Pôr em prática o RGPD by Grupo Lidel

Arte - PÃ´r em pratica o RGPD.pdf

CMY

16/07/18

14:56

EDIÇÃO FCA – Editora de Informática, Lda. Av. Praia da Vitória, 14 A – 1000-247 Lisboa Edição Tel: +351 213 511 448 FCA – Editora de Informática, Lda. fca@fca.pt Av. Praia da Vitória, 14 A – 1000-247 Lisboa www.fca.pt Tel: +351 213 511 448

fca@fca.pt DISTRIBUIÇÃO Lidel –www.fca.pt Edições Técnicas, Lda. Rua D. Estefânia, 183, R/C Dto. – 1049-057 LISBOA Distribuição Tel: +351 213 511 448 Lidel – Edições Técnicas, Lda. lidel@lidel.pt Rua D. Estefânia, 183, R/C Dto. – 1049-057 Lisboa www.lidel.pt Tel: +351 213 511 448 lidel@lidel.pt LIVRARIA www.lidel.pt

Av. Praia da Vitória, 14 – 1000-247 LISBOA Tel: +351 213 511 448 * Fax: +351 213 173 259 L ivraria livraria@lidel.pt Av. Praia da Vitória, 14 A – 1000-247 Lisboa Tel: +351 213 511 448 * Fax: +351 213 522 684

Copyright © abril 2016, FCA – Editora de Informática, Lda. livraria@lidel.pt ISBN: 978-972-722-830-0 Copyright © 2018 FCA – Editora de Informática, Lda. 1.ª edição impressa: abril 2016 ISBN edição impressa: 978-972-722-896-6 1.ª edição impressa: julho 2018

Paginação: Alice Simões Impressão e acabamento: A definir Paginação: Carlos Mendes Depósito Legal N.º Aguardar Impressão e acabamento: Cafilesa – Soluções Gráficas, Lda. – Venda do Pinheiro Capa: Depósito José Manuel Reis Legal n.º 443783/18 Ilustração capa: Miguel– Look-Ahead Montenegro Capa:da José M. Ferrão Marcas Registadas de FCA – Editora de Informática,

Marcas registadas de FCA – Editora de Informática, Lda. –

FCA®

Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto, aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções.

Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções.

Não nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à dataNão de publicação da mesma. nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à data de publicação da mesma.

Os nomes comerciais referenciados neste livro têm patente registada. Os nomes comerciais referenciados neste livro têm patente registada. Reservados todos os direitos. Esta publicação não pode ser reproduzida, nem transmitida, no todo ou em parte, por qualquer processo eletrónico, mecânico, digitalização, gravação, nem sistema de armazenamento e disponibilização de Reservados todos os direitos. Estafotocópia, publicação não pode ser reproduzida, transmitida, no todo ou em parte, por qualquer processo eletrónico, sítio mecânico, digitalização, gravação, de armazenamento e disponibilização informação, Web, blogue informação, Web,fotocópia, blogue ou outros, sem préviasistema autorização escrita da Editora, exceto o de permitido pelosítio CDADC, em ou outros, sem privada prévia autorização escrita da Editora, exceto permitido CDADC, ematravés termosdo de pagamento cópia privadadas pela AGECOP – termos de cópia pela AGECOP – Associação para aoGestão da pelo Cópia Privada, respetivas – Associação para a Gestão da Cópia Privada, através do pagamento das respetivas taxas. taxas.

ÍNDICE O Autor

Agradecimentos VI Lista de Siglas, Abreviaturas e Acrónimos

VII

Introdução

1 O Hoje Digital

1.1 Novas Tecnologias

1 3

1.1.1 Algoritmo 6

1.1.2 Inteligência Artificial (IA)

1.1.3 Machine Learning ou Aprendizagem Automática

1.1.4 Bioinformática ou Biologia Computacional

1.1.5 Internet das Coisas (IoT)

1.1.6 Big Data 19

1.1.7 Cloud ou tecnologia da nuvem

2 Nós e o RGPD

22 25

2.1 Nós: Quem ou o Quê?

2.2 Definições 32

2.3 Direitos 40

2.3.1 Consentimento 42

2.3.2 Licitude, lealdade e transparência no tratamento dos dados

2.3.3 Limitação das finalidades e dos dados

2.3.4 Exatidão 46

2.3.5 Limitação de conservação

2.3.6 Integridade e confidencialidade

2.4 O RGPD e os direitos do titular dos dados

2.5 Limites aos direitos

2.6 Os nossos deveres

III

3 As Organizações e o RGPD

3.1 Inventário 63

3.2 Ciclo de vida dos dados

3.3 O método “entra em cena”

3.4 Empresas não são prédios, são pessoas

3.4.1 Encarregado de proteção de dados (EPD)

3.5 O todo é maior do que a simples soma das suas partes

78 82

3.5.1 A “ratoeira” da Internet

3.5.2 As três zonas a proteger

3.6 O perigo mora cá dentro

3.6.1 Autenticar os utilizadores

3.6.2 Rastrear acessos e gerir incidentes

3.6.3 Proteção dos postos de trabalho

3.6.4 Proteção da informática móvel

3.6.5 Proteger a casa

3.7 Processos 98

3.8 O Legal

102

3.9 Avaliação de Impacto sobre a Proteção de Dados (AIPD)

105

3.9.1 Gestão da subcontratação

108

3.10 “Quick Wins ou Desenrascanço”

