Registo das atividades de tratamento – visão espanhola

A despeito das particularidades de adoção do RGPD em cada país da União Europeia, a visão de cada região a respeito da norma será cada vez mais útil para nortear procedimentos, tanto para empresas e controladores de dados quanto para as autoridades envolvidas.

Na Espanha, a Agência Espanhola de Proteção de Dados (AEPD), criou documentos extensos, porém didáticos, para auxiliar na informação a respeito do RGPD. Em seu excelente guia para DPOs, a agência espanhola detalha disposições, obrigações e oferece recomendações para os encarregados da proteção de dados, de forma simples e direta.

Em relação ao registo das atividades de tratamento de dados, em particular, o documento espanhol analisa de forma muito mais objetiva as necessidades e obrigações para acompanhamento de tais informações – uma luz para muitas perguntas que ainda seguem a responder em Portugal.

Números e precisão na informação

A informação disponível até agora a respeito do RGPD e particularidades que envolvem as responsabilidades do DPO e dos controladores de dados tem sido generalista e mesmo vaga. A AEPD oferece algumas referências quantitativas e qualitativas que poderão responder a algumas questões que seguem em aberto. No caso do registo das atividades – qualquer empresa precisará fazê-lo?

É difícil e mesmo injusto imaginar que uma padaria ou um café terá de efetuar registos frequentes de todos os dados que processa ou deixa de processar. Bem, a obrigação desses procedimentos, na visão da AEPD, recai sobre qualquer empresa, porém há algumas exceções nas quais há isenção da obrigação de tal registo.

Para a AEPD, estão isentas de tal obrigação empresas com menos de 250 empregados. Sim – um número! Entretanto, tal isenção anula-se uma vez que a empresa, ainda que com menos empregados que o citado, processe dados que possam causar riscos diretos aos direitos do usuário ou incluam dados classificados como sensíveis, segundo a óptica do RGPD.

Artigo 38º – Posição do encarregado da proteção de dados

Artigo 38º

Posição do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.

2. O responsável pelo tratamento e o subcontratante apoia o encarregado da proteção de dados no exercício das funções a que se refere o artigo 39º, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

3. O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

4. Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

5. O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.

6. O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.

Artigo 30º – Registos das atividades de tratamento

Artigo 30º

Registos das atividades de tratamento

1. Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:

a) O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;

b) As finalidades do tratamento dos dados;

c) A descrição das categorias de titulares de dados e das categorias de dados pessoais;

d) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;

e) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49º, nº 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas;

f) Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;

g) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32º, nº 1.

2. Cada subcontratante e, sendo caso disso, o representante deste, conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento, do qual constará:

a) O nome e contactos do subcontratante ou subcontratantes e de cada responsável pelo tratamento em nome do qual o subcontratante atua, bem como, sendo caso disso do representante do responsável pelo tratamento ou do subcontratante e do encarregado da proteção de dados;

b) As categorias de tratamentos de dados pessoais efetuados em nome de cada responsável pelo tratamento;

c) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49º, nº 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas;

d) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32º, nº 1.

3. Os registos a que se referem os nºs 1 e 2 são efetuados por escrito, incluindo em formato eletrónico.

4. O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo.

5. As obrigações a que se referem os nºs 1 e 2 não se aplicam às empresas ou organizações com menos de 250 trabalhadores, a menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9º, nº 1, ou dados pessoais relativos a condenações penais e infrações referido no artigo 10º.

Competências e atributos do encarregado da proteção de dados

A figura do DPO tornar-se-á cada vez mais frequente, especialmente em grandes empresas. Seja um contratado em prestação de serviços ou empregado que é parte do quadro, esse profissional precisa reunir características bastantes para atender ao disposto no Regulamento Geral de Proteção de Dados, mas também para conduzir suas tarefas dentro da empresa.

Chamado em Portugal de “Encarregado da Proteção de Dados”, o DPO é geralmente um profissional ligado à área de engenharia informática ou similar, conhecedor não apenas dos detalhes do RGPD, mas também de outras padronizações ligadas à segurança da informação.

Encarregado da proteção de dados – competências

O DPO é um profissional que precisa de reunir um certo rol de competências. Além de um background informático, precisa de liderança e certa flexibilidade para lidar com problemas que costumeiramente são parte da rotina de segurança da informação. Além de formação ou domínio no teor do RGPD, um bom profissional a assumir uma posição de DPO precisa também:

  • Possuir experiência notória em sistemas informáticos.
  • Ter grande conhecimento de segurança da informação, incluindo normas e padrões como a ISO 27001.
  • Proatividade no sentido de detetar problemas de segurança e privacidade e agir, independentemente dos requisitos do RGPD.
  • Quando interno, conhecimento vasto das rotinas de controlo e processamento da informação pela empresa.
  • Quando externo, tempo para conduzir investigações a respeito das rotinas de controlo e processamento da informação pela empresa.

