Segurança da informação e o RGPD

Os princípios da segurança da informação foram, em muitos aspetos, as bases do Regulamento Geral de Proteção de Dados (RGPD). Embora com a promulgação da norma as regras impostas e as condutas exigidas tenham se tornado algo aparentemente mais afeito à seara jurídica, a verdade é que engenheiros e informáticos que lidam com processamento de dados em grande empresas já possuem um cotidiano similar ao exigido no RGPD há anos.

Em primeiro lugar: sim, os direitos do titular dos dados no RGPD estão claramente baseados nos princípios da segurança da informação, do ponto de vista técnico. Esses princípios podem ser resumidos em:

  1. Confidencialidade – proteção da informação contra qualquer tipo de acesso não autorizado ou interceptações.
  2. Integridade – garantia de que a informação seja armazenada e possa ser acessada ou recuperada a qualquer momento, sem prejuízos para o seu conteúdo.
  3. Disponibilidade – garantia de que toda a informação armazenada possa ser disponibilizada aos responsáveis e pessoas autorizadas, quando requerida.
  4. Autenticidade – relacionado à confidencialidade e também à disponibilidade, a autenticidade garante a origem de uma informação e também a identidade das pessoas que a manipularam.

Um dos aspetos principais do RGPD é exatamente a garantia e proteção dos direitos do usuário relacionados a esses quatro princípios da segurança da informação. Todo titular de dados tem por direito o “apagamento” dos seus dados, acesso irrestrito aos mesmos, transferência ou portabilidade, direito à retificação dos dados, oposição e limitação à forma com que seja feito o processamento e também transparência e informação no sentido de estar ciente de mudanças, novas políticas ou mesmo ameaças e vazamentos dos dados.

Todos esses direitos concedidos podem, sem exceção, ser enquadrados em um ou mais princípios da segurança da informação. Assim sendo, é justo considerar que, para toda e qualquer “boa prática” não definida por ora para o RGPD, aplica-se por exclusão uma boa prática consolidada na área de segurança e privacidade da informação. Notadamente, estamos a falar das normas específicas desse segmento.

Como gerenciar a Segurança da Informação

Descrição de responsabilidades, tarefas e encargos são os pontos de partida obrigatórios para uma boa gestão da segurança da informação – gerir o RGPD exigirá do encarregado da proteção de dados o mesmo. De forma mais detalhada possível, devem ser descritos de forma clara:

  • A política ou normas de conduta.
  • Os processos, ou tudo o que precisa ocorrer para atender aos objetivos de segurança.
  • Os procedimentos, com detalhes de quem deve fazer o que e quando.
  • Instruções claras de trabalho, se possível descritas em passos.

O RGPD estabelece procedimentos específicos, mas em linhas gerais, é exatamente disso que a norma trata. A diferença aqui é que, para além do âmbito de uma empresa ou organização em particular, o foco passa a partir do usuário ou titular dos dados. De qualquer modo, normas voltadas à padronização na segurança da informação, como a família ISO 27000 de normas técnicas, já colocavam não apenas a “empresa” como cliente, mas todos os demais stakeholders possíveis ou existentes: empregados, clientes, usuários externos e internos em geral, parceiros, autoridades, etc.

A gestão da segurança da informação é um processo contínuo. Fatores externos e internos influenciam toda a política e a gestão da informação e precisam ser constantemente monitorados, para que modificações sejam realizadas. Exatamente o mesmo se passa no escopo do RGPD.

Artigo 34º – Comunicação de uma violação de dados pessoais ao titular dos dados

Artigo 34º

Comunicação de uma violação de dados pessoais ao titular dos dados

1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.

2. A comunicação ao titular dos dados a que se refere o nº 1 do presente artigo descreve em linguagem clara e simples a natureza da violação dos dados pessoais e fornece, pelo menos, as informações e medidas previstas no artigo 33º, nº 3, alíneas b), c) e d).

3. A comunicação ao titular dos dados a que se refere o nº 1 não é exigida se for preenchida uma das seguintes condições:

a) O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;

b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere o nº 1 já não é suscetível de se concretizar; ou

c) Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.

4. Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir-lhe que proceda a essa notificação ou pode constatar que se encontram preenchidas as condições referidas no nº 3.

Artigo 23º – Limitações

Artigo 23º

Limitações

1. O direito da União ou dos Estados-Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12º a 22º e no artigo 34º, bem como no artigo 5º, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12º a 22º, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

a) A segurança do Estado;

b) A defesa;

c) A segurança pública;

d) A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;

e) Outros objetivos importantes do interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública e da segurança social;

f) A defesa da independência judiciária e dos processos judiciais;

g) A prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas;

h) Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) a e) e g);

i) A defesa do titular dos dados ou dos direitos e liberdades de outrem;

j) A execução de ações cíveis.

2. Em especial, as medidas legislativas referidas no nº 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:

a) Às finalidades do tratamento ou às diferentes categorias de tratamento;

b) Às categorias de dados pessoais;

c) Ao alcance das limitações impostas;

d) Às garantias para evitar o abuso ou o acesso ou transferência ilícitos;

e) À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento;

f) Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento;

g) Aos riscos específicos para os direitos e liberdades dos titulares dos dados; e

h) Ao direito dos titulares dos dados a serem informados da limitação, a menos que tal possa prejudicar o objetivo da limitação.

Artigo 22º – Decisões individuais automatizadas, incluindo definição de perfis

Artigo 22º

Decisões individuais automatizadas, incluindo definição de perfis

1. O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.

2. O nº 1 não se aplica se a decisão:

a) For necessária para a celebração ou a execução de um contrato entre o titular dos dados e um responsável pelo tratamento;

b) For autorizada pelo direito da União ou do Estado-Membro a que o responsável pelo tratamento estiver sujeito, e na qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados; ou

c) For baseada no consentimento explícito do titular dos dados.

3. Nos casos a que se referem o nº 2, alíneas a) e c), o responsável pelo tratamento aplica medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.

4. As decisões a que se refere o nº 2 não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 9º, nº 1, a não ser que o nº 2, alínea a) ou g), do mesmo artigo sejam aplicáveis e sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular.

Artigo 21º – Direito de oposição

Artigo 21º

Direito de oposição

1. O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6º, nº 1, alínea e) ou f), ou no artigo 6º, nº 4, incluindo a definição de perfis com base nessas disposições. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou
defesa de um direito num processo judicial.

2. Quando os dados pessoais forem tratados para efeitos de comercialização direta, o titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida comercialização, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.

3. Caso o titular dos dados se oponha ao tratamento para efeitos de comercialização direta, os dados pessoais deixam de ser tratados para esse fim.

4. O mais tardar no momento da primeira comunicação ao titular dos dados, o direito a que se referem os nºs 1 e 2 é explicitamente levado à atenção do titular dos dados e é apresentado de modo claro e distinto de quaisquer outras informações.

5. No contexto da utilização dos serviços da sociedade da informação, e sem prejuízo da Diretiva 2002/58/CE, o titular dos dados pode exercer o seu direito de oposição por meios automatizados, utilizando especificações técnicas.

6. Quando os dados pessoais forem tratados para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89º, nº 1, o titular dos dados tem o direito de se opor, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, salvo se o tratamento for necessário para a prossecução de atribuições de interesse público.

Artigo 17º – Direito ao apagamento dos dados («direito a ser esquecido»)

Artigo 17º

Direito ao apagamento dos dados («direito a ser esquecido»)

1. O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

a) Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

b) O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6º, nº 1, alínea a), ou do artigo 9º, nº 2, alínea a) e se não existir outro fundamento jurídico para o referido tratamento;

c) O titular opõe-se ao tratamento nos termos do artigo 21º, nº 1, e não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular opõe-se ao tratamento nos termos do artigo 21º, nº 2;

d) Os dados pessoais foram tratados ilicitamente;

e) Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito;

f) Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação referida no artigo 8º, nº 1.

2. Quando o responsável pelo tratamento tiver tornado públicos os dados pessoais e for obrigado a apagá-los nos termos do nº 1, toma as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.

3. Os nºs 1 e 2 não se aplicam na medida em que o tratamento se revele necessário:

a) Ao exercício da liberdade de expressão e de informação;

b) Ao cumprimento de uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um Estado-Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento;

c) Por motivos de interesse público no domínio da saúde pública, nos termos do artigo 9º, nº 2, alíneas h) e i), bem como do artigo 9º, nº 3;

d) Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89º, nº 1, na medida em que o direito referido no n.o 1 seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento; ou

e) Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

Artigo 18º – Direito à limitação do tratamento

Artigo 18º

Direito à limitação do tratamento

1. O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, se se aplicar uma das seguintes situações:

a) Contestar a exatidão dos dados pessoais, durante um período que permita ao responsável pelo tratamento verificar a sua exatidão;

b) O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;

c) O responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;

d) Se tiver oposto ao tratamento nos termos do artigo 21º, nº1, até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os do titular dos dados.

2. Quando o tratamento tiver sido limitado nos termos do nº 1, os dados pessoais só podem, à exceção da conservação, ser objeto de tratamento com o consentimento do titular, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos ponderosos de interesse público da União ou de um Estado-Membro.

3. O titular que tiver obtido a limitação do tratamento nos termos do nº 1 é informado pelo responsável pelo tratamento antes de ser anulada a limitação ao referido tratamento.

Artigo 6º – Licitude do tratamento

Artigo 6º

Licitude do tratamento

1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

2. Os Estados-Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.

3. O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

a) Pelo direito da União; ou

b) Pelo direito do Estado-Membro ao qual o responsável pelo tratamento está sujeito.

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado-Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.

4. Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados-Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

a) Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior;

b) O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;

c) A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9º, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10º;

d) As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;

e) A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização.

Artigo 19º – Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento

Artigo 19º

Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento

O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido em conformidade com o artigo 16º, o artigo 17º, nº 1, e o artigo 18º, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos destinatários.

Tópicos que devem constar de uma Política de Privacidade

Há imensos modelos e muitos advogados a trabalhar na redação de Políticas de Privacidade sob as novas regras do GDPR europeu. Em muitos casos, documentos juridicamente perfeitos, apesar de sua correção legal, falham em atender a um dos mais básicos requisitos da nova lei: a compreensão.

Sob a luz do GDPR europeu, a Política de Privacidade não deve seguir a lógica de antigos “disclaimers”. A norma surgiu exatamente como maneira de contornar problemas de consentimento existentes a partir da não leitura ou incompreensão por parte dos usuários dos termos legais e detalhes ocultados em enormes textos de termos e condições que a maioria dos serviços online submetiam aos seus clientes.

Antes de optar por modelos específicos ou contratar advogados para produzir documentos, é preciso compreender que a Política de Privacidade precisa ser um documento de fácil compreensão e, necessariamente, suficiente para responder às seguintes questões:

  • Quem recolhe e processa os dados dos usuários?
  • Quais são os dados recolhidos nessa circunstância?
  • Quais as bases legais para a recolha e processamento desses dados?
  • Serão os dados partilhados com terceiros?
  • Como os dados e informações são utilizados e para que fim?
  • Por quanto tempo os dados permanecem armazenados?
  • Quais são os direitos do usuário como titular dos dados submetidos?
  • Como os usuários podem realizar reclamações ou denúncias e como podem exercer seus direitos?