111

3.11 Transparência e accountability 113

Conclusão 121 Bibliografia 133 ANEXOS

137

I Regulamento Interno de Proteção de Dados

139

II Ferramenta de Auxílio para Avaliação de Riscos

147

III Modelo de Contrato de Subcontratação

149

IV Avaliar o Nível de Segurança

155

V O RGPD, Visão, Missão e Stakeholders 157 Índice Remissivo

159

O AUTOR

Licenciado em Engenharia Eletrotécnica pelo Instituto Superior Técnico e com MBA (Master of Business Administration) pela Universidade Nova de Lisboa (UNL)/The Wharton School. Empresário, gestor profissional, conferencista e formador certificado, desempenhou funções de liderança e desenvolvimento de projetos, planeamento estratégico, novos negócios, redução de custos e redesenho organizativo. É atualmente Associate Partner de uma consultora especializada em privacidade e proteção de dados pessoais. Foi presidente da Associação dos Antigos Alunos MBA da UNL (AMBA) e também presidente do The Lisbon MBA Alumni (associação de antigos alunos da Nova School of Business & Economics e da Católica Lisbon School of Business & Economics). Autor de livros e artigos vários na área da Gestão.

INTRODUÇÃO “Um líder da mudança encara a mudança como uma oportunidade. Um líder da mudança procura a mudança, sabe como encontrar as mudanças certas e sabe como torná-las eficazes tanto no exterior da organização como no interior. Fazer o futuro comporta um risco elevado. Contudo, é menos arriscado do que não tentar fazê-lo.” Peter F. Drucker, consultor administrativo e professor de origem austríaca (2000)

O tema deste livro é o novo Regulamento Geral de Proteção de Dados (RGPD), o seu impacto na vida de todos nós e na das entidades privadas e organismos públicos. No dia 4 de maio de 2016, a União Europeia (UE) publicou um novo Regulamento Geral de Proteção de Dados (RGPD) (Regulamento UE 2016/679, de 27 de abril de 20161). Este novo quadro legal acarreta algumas mudanças com impacto no dia a dia das entidades (empresas e organismos públicos e privados), que tinham, até 25 de maio de 2018, de implementar as novas diretivas. Isto significa que existem no espaço da UE novas leis e regras relacionadas com dados (informação) localizados algures e referentes a pessoas/cidadãos. Estamos a falar de muitos milhões de pessoas, que vão ter as suas vidas alteradas pelas decisões ou pela mudança de atitude de algumas centenas ou milhares de outras pessoas que trabalham nas entidades privadas ou públicas.

Parlamentares democraticamente eleitos pelos cidadãos da UE e estruturas de cúpula do governo dessa mesma UE decidiram que tinha chegado o momento de alterar o statu quo da tecnologia e da ciência da informática/ /computação, no que dizia respeito à proteção da privacidade dos cidadãos residentes na Europa dos 28. Para já, convém que conheçamos algumas Todas as referências ao longo do livro dizem respeito e estão em conformidade com o Regulamento UE 2016/679, de 27 de abril.

PÔR EM PRÁTICA O RGPD

das razões da criação deste novo Regulamento, que se encontram descritas em parte dos 173 considerandos que precedem os 11 capítulos e os 99 artigos que o compõem: • Considerando (1) – “A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia (“Carta”) e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.” • Considerando (2) – “Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. O presente regulamento tem como objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares.” • Considerando (4) – “O tratamento dos dados pessoais deverá ser concebido para servir as pessoas. O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. O presente regulamento respeita todos os direitos fundamentais e observa as liberdades e os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística.” • Considerando (6) – “A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades. As pessoas singulares disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas tecnologias transformaram a economia e a vida social e deverão contribuir para facilitar a livre circulação de dados pessoais na União e a sua transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais.” – Continua –

Introdução

– Continuação –

• Considerando (7) – “Esta evolução exige um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas.” • Considerando (14) – “A proteção conferida pelo presente regulamento deverá aplicar-se às pessoas singulares, independentemente da sua nacionalidade ou do seu local de residência, relativamente ao tratamento dos seus dados pessoais. O presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva.” • Considerando (15) – “A fim de se evitar o sério risco de ser contornada a proteção das pessoas singulares, esta deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas. A proteção das pessoas singulares deverá aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros. Os ficheiros ou os conjuntos de ficheiros bem como as suas capas, que não estejam estruturados de acordo com critérios específicos, não deverão ser abrangidos pelo âmbito de aplicação do presente regulamento.” • Considerando (22) – “Qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado na União deverá ser feito em conformidade com o presente regulamento, independentemente de o tratamento em si ser realizado na União. O estabelecimento pressupõe o exercício efetivo e real de uma atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jurídica, não é fator determinante nesse contexto.”

Lidos estes considerandos que nos explicam qual o objetivo deste RGPD, não podemos esquecer que nesta Europa da União não existem apenas os decisores políticos e os legisladores parlamentares. Existem também filósofos, especialistas em geopolítica do risco, professores de ética, compositores de música clássica, gente das artes visuais, economistas e econometristas, professores de leis que ministram cursos designados “Questions of applied ethics after the digital turn” e outros que ensinam ética e tecnologia.