Organizações que já possuem departamentos de informática e segurança da informação bem organizados podem considerar a nomeação de um de seus profissionais líderes na área para assumir as responsabilidades do DPO, do mesmo modo que companhias com prestadores de serviço especializados externos podem relegar aos prestadores de serviço a responsabilidade, mas sempre nomeadamente.

Em Portugal, fala-se muito no uso de juristas e advogados na função de DPO. Para algumas empresas, a utilização de profissionais desse segmento pode ser útil. Contudo, em empresas maiores que precisam lidar com problemas de segurança da informação de um ponto de vista mais técnico de aplicabilidade, o DPO jurista nada mais constitui do que um profissional suficiente para apontar riscos, mas nunca resolvê-los do ponto de vista objetivo.

Certificações mundiais na área de segurança da informação já estabeleciam, há tempos, recomendações que em muitos aspetos igualam-se às exigências do RGPD. Nesse sentido, um encarregado da proteção de dados com conhecimento nessas padronizações informáticas é capaz não apenas de atender às disposições legais do GDPR europeu, mas inclusive implementar melhorias aos processos que vão além do disposto em lei. Dentro do disposto nos guias e documentos do RGPD, as competências do DPO devem incluir:

  • Competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um conhecimento profundo do RGPD
  • Conhecimento das operações de tratamento efetuadas
  • Conhecimento das tecnologias da informação e da segurança dos dados
  • Conhecimento do setor empresarial e da organização
  • Capacidade para promover uma cultura de proteção de dados no seio da organização.
Encarregado da proteção de dados – recursos alocados

A simples nomeação de um DPO não garante o cumprimento com as normas do RGPD. O trabalho é continuado, como ocorre com processos de implementação de normas para certificação, como ISO 9000, ISO 14000 e ISO 27001 (segurança da informação). Para que possa desempenhar seu papel e manter a empresa longe de coimas e também problemas, o encarregado da proteção de dados precisará sempre de:

  • Ter acesso a todos os sistemas informáticos da empresa
  • Ter apoio da direção da empresa
  • Livre trânsito entre departamentos
  • Formação contínua
  • Uma equipa em consonância com o tamanho e porte da organização
  • Recursos financeiros e tecnológicos bastantes para lidar com os problemas e questões que irá detetar
Encarregado da proteção de dados – quanto ganha um DPO

A extensão das responsabilidades, o porte da empresa e das rotinas de processamento de dados e também o grau de expertise do DPO irão definir seu salário – por isso é difícil falar de forma imediata em valores. Contudo, tendo em vista que formações em DPO já existentes em território português têm custos que podem facilmente exceder os € 1.500 por algumas horas de treinamento, há de se concordar que profissionais dessa gama não terão ordenados inferiores a alguns milhares de euros ao mês.

Para empresas que necessitem de contratar um DPO, mas possuam menor porte, consultorias e prestadores de serviço serão uma solução mais viável. Quando o processamento de dados é considerável, mas não volumoso o suficiente para justificar um DPO em tempo inteiro, contratar um terceiro pode ser suficiente e reduzir os custos de adequação à nova norma. Desse modo, um mesmo consultor poderá assumir o papel de DPO em mais de uma organização, que na prática partilharão os custos de seus rendimentos.

Outra possibilidade, especialmente para empresas que já possuem departamentos informáticos organizados, é nomear outro executivo ou profissional como responsável. A lei não aponta especificamente um conjunto de formações necessário para o DPO, apenas seu papel dentro da organização. Um diretor de outra área qualquer, em tese, pode assumir tal papel, contudo os prejuízos do desconhecimento de rotinas legais e informáticas podem colocar em situação de desconformidade a organização.

Artigo 39º – Funções do encarregado da proteção de dados

Artigo 39º

Funções do encarregado da proteção de dados

1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:

a) Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;

b) Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;

c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35º;

d) Coopera com a autoridade de controlo;

e) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

2. No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

Artigo 37º – Designação do encarregado da proteção de dados

Artigo 37º

Designação do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º.

2. Um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.

3. Quando o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, pode ser designado um único encarregado da proteção de dados para várias dessas autoridades ou organismos, tendo em conta a respetiva estrutura organizacional e dimensão.

