RGPD - Guia para uma Auditoria de Conformidade by Grupo Lidel

Arte - RGPD Auditoria da Conformidade.pdf

CMY

04/06/19

17:20

EDIÇÃO FCA – Editora de Informática, Lda. Av. Praia da Vitória, 14 A – 1000-247 Lisboa Edição Tel: +351 213 511 448 FCA – Editora de Informática, Lda. fca@fca.pt Av. Praia da Vitória, 14 A – 1000-247 Lisboa www.fca.pt Tel: +351 213 511 448

fca@fca.pt DISTRIBUIÇÃO Lidel –www.fca.pt Edições Técnicas, Lda. Rua D. Estefânia, 183, R/C Dto. – 1049-057 LISBOA Distribuição Tel: +351 213 511 448 Lidel – Edições Técnicas, Lda. lidel@lidel.pt Rua D. Estefânia, 183, R/C Dto. – 1049-057 Lisboa www.lidel.pt Tel: +351 213 511 448 lidel@lidel.pt LIVRARIA www.lidel.pt

Av. Praia da Vitória, 14 – 1000-247 LISBOA Tel: +351 213 511 448 * Fax: +351 213 173 259 L ivraria livraria@lidel.pt Av. Praia da Vitória, 14 A – 1000-247 Lisboa Tel: +351 213 511 448 * Fax: +351 213 522 684

Copyright © abril 2016, FCA – Editora de Informática, Lda. livraria@lidel.pt ISBN: 978-972-722-830-0 Copyright © 2019 FCA – Editora de Informática, Lda. 1.ª edição impressa: abril 2016 ISBN edição impressa: 978-972-722-905-5 1.ª edição impressa: junho 2019

Paginação: Alice Simões Impressão e acabamento: A definir Paginação: Carlos Mendes Depósito Legal N.º Aguardar Impressão e acabamento: Cafilesa – Soluções Gráficas, Lda. – Venda do Pinheiro Capa: Depósito José Manuel Reis Legal n.º 457224/19 Ilustração capa: Miguel– Look-Ahead Montenegro Capa:da José M. Ferrão Marcas Registadas de FCA – Editora de Informática,

Marcas registadas de FCA – Editora de Informática, Lda. –

FCA®

Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto, aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções.

Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções.

Não nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à dataNão de publicação da mesma. nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à data de publicação da mesma.

Os nomes comerciais referenciados neste livro têm patente registada. Os nomes comerciais referenciados neste livro têm patente registada. Reservados todos os direitos. Esta publicação não pode ser reproduzida, nem transmitida, no todo ou em parte, por qualquer processo eletrónico, mecânico, digitalização, gravação, nem sistema de armazenamento e disponibilização de Reservados todos os direitos. Estafotocópia, publicação não pode ser reproduzida, transmitida, no todo ou em parte, por qualquer processo eletrónico, sítio mecânico, digitalização, gravação, de armazenamento e disponibilização informação, Web, blogue informação, Web,fotocópia, blogue ou outros, sem préviasistema autorização escrita da Editora, exceto o de permitido pelosítio CDADC, em ou outros, sem privada prévia autorização escrita da Editora, exceto permitido CDADC, ematravés termosdo de pagamento cópia privadadas pela AGECOP – termos de cópia pela AGECOP – Associação para aoGestão da pelo Cópia Privada, respetivas – Associação para a Gestão da Cópia Privada, através do pagamento das respetivas taxas. taxas.

Para a minha mulher, Manela, e para os meus filhos, Pedro, Miguel e JoĂŁo.

ÍNDICE O Autor

VII

Agradecimentos VIII Prefácio IX Lista de Siglas e Acrónimos

XII

Introdução XIII

PARTE I – Enquadramento 1 1 Auditoria

2 Proteção de Dados na Europa

3 Início do RGPD

4 Consciencialização da Privacidade

PARTE II – Auditoria ao RGPD: Verificar a Conformidade

5 Recolha dos Dados Gerais da Organização

6 Análise do Tratamento Efetuado aos Dados

7 Cumprimento dos Princípios do Regulamento

8 Consentimento dos Titulares dos Dados

9 Requisitos de Conservação dos Dados

10 Tratamento de Dados Sensíveis

11 Tratamento de Dados de Saúde e de Dados Genéticos

12 Direitos dos Titulares dos Dados

13 Transferência de Dados Pessoais para Outros Países ou Organizações Internacionais

14 Políticas Corporativas de Tratamento de Dados Pessoais

15 Relação da Organização com os Subcontratantes

RGPD – GUIA PARA UMA AUDITORIA DE CONFORMIDADE

16 Tratamento de Dados Pessoais no Contexto Laboral

109

17 Formulários e Documentação

117

18 Ações de Formação

121

19 Registo das Atividades de Tratamento de Dados

125

20 Segurança dos Dados Pessoais

129

21 Autorização e Gestão de Acessos

141

22 Violação de Dados Pessoais

147

23 Avaliação de Impacto sobre a Proteção de Dados

153

24 Encarregado de Proteção de Dados

159

Conclusão 167

Bibliografia e Outros Recursos

171

Índice Remissivo

175

O AUTOR Licenciado em Direito pela Universidade Católica Portuguesa, tem formação em diferentes áreas, nomeadamente Gestão Empresarial e Financeira, Gestão de Informação, Sustentabilidade, Auditoria Interna, Controlo de Gestão, Proteção de Dados, Fraude, Risco, Controlos Informáticos, Técnicas de Apresentação e Marketing. Exerceu, no Grupo Impresa (televisão e imprensa escrita), funções de Adjunto do Diretor Financeiro durante 2 anos, de Diretor de Controlo de Gestão durante mais de 15 anos, tendo sido o seu primeiro diretor. Criou e dirigiu durante 8 anos a Direção de Auditoria Interna, acumulando essas funções com as de Membro do Gabinete de Risco e Membro do Gabinete de Sustentabilidade. Foi ainda Secretário da Sociedade Suplente durante 12 anos.

É, atualmente, consultor independente, professor de Estratégia Empresarial na pós-graduação em Gestão do Instituto Superior de Administração e Línguas (ISAL), consultor na BI4ALL e Associate Partner na consultora Baker Tilly, sendo responsável pela implementação de soluções de auditoria e de compliance com o Regulamento Geral de Proteção de Dados.

VII

AGRADECIMENTOS É com a certeza, cada vez maior, de que qualquer trabalho, seja ele de índole científica, literária ou artística, não é apenas resultado de uma ação isolada – de estudo, de análise, de concretização – mas é também o conjunto de muitas colaborações e de muitos apoios. Assim, desejo prestar os meus agradecimentos a todos aqueles que me ajudaram, direta ou indiretamente nos últimos anos, a apresentar este RGPD – Guia para uma Auditoria de Conformidade. Em primeiro lugar, ao Paulo André, managing partner da Baker Tilly, não só por ter aceitado prefaciar este livro, mas também pela possibilidade que me deu de colocar em prática todos estes controlos na sua consultora. Ao José Pedro Gonçalves, partner da Baker Tilly, pelo apoio sempre demonstrado, nomeadamente na revisão de partes do texto que muito o melhoraram. À minha Editora, nas pessoas do Eng.º Frederico Annes e da Dr.ª Sandra Correia, e aos colaboradores da FCA, pelo apoio que me prestaram na edição e revisão deste texto. Aos meus pais, porque sempre acreditaram. À minha mulher, primeira revisora do livro, e aos meus filhos, que sempre me incentivaram e apoiaram na prossecução de novos desafios e de novas realizações. E, claro, aos leitores, a quem espero que este livro ajude na difícil tarefa de auditarem as suas organizações, mantendo dessa forma a conformidade com o RGPD. Para qualquer questão, poderão entrar em contacto comigo através do e-mail nunosaldanha.rgpd@gmail.com, esperando poder ir respondendo às vossas questões na medida das minhas possibilidades.

VIII

PREFÁCIO Vivemos na sociedade de informação. O tratamento, gestão e partilha de dados das mais diversas naturezas constituem uma vantagem comparativa relevante das organizações e agentes económicos. De entre aqueles dados, os dados pessoais assumem ainda maior criticidade, pois expõem as nossas vidas, os nossos gostos, hábitos e comportamentos, incluindo aspetos de foro íntimo, que não partilhamos na praça pública. Estes dados devem ser tratados e protegidos com muita restrição e rigor, estando na ordem do dia a necessidade de implementar a legislação recentemente aprovada – Regulamento Geral de Proteção de Dados (RGPD). Este livro aborda este tema, na perspetiva de quem executa, na prática, o assessment de uma organização, quanto ao status de implementação do RGPD.