PÔR EM PRÁTICA O RGPD

Esta cacofonia do conhecimento europeu resulta apenas de uma rápida leitura que fiz ao curriculum dos membros do Ethics Advisory Group da European Data Protection Supervisor (EDPS) (ou Grupo de Aconselhamento Ético da Autoridade Europeia para a Proteção de Dados). Tal significa que esta questão dos dados pessoais, das novas tecnologias, como a inteligência artificial (IA), a cloud (ou nuvem), as grandes bases de dados, os algoritmos, as neurociências, a blockchain, não são temas apenas do foro da ciência e das leis, antes são “coisas” que dizem respeito a todos nós. Assim, não será de estranhar que um dos homens mais influentes nestas matérias seja um israelita, Yuval Noah Harari, professor de história, que lançou, em 2015, um livro intitulado Homo Deus, que prevê que amanhã o Homem irá subir ao Olimpo da Grécia Antiga com a pretensão de se tornar membro de pleno direito do clube dos deuses. Confuso? Eu também! A pergunta é: que papel desempenha este “clube dos sábios europeus”? Nada melhor do que conhecer algumas das frases de Giovanni Butarelli, na abertura do Relatório da EDPS (2018), “Towards a Digital Ethics2” (“Na procura de uma ética digital”): “Hoje, a Ética e a Proteção dos Dados Pessoais estão interligadas como nunca. Muitos temas relacionados com a Ética envolvem os dados pessoais e as autoridades que supervisionam estas áreas defrontam-se com questões éticas que o Direito por si só não consegue resolver. A Ética e o Direito desempenham um importante papel nas nossas sociedades. A necessária convergência entre estas duas áreas do conhecimento permitir-nos-á colocar o ser humano, a sua experiência e dignidade no centro das nossas preocupações.”

Este Relatório produzido pelos membros da EDPS (2018) lida de forma aprofundada com esta questão, apresentando as mudanças principais geradas pela revolução digital e o impacto que têm sobre os nossos valores fundamentais. Eis alguns dos considerandos e conclusões que se podem encontrar nas cerca de 30 páginas deste Relatório3 (EDPS, 2018): “(…) A EDPS identificou várias mudanças tecnológicas que requerem o repensar das relações entre tecnologia e valores humanos e nos conduzem à formulação de uma ‘nova ética digital’: grandes bases de dados geradas a partir de uma miríade de fontes, desde – Continua –

O texto abaixo apresentado corresponde a uma tradução da responsabilidade do autor. Idem.

2 3

XII

– Continua –

Introdução

– Continuação –

as administrações públicas às empresas privadas, às redes sociais e outras plataformas online, a IoT ou Internet das Coisas, as redes de sensores, a inteligência artificial, em particular as learning machines ou máquinas de aprendizagem própria, etc. Assim, as tecnologias digitais requerem o que na nossa opinião se designaria por um ‘ecossistema de proteção contra as grandes bases de dados’, isto é, um sistema composto por um conjunto regulatório interativo e responsável pela regulação, accountability ou prestação de contas, transparência e códigos de ética orientados para a preservação da privacidade (…). (…) A questão é se sim ou não a representação digital das pessoas pode expô-las a novas formas de vulnerabilidade ou dano. Assim, a proteção dos dados pessoais não é um problema jurídico ou técnico, é antes uma atitude profundamente humana (…). (…) Por exemplo, os princípios limitadores da finalidade do tratamento e da minimização dos dados e sua conservação poderão entrar em conflito com algumas das premissas e aplicações das grandes bases de dados criadas para a quase infinita recolha e retenção de informação existente no formato digital e com a agravante do propósito do tratamento ser desconhecido antes da respetiva análise algorítmica ter sido levada a cabo. Sabe-se que o propósito de uma análise algorítmica de grandes bases de dados é, muitas vezes, descobrir padrões invisíveis para o conhecimento humano existentes nesses dados e não confirmar ideias, testar hipóteses ou encontrar relações de causa/efeito. Para além disso, a sofisticação técnica e a complexidade das regras da proteção dos dados pessoais, juntamente com os novos sistemas de processamento (por exemplo, máquinas inteligentes e algoritmos de deep learning ou aprendizagem profunda) podem ter o efeito de distanciar as autoridades de supervisão do correto espírito de proteção dos dados (…). (…) O RGPD é um verdadeiro produto da globalização no sentido em que considera não só a localização do processamento dos dados/informação, como acontece na atual Diretiva (1995), mas também se a informação pessoal/dados relativos aos residentes na UE estão a ser processados em qualquer outra parte do mundo. Ou seja, empresas e outras organizações localizadas fora do espaço da União ficam também sob a alçada deste Regulamento (…).

(…) A nova era digital gera novas questões éticas sobre o que significa ser-se humano em relação aos dados pessoais, acerca do nosso conhecimento e experiência. Força-nos a reexaminar a forma como vivemos e trabalhamos e como socializamos enquanto comunidades. Afeta as nossas relações com os outros e talvez mais importante, a relação com o nosso eu. Se aceitarmos a ideia desta nova realidade digital, também estaremos a aceitar tudo o que ela aporta de mudança à nossa condição de ser humano.”

XIII

PÔR EM PRÁTICA O RGPD

Lidas estas frases, o que podemos concluir? Que este problema da proteção da vida privada dos residentes na UE é deveras complexo, que envolve, por certo, muito debate entre os especialistas do direito, opiniões divergentes nas áreas da filosofia, sociologia, e também nas áreas tecnológica e científica e que abarca ideologias, culturas, usos e costumes de 28 países (o Reino Unido também participou na feitura do RGPD). Persistem ainda dúvidas em muitos conceitos que surgem no RGPD, como, por exemplo, o que é tratamento em grande escala de dados? Isto refere-se a empresas que tenham mais de 250 trabalhadores ou às que tenham grandes departamentos informáticos em que meia dúzia de técnicos façam tratamento automatizado de gigabytes ou terabytes de informação? Já nos processos informáticos de anonimização, como interpretar o conceito de segurança, quando existem chaves que dão acesso à informação da pessoa? E no que se refere ao livre fluxo de dados para países terceiros, como e quem avalia se o destinatário possui ou não um nível adequado de proteção? Conseguir que 28 países estejam em perfeito acordo quanto a conceitos, medidas tecnológicas, processos, etc., é impossível, pelo que o RGPD é um documento que deixa (e bem) uma margem muito lata de interpretação para os legisladores nacionais. Nada disto retira a enorme importância que este RGPD tem e terá, a nível mundial, na questão da proteção da privacidade das pessoas. É necessário também que as sociedades reflitam sobre as suas próprias escolhas nesta questão da privacidade, pois estamos longe do consenso, havendo quem considere o universo como um fluxo de dados e o valor de cada um de nós será o contributo que dermos para o processamento de dados. Para estas novas correntes de pensamento, a privacidade dos dados pessoais não é um direito universal da Humanidade, sendo, antes, um travão ao desenvolvimento tecnológico e científico. A ciência moderna está a dizer-nos que não somos o centro de tudo, apenas seres orgânicos mais desenvolvidos do que os outros, mas, na essência, somos um algoritmo no qual não existe (ou não se encontrou até hoje) alma ou livre arbítrio, e mesmo a consciência não passará de uma ilusão. Há cientistas a garantirem-nos que, no futuro, existirão mentes digitais que serão uma emulação, isto é, uma cópia integral da mente humana. Estarão estes cientistas a especular ou terão já comprovado a validade das suas teorias, bastando o desenvolvimento tecnológico de novos supercomputadores para a criação desses novos seres, ou coisas, que tornarão muitos seres humanos em algo de inútil? Esta é uma questão que deixo para a capacidade criativa dos cérebros que estejam XIV

Introdução

a ler este livro. De qualquer forma, chegou o momento de começarmos a pensar nestas matérias e nas profundas mudanças que provocarão na sociedade. E o amanhã é já hoje! O que eu espero com este livro é que o leitor entre em contacto com esse pouco conhecido mundo da ciência (a computação, as neurociências, a bioinformática, a IA, etc.) e da tecnologia (o algoritmo, a Internet das Coisas [IoT, do inglês Internet of Things], a aprendizagem automática, etc.) e entenda como é que a informação que a nós diz respeito, os nossos dados pessoais, se tornou um problema de privacidade à escala mundial. Todos nos admiramos como é que os dados pessoais se tornaram, quase do dia para a noite, na commodity do século xxi, a ponto de nos vermos constrangidos à sua regulação (alguns falam até de autorregulação) com a criação deste RGPD, que mais não é do que o culminar de um trabalho legislativo iniciado pela UE na década de 1980, regulado, depois, pela primeira vez, pela Diretiva 95/46/CE (Diretiva de Proteção de Dados), que, então, foi revogada pelo RGPD, com efeitos a partir de 25 de maio de 2018, e que, por certo, continuará a desenvolver-se com a experiência da sua implementação. Este RGPD e as suas consequências para nós, cidadãos, e para todo o tecido empresarial – muito em especial as pequenas e médias empresas (PME) – e organismos públicos constituem os temas dos capítulos do livro. Não se trata apenas de um manual de como bem cumprir regras e atingir-se a compliance, ou conformidade, recorrendo-se a pessoas, processos, tecnologias informáticas e compreensão de enquadramento legal. Tudo isto é importante e necessário e será tratado nestas páginas, pois o tema – há que ser realista – é complexo e ainda mal compreendido.

Também é objetivo deste livro que todo o esforço dos legisladores da UE seja compreendido por todas as partes interessadas – ou stakeholders – e visto como um desafio e uma oportunidade para a criação de uma sociedade mais participativa e que tem algo a dizer sobre o seu futuro mais próximo, no que toca ao desenvolvimento científico e tecnológico. Aqui falar-se-á também da responsabilidade social não apenas das entidades empresariais e públicas, como também da cidadania ativa, de um contrato social que enquadre o desenvolvimento tecnológico no respeito pelos direitos e liberdades de todos, colocando o ser humano, a sua experiência e dignidade no centro das nossas preocupações.