4. Em casos diferentes dos visados no nº 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados-Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.

5. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39º.

6. O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.

7. O responsável pelo tratamento ou o subcontratante publica os contactos do encarregado da proteção de dados e comunica-os à autoridade de controlo.

Artigo 35º – Avaliação de impacto sobre a proteção de dados

Artigo 35º

Avaliação de impacto sobre a proteção de dados

1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.

2. Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.

3. A realização de uma avaliação de impacto sobre a proteção de dados a que se refere o nº 1 é obrigatória nomeadamente em caso de:

a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b) Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9º, nº 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º; ou

c) Controlo sistemático de zonas acessíveis ao público em grande escala.

4. A autoridade de controlo elabora e torna pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do n.o 1. A autoridade de controlo comunica essas listas ao Comité referido no artigo 68º.

5. A autoridade de controlo pode também elaborar e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais não é obrigatória uma análise de impacto sobre a proteção de dados. A autoridade de controlo comunica essas listas ao Comité.

6. Antes de adotar as listas a que se referem os nºs 4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coerência referido no artigo 63º sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com o controlo do seu comportamento em diversos Estados-Membros, ou possam afetar substancialmente a livre circulação de dados pessoais na União.

7. A avaliação inclui, pelo menos:

a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;

b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o nº 1; e

d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

8. Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avaliação de impacto sobre a proteção de dados, é tido na devida conta o cumprimento dos códigos de conduta aprovados a que se refere o artigo 40º por parte desses responsáveis ou subcontratantes.

9. Se for adequado, o responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses comerciais ou públicos ou da segurança das operações de tratamento.

10. Se o tratamento efetuado por força do artigo 6º, nº 1, alínea c) ou e), tiver por fundamento jurídico o direito da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito, e esse direito regular a operação ou as operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto sobre a proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção desse fundamento jurídico, não são aplicáveis os nºs 1 a 7, salvo se os Estados-Membros considerarem necessário proceder a essa avaliação antes das atividades de tratamento.

11. Se necessário, o responsável pelo tratamento procede a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto sobre a proteção de dados, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam.

Como reportar uma violação de dados ao CNPD?

Sob o disposto no artigo 33º do Regulamento Geral de Proteção de Dados, exige-se que violações de dados pessoais de usuários sejam reportadas ao organismo de autoridade de controlo para cada país da União Europeia. Em Portugal, essa incumbência cabe à Comissão Nacional de Proteção de Dados (CNPD).

A CNPD já disponibiliza um formulário de notificação de violação de dados pessoais. O procedimento é simples, ainda que o website da própria CNPD encontre-se bastante desatualizado, não apenas em relação a algumas modificações relativas ao GDPR europeu, como principalmente em termos de usabilidade e web design. De qualquer modo, há diferentes formulários padrão para reportar:

  • Violações de dados pessoais
  • Queixas ou reclamações

Ao aceder o formulário de violações de dados pessoais da CNPD, o DPO ou responsável pelo tratamento de dados encontrará duas opções: ou poderá reportar e registar uma ocorrência, ou então alterar alguma notificação anteriormente efetuada. O preenchimento é simples e rápido, como é possível ver na imagem do ecrã do formulário.

CNPD - violação de dados pessoais

Além da ocorrência em si, o formulário exige que uma série de informações sejam prestadas pelo DPO ou responsável, o que inclui:

  • Dados da entidade
  • Dados de contacto
  • Informação sobre a violação de dados
  • Consequências da violação de dados
  • Dados pessoais envolvidos
  • Titulares dos dados
  • Informação aos titulares
  • Medidas preventivas/corretivas
  • Tratamentos transfronteiriços

Caso precise de mais ajuda, disponibilizamos um breve passo a passo em vídeo em nosso canal no Youtube.

Artigo 26º – Responsáveis conjuntos pelo tratamento

Artigo 26º

Responsáveis conjuntos pelo tratamento

1. Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13º e 14º, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.

2. O acordo a que se refere o nº 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.

3. Independentemente dos termos do acordo a que se refere o nº 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação e cada um dos responsáveis pelo tratamento.

Artigo 24º – Responsabilidade do responsável pelo tratamento

Artigo 24º

Responsabilidade do responsável pelo tratamento

1. Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.

2. Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o nº 1 incluem a aplicação de políticas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.

3. O cumprimento de códigos de conduta aprovados conforme referido no artigo 40º ou de procedimentos de certificação aprovados conforme referido no artigo 42º pode ser utilizada como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento.