar uma ocorrência, ou então alterar alguma notificação anteriormente efetuada. O preenchimento é simples e rápido, como é possível ver na imagem do ecrã do formulário.

CNPD - violação de dados pessoais

Além da ocorrência em si, o formulário exige que uma série de informações sejam prestadas pelo DPO ou responsável, o que inclui:

  • Dados da entidade
  • Dados de contacto
  • Informação sobre a violação de dados
  • Consequências da violação de dados
  • Dados pessoais envolvidos
  • Titulares dos dados
  • Informação aos titulares
  • Medidas preventivas/corretivas
  • Tratamentos transfronteiriços

Caso precise de mais ajuda, disponibilizamos um breve passo a passo em vídeo em nosso canal no Youtube.