PÔR EM PRÁTICA O RGPD

Eu não aceito que a mudança não ocorra e não advogo o regresso ao passado. O trabalho dos cientistas e dos tecnólogos da informação pressiona a sociedade, cada vez mais, para uma mudança de paradigma, para novos desafios. E se o Grupo de Aconselhamento Ético da EPDS refere que as novas tecnologias (o algoritmo, a IA, a aprendizagem automática, a IoT, a bioinformática, a cloud, etc.) estão na origem da criação do RGPD, é conveniente que este livro comece por tentar descrever, em linguagem simples, o que é que essas tecnologias fazem, como apareceram, a quem servem e que reais perigos podem representar para a privacidade de todos nós. No Capítulo I, “O Hoje Digital”, abordarei este tema, antes de falar em “Nós e o RGPD” e “As Organizações e o RGPD”, títulos dos Capítulos 2 e 3, respetivamente. A meu ver, este RGPD é uma primeira resposta entre muitas possíveis. Espero que quando chegar ao final deste livro, o leitor também se sinta motivado a participar, a saber mais e, se assim o entender, a questionar, a discordar e a propor alterações e mudanças de rumo. Uma vez que a ciência e a tecnologia são produto da criatividade desse Homo sapiens que somos todos nós, esse progresso pertence-nos e terá de estar ao serviço de todos, e não apenas de uma parte economicamente mais favorecida. Luís Antunes

XVI

O HOJE DIGITAL

“Desde o início do rápido desenvolvimento da tecnologia, as pessoas esperam que o futuro lhes traga novas coisas que venham melhorar as suas vidas quotidianas. Muitos de nós temem até, agora, que as mudanças possam ser demasiado rápidas e demasiado profundas, para que possam ser assimiladas pela maioria da população.” Arlindo Oliveira, professor e Presidente do Instituto Superior Técnico (2017)

1.1 NOVAS TECNOLOGIAS Se atentarmos aos considerandos do RGPD, podemos ler frases como “As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades”. Por outro lado, no Relatório produzido pelos membros da EDPS (2018), diz-se que “(...) as tecnologias digitais requerem o que na nossa opinião se designaria por um ‘ecossistema de proteção contra as grandes bases de dados’” e quando, mais à frente neste livro, na “Conclusão”, se falar no estudo sobre IA da responsabilidade da Câmara dos Lordes do Reino Unido (House of Lords, Select Committee on Artificial Intelligence UK, 2018), aparecer-nos-á o seguinte alerta: “É claro para nós que existe a necessidade de se melhorar a iliteracia – transversal à nossa sociedade – sobre a compreensão destas novas tecnologias e conhecimentos científicos (...)”.

Isto significa que não fará qualquer sentido falar-se em RGPD a um público tão vasto como o dos cidadãos e o das entidades públicas e empresas privadas sem que se fale, primeiro, do que está por trás de tanta preocupação com a representação digital das pessoas, o que implica conhecer o “estado da arte” da ciência e da tecnologia computacional. Não sendo especialista nestas matérias, a minha perspetiva é a de um gestor que quer saber quem faz, por que faz, o que faz e para quem faz, porque, quer se queira quer não, do que se fala é de produtos/serviços que devem trazer mais-valia para a sociedade. Vejamos se é assim e se efetivamente se confirma a necessidade de um RGPD. Etimologicamente, o termo “tecnologia” refere-se às técnicas, artes e ofícios e ao uso da lógica ou do conhecimento. Hoje, terá uma maior relação com a utilização dos conhecimentos mais avançados da ciência, e todos nós esperamos e desejamos que a tecnologia sirva para melhorar as nossas vidas. 3

PÔR EM PRÁTICA O RGPD

Não tenho dúvidas de que este desígnio esteja a ser cumprido em múltiplos campos, como na saúde, no aumento da expectativa de anos de vida, na melhoria das comunicações, nos transportes, no ensino ou na segurança. A tecnologia não me assusta, pois não prevejo, por causa dela, o fim da nossa espécie, não a culpo pelas alterações climáticas nem pelas derrocadas financeiras, e não penso que esteja a gerar mais guerras do que, por exemplo, as religiões, por muito “santificadas ou justas” que possam ser. Aliás, a tecnologia que fez com que o avanço científico na fissão nuclear se transformasse em bombas capazes de destruir a nossa espécie teve o efeito contrário (com a lamentável exceção dos dois bombardeamentos atómicos de Hiroshima e Nagasaki): levar os decisores políticos a refrearem a sua vontade de dominação mundial. As Coreias, do Norte e do Sul, ainda existem, isto apesar de a vontade do general cowboy americano Douglas MacArthur, destituído, em 1951, como comandante das forças da Organização das Nações Unidas (ONU), pelo presidente Harry Truman, de as destruir com a utilização de bombas atómicas. Este caso do MacArthur ilustra bem o meu posicionamento: o problema não está na tecnologia, mas na utilização que lhe é dada pelo Homem. Yurval Harari relembra-nos o caso do nascimento da cirurgia plástica, uma tecnologia que levanta muitos problemas na sociedade moderna. A cirurgia plástica nasce durante a I Guerra Mundial com o cirurgião Harold Gillies, que começou a utilizar novas técnicas para a reconstrução facial e de outras partes do corpo devido a queimaduras, estilhaços de bombas, balas, etc. Outros cirurgiões aprenderam com ele e propagaram a técnica para curar outros feridos e também para embelezar pessoas saudáveis a troco de “chorudas” contas em clínicas privadas. A questão é do foro ético: que direito terá uma filha de 18 anos a pedir como prenda de aniversário um nariz mais bonito, a um custo que daria para pagar centenas de medicamentos em falta nos hospitais públicos na depauperada Venezuela de 2018? E não é que tais operações continuam a ser possíveis na capital do dito país, em clínicas luxuosas onde nada falta? Se pensarmos bem, há centenas de exemplos de má utilização – ou, pelo menos, de ética duvidosa – das novas tecnologias em múltiplas áreas: engenharia genética, nanotecnologia, medicina regenerativa, manipulação cibernética, tratamento de grandes bases de dados, profiling, IA, machine learning (aprendizagem automática), etc. Como espécie, o Homo sapiens já não será capaz de derrotar o computador Watson, da IBM, numa partida de xadrez; porém, ainda temos o saber alimentado pela experiência que nos ensina que “é melhor prevenir/regular do que remediar”. Em parte, este novo RGPD é uma tentativa de prevenção não contra as novas 4

O Hoje Digital

tecnologias – em parte alguma do articulado se proíbem as novas tecnologias digitais ou outras –, mas contra o seu mau uso, abuso ou roubo. Lamentavelmente, o estado da arte destas novas tecnologias não é devidamente conhecido e aplicado por toda a Europa, havendo países com grandes atrasos, Portugal incluído. Veja-se, por exemplo, o que se passa nas PME e até nos organismos públicos em relação à cibersegurança, um dos maiores riscos que as sociedades modernas têm de enfrentar – daí a necessidade de neste livro se falar um pouco do tópico das novas tecnologias. Atentemos no caso abaixo: A segunda-feira, 5 de fevereiro de 2018, e o mini-crash das bolsas Dos noticiários económicos: “Entre segunda e terça-feira (5 e 6 de fevereiro de 2018), os principais índices bolsistas mundiais têm estado sob forte pressão, protagonizando um mini-crash que ainda não se sabe quanto tempo durará. Os analistas falam num movimento de correção após os máximos recentes e não encontram razões para acreditar que se trate de um movimento profundo. O índice industrial Dow Jones chegou a tombar mais de 6%, o índice do medo disparou mais de 100%, para o valor mais alto desde 2015. Quebras que se alastraram à Ásia nesta segunda-feira, com o índice japonês Nikkei a recuar 5%, na maior perda diária desde novembro de 2016, mas também à Europa, que arrancou a sessão a desvalorizar perto de 3%, a maior desvalorização desde o Brexit (…).”

Uau! O que é que aconteceu aqui? Mas que tipo de incidente financeiro gerou esta abrupta queda dos índices? Felizmente que os grandes sábios que todos os dias analisam as Bolsas encontraram a explicação: “os mercados estão em ‘modo correção’”, disse fulano, ou “não há sinais macroeconómicos ou empresariais que que me levem a pensar que não se trate de mais do que uma correção”, pensa o reputado beltrano, ou “os fundamentais estão sólidos, o risco de uma correção maior é real, não há razão para pânico, há uma oportunidade para corrigir alguns desequilíbrios”, afirmou o conhecido tecnocrata sicrano. Alguns dias volvidos e quando as Bolsas regressam ao “normal”, seja lá isso o que for, correm rumores de que tudo não teria passado de um ligeiro descontrolo dos computadores e algoritmos que regem a Bolsa de Wall Street, o que causou o chamado flash crash (queda-relâmpago), isto é, a retirada em cascata e rápida de © FCA

ordens de compra que provoca uma baixa nos preços. Mas, afinal, que tecnologias e computadores são estes que interferem até numa das áreas mais sensíveis da vida humana moderna: o dinheiro, a compra e venda, os mercados? 5

PÔR EM PRÁTICA O RGPD

1.1.1 Algoritmo Recolhi do livro Mentes Digitais, a Ciência Redefinindo a Humanidade, de Arlindo Oliveira (2017), Presidente do Instituto Superior Técnico, a seguinte frase: “Os algoritmos estão em toda a parte, e a vida moderna não seria a mesma sem eles.” Podemos daqui extrair que os algoritmos são como os carros, estão por todo o lado e, sem eles, já não conseguimos viver. Mas não é bem assim, pois Arlindo Oliveira (2017) acrescenta que sem os algoritmos os computadores, os sistemas de navegação, os smartphones, os gadgets de todo o tipo e até os carros, os navios e os aviões não poderiam ser criados ou funcionar com a sofisticação que se lhes reconhece. Estranha realidade esta, pois, desde jovem e, por acaso, no Instituto Superior Técnico, habituei-me a olhar para o algoritmo como se de uma receita culinária se tratasse. Felizmente, a obra Mentes Digitais, a Ciência Redefinindo a Humanidade (Oliveira, 2017) confirma que o algoritmo não passa de uma simples receita para se atingir qualquer propósito. Mas o que é que isto tem a ver com computadores? Por estranho que pareça, um computador é uma máquina recheada de componentes eletrónicos ainda mais burra do que o veículo de transporte do candidato, isto porque sem programas para executar – o chamado software –, o mesmo só consome corrente e, quando muito, acendem-se umas minúsculas lâmpadas ou LED. E é nesta execução de programas que entra o algoritmo, uma espécie de “maestro de orquestra” que explica ao computador como efetuar cálculos matemáticos específicos, de forma a produzir sinfonias de resultados úteis e sem os quais o Homo sapiens do século xxi, se calhar, não saberia viver. O algoritmo, portanto, é comparável a uma receita culinária muito sofisticada e pormenorizada, em que o quanto baste de sal e açúcar não entra, tendo de se escrever “junte ou some” 8 gramas de sal e/ou 12 gramas de açúcar. E já que falei em soma ou operação aritmética, existem algoritmos que ensinam ao computador que pequenos passos o mesmo deve executar, quer para calcular o número de hectares de terra arável existentes no planeta, caso se encontrem todas as parcelas, por muitas que sejam, da adição. Ainda a propósito de algoritmos, existem aqueles mais sofisticados que “ensinam” a técnica da aprendizagem automática ao computador, fazendo com que este, longe de não evoluir do seu estádio primitivo, atinja píncaros de conhecimento que são inacessíveis ao maior génio humano. O computador digital poderá ser, hoje, algo “idoso”, pois o primeiro a sério que se conhece, o Electronic Numerical 6

NÃ&#x201C;S E O RGPD

PÔR EM PRÁTICA O RGPD

ou ignorar o que os europeus pensam sobre a privacidade dos cidadãos e sobre certa posição de “reis e senhores” da Internet – que eles não criaram ou pagaram – e das tecnologias de informação e comunicação.

2.2 DEFINIÇÕES Tanto o RGPD como o Manual da Legislação Europeia sobre Proteção de Dados, da responsabilidade da Agência dos Direitos Fundamentais da União Europeia (FRA) e do Conselho da Europa, publicado em abril de 2014, são rigorosos na definição de muitos termos que podem parecer algo triviais. Em caso de dúvidas, devemos consultar um advogado. Eis alguns dos mais importantes termos referidos no capítulo I (“Disposições Gerais”), artigo 4.º (“Definições”), do RGPD: “Dados pessoais – informação relativa a uma pessoa singular identificada ou identificável (‘titular dos dados’); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;”

Notem que a chamada “geolocalização” ou o endereço IP (Internet Protocol) do nosso smartphone ou portátil constituem também dados pessoais, muito embora não apareça escrito em nenhum servidor1 que indivíduo de Nome/Apelido estivesse na Rua “A”, n.º “XZ”, às 03:54 do dia 23/07/2020; porém, tendo o aparelho um proprietário, a pessoa é identificável. O mesmo se aplica ao quadro da Administração Pública que viu, por força da sua nomeação, a sua identidade, local de trabalho e função exercida publicados em Diário da República. Em ambos os casos, não é pelo facto de os dados poderem constar de uma fatura de uma empresa, por exemplo, de telecomunicações, ou do Diário da República que os mesmos deixam de ser privados e passam a públicos. Exemplificando, uma empresa que decida colecionar todos os documentos oficiais de constituição de empresas e crie uma base de dados com os nomes, moradas Um servidor (computador ou software) realiza tarefas para outros computadores numa rede e/ou aloja serviços para outras máquinas e/ou utilizadores. Há servidores, entre outros, de aplicações (os programas ficam no servidor e são acedidos pelos clientes), de ficheiros (relativamente a ficheiros), de correio eletrónico (a máquina que centraliza a receção e o envio do correio eletrónico e o distribui pelos clientes) e de Web (o sistema que aloja um ou mais sites e que serve páginas Web aos visitantes).

Nós e o RGPD

e restante identificação dos respetivos corpos sociais está a fazer tratamento de dados pessoais que não têm por base o consentimento ou disposição do RGPD ou da lei, nos termos do artigo 6.º do RGPD. Assim sendo, a empresa incorre em contraordenação muito grave, punida com coima de 2.000,00 € a 20.000.000,00 € ou 4% do volume de negócios anual. “Tratamento – uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;”

Como exemplo, imaginemos que uma diligente funcionária de uma farmácia resolveu reunir receitas e faturas de clientes e criou no computador da empresa um ficheiro Excel com dez linhas, uma por cliente, e cinco colunas: nome, telefone, medicamento, tipo de doença e reposição da receita, em número de dias. O documento fica, assim, com 50 células, cada uma contendo um dado que é pertença não da farmácia, mas de clientes identificáveis por quem tiver acesso a tal ficheiro. Isto é ilegal, porque houve aqui recolha, registo, organização e estruturação de dados pessoais sem que os titulares dos dados tivessem conhecimento de tal ficheiro, da sua razão de existência, do prazo de conservação, além de que a farmácia não solicitou o devido consentimento. Voltemos, então, ao RGPD para vermos o que é “consentimento”.

“Consentimento do titular dos dados – uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;”

Já o diz o ditado “De boas intenções está o inferno cheio”. O que a diligente funcionária da farmácia deveria ter feito seria, primeiro, falar (presencialmente, ou por telefone ou e-mail) com os clientes e explicar-lhes a sua intenção de criar o ficheiro; segundo, dizer-lhes que precisava do seu consentimento explícito para tal; terceiro, dar-lhes conhecimento de que os dados seriam conservados pela farmácia durante um determinado prazo (em questão de dados sobre saúde, a conservação 33

AS ORGANIZAÇÕES E O RGPD

PÔR EM PRÁTICA O RGPD

Mais uma vez, o texto é longo e algo confuso – é obrigatório ou não e em que casos? –, daí que seja melhor tentarmos clarificar (chamo a atenção para o anexo II deste livro, que ajuda a perceber, através de três simples inquéritos, que tipo de empresas estarão, em princípio, dispensadas desta AIPD): “A AIPD é uma ferramenta que permite avaliar, antecipadamente, quais são os potenciais riscos a que estão expostos os DP em função das atividades de tratamento a que são sujeitos. A análise dos riscos para um determinado tratamento permite identificar os riscos atinentes aos dados dos titulares e desenhar uma resposta/solução adotando as salvaguardas necessárias para reduzi-los até um nível de risco aceitável.”(UE, 2017a)

Deste modo, o RGPD prevê que as AIPD sejam realizadas “antes do tratamento”, nos casos em que seja provável a existência de elevados riscos para os direitos e as liberdades dos titulares dos dados pessoais. Assim sendo, isto não se aplica às operações de tratamento em curso à data da aplicabilidade da lei. Mas vejamos, na prática, o que é uma AIPD, analisando a Figura 3.6. Este esquema da Figura 3.6 acerca da AIPD mostra que existem cinco fases: 1. Análise preliminar – No fundo, implica uma tomada de decisão acerca do tipo de dados e riscos e se a lei obriga ou não a uma AIPD. 2. Contexto – Com base nos dados e respetivo ciclo de vida, analisam-se a proporcionalidade e a necessidade do tratamento. 3. Gestão de riscos – Quais são as ameaças e riscos presentes, como avaliar ou classificar os níveis de risco e como tratá-los. 4. Conclusão e validação – Qual é o plano de ação a seguir e que conclusões haverá a retirar (por exemplo, qual é a real probabilidade de um incidente e como resolvê-lo). 5. Supervisão – A partir deste ponto, trata-se da implementação dos processos, da manutenção e, se possível, da melhoria. Além destes cinco passos, ou etapas, e para todo o processo, existem duas “guias”: a assessoria de todo o processo feita pelo EPD (caso exista) e a necessidade de revisão da totalidade do processo, no caso de haver mudanças ou novos tipos de tratamento de dados pessoais.

106

As Organizações e o RGPD

Análise preliminar

Analisar a necessidade de efetuar uma AIPD Contexto 1 Descrever o ciclo de vida dos dados

Gestão de riscos 3 Identificar ameaças e riscos

4 Avaliar os riscos

5 Tratar os riscos Conclusão e validação

Rever perante mudanças no tratamento

Consulta e assessoria feita pelo EPD

Analisar a necessidade e proporcionalidade do tratamento

6 Plano de ação e conclusões Supervisão Supervisionar e rever a implementação

Figura 3.6 • Avaliação de Impacto sobre Proteção de Dados (https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf, adaptado de Agencia Española de Protección de Datos, 2018)

Talvez o esquema da Figura 3.6 desiluda um pouco os leitores, que gostariam de ver, na prática, como o método deve ser executado. A realidade é que o esquema está traduzido em aplicativos ou programas de software que as empresas de consultoria devem ter. Acontece que estas ferramentas de trabalho são propriedade das consultoras e não de divulgação pública. No fundo, seguem o fluxo de trabalho descrito na Figura 3.6, que é completado com uma série de questionários que, na minha opinião, devem estar adaptados aos diversos tipos de dados, tratamentos e indústrias ou áreas de negócio.

107

ANEXOS

Anexo I – Regulamento Interno de Proteção de Dados

Anexo II – Ferramenta de Auxílio para Avaliação de Riscos Anexo III – Modelo de Contrato de Subcontratação Anexo IV – Avaliar o Nível de Segurança Anexo V – O RGPD, Visão, Missão e Stakeholders

ANEXO II FERRAMENTA DE AUXÍLIO PARA AVALIAÇÃO DE RISCOS

Os inquéritos apresentados neste anexo constituem uma base de aferição simples sobre a necessidade da organização ter ou não de realizar uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). Se nos três seguintes inquéritos, a empresa responder “Nenhum dos anteriores”, pode afirmar-se que, em princípio, não realiza tratamentos que impliquem um alto risco para os direitos e as liberdades das pessoas, como dados de saúde ou tratamentos massivos de dados, entre outros. Assim sendo, não precisará de efetuar uma AIPD. Por norma, o tipo de pequena e média empresa (PME) com estas características só faz tratamento de dados pessoais de clientes, fornecedores e trabalhadores. De qualquer forma, estes inquéritos não dispensam a colaboração de consultores especializados em proteção de dados. A) Setores de atividade da PME: A atividade da sua empresa pertence a algum dos seguintes sectores? Assinale: Saúde Solvência patrimonial e crédito Geração e uso de perfis pessoais Atividades políticas, sindicais ou religiosas Serviços de telecomunicações Seguros Entidades bancárias e financeiras Atividades de serviços sociais Publicidade Videovigilância massiva (átrios de estações ou centros comerciais) © FCA

Nenhum dos anteriores

147

PÔR EM PRÁTICA O RGPD

B) Tipos de dados existentes na PME: A sua empresa trata algum dos dados da listagem? Assinale: Dados que revelem origem étnica ou racial Dados de opiniões políticas ou religiosas Dados genéticos Dados biométricos identificativos de pessoas, de forma unívoca Dados de saúde física ou mental Dados relativos à vida sexual ou orientação sexual Dados relativos a condenações ou infrações penais Geolocalização Nenhum dos anteriores

C) Tipos de tratamento realizados pela PME: A sua empresa realiza algum dos seguintes tratamentos de dados pessoais? Assinale: Faz ou analisa perfis Faz publicidade e prospeção comercial massiva a potenciais clientes Presta serviços de exploração de redes públicas ou serviços de comunicação eletrónica Gere associados ou membros de partidos políticos, sindicatos, igrejas, confissões ou comunidades religiosas, fundações ou outras entidades sem fins lucrativos, cuja finalidade seja política, filosófica, religiosa ou sindical Gestão, controlo sanitário ou venda de medicamentos Historial clínico ou sanitário Nenhum dos anteriores

148

Arte - PÃ´r em pratica o RGPD.pdf

CMY

16/07/18

14:56