No entanto, não é preciso chegar a meio deste livro, para perceber que o seu objetivo não é ensinar o que é o RGPD, até porque, em 2018, o autor já publicou um livro de introdução ao RGPD, seus principais conceitos e regulamentação – Novo Regulamento Geral de Proteção de Dados. De facto, este livro não procura ensinar conceitos, constituindo antes uma ferramenta para quem já os domina e quer fazer o assessment do status de uma organização, relativamente ao RGPD. É um livro muito prático e objetivo. Incorpora as perguntas que não nos lembraríamos de fazer. Perguntas simples e muitas vezes abertas, que convidam a respostas abrangentes e diálogos detalhados, “aperitivo” para a pergunta seguinte. Perguntar é fonte primordial de informação que proporciona um diagnóstico aprofundado do as is das organizações. Inventaria, também, os procedimentos e os controlos a questionar, associados ao RGPD e que num diagnóstico deverão ser objeto de validação da sua efetividade. É comum ver advogados enfatizarem que este tema é essencialmente legal, pois poderá originar muita litigância, envolvendo liabilities relevantes, para quem não cumpre o regulamento. Por outro lado, o consultor informático alega que o tema é essencialmente tecnológico, uma vez que o tratamento, partilha e salvaguarda dos dados assenta essencialmente em tecnologia (hardware, software, tratamento e salvaguarda de dados). Por fim, os consultores de gestão, alegam que este é um tema de compliance, pois envolve IX

RGPD – GUIA PARA UMA AUDITORIA DE CONFORMIDADE

um processo de gestão de dados, com um responsável que gere o fluxo de informação a ele associado, alicerçado na gestão de riscos, com base em fluxos de informação, práticas e procedimentos, que são monitorados com controlos internos. Neste livro, e bem, o autor não tomou partido quanto à particular relevância destas perspetivas, optando por elencar as atividades a desenvolver num projeto de diagnóstico do RGPD (O que perguntar? Que procedimentos avaliar? Que controlos testar? Que documentação rever? Que equipamentos inventariar? Que dados solicitar? Que atividades de processamento de informação rever?). Sem enquadrar as questões na teoria, mas seguindo de forma lógica as várias perspetivas que o tema encerra, posicionou-se como se de um caso prático se tratasse. O leitor, por certo, identificará algumas áreas e perguntas que já abrangeu e formulou nas suas próprias experiências, mas beneficiará essencialmente das inúmeras perguntas e questões nunca antes formuladas nos seus projetos. A indagação (entrevista) é uma das técnicas de auditoria mais generalizada e efetiva para a recolha de informação, esclarecimento de dúvidas e obtenção de contraditório. Aprende-se mais numa hora a ouvir quem tenha conteúdo válido para partilhar sobre uma organização, departamento ou processo, do que num dia a ler um manual de procedimentos, um regulamento interno ou um flowchart de informação. Mas só se obtém informação útil, se fizermos muitas perguntas e principalmente as perguntas certas. Auditar é também a arte de saber ouvir. Mas só podemos ouvir se previamente soubermos questionar. Só audita bem quem tiver paixão pelo desconhecido, prazer em conversar com terceiros e por norma sobre realidades desconhecidas ou mal conhecidas. Este livro é uma porta aberta para a arte da indagação, focando-se na inventariação de questões-chave e dos procedimentos de controlo básicos, que cobrem as várias dimensões de um assessment de RGPD. Este livro é, portanto, uma ferramenta de trabalho muito válida para quem se movimenta nas áreas de compliance, auditoria interna e governance e se quer iniciar em projectos de RGPD. Não tem por objetivo abordar em detalhe metodologias, ferramentas ou técnicas de documentação, focando-se sim na inventariação de questões-chave para a recolha da informação crítica a analisar. Conheço o autor, há já muitos anos. No passado como cliente e atualmente como parceiro da Baker Tilly, colaborando em workshops e em projetos comuns, relacionados com temas de compliance, processos, procedimentos, controlo interno e o RGPD em particular. O sentido prático e a perspetiva empresarial que incorpora nos projetos, alicerçada na experiência adquirida em organizações de grande dimensão, cotadas em bolsa e com um roll de stakeholders atento e exigente, e X

Prefácio

sem esquecer os aspetos teóricos e metodológicos, dos temas em que se envolve, aprimorou o seu straight thinking, focado e objetivo (straight to the point). E este livro reflete esta mesma filosofia: que perguntas fazer para rapidamente conhecer a organização? Que perguntas fazer para que o interlocutor nos conte a sua história? Que perguntas fazer para identificar inconsistências e desconformidades face à regulamentação aplicável, manuais ou procedimentos internos? Que procedimentos monitorizam o risco? Que controlos existem que evidenciam que o processo é efetivo? Quer iniciar um trabalho de RGPD? Quer fazer o assessment do processo? Quer iniciar uma entrevista para o levantamento de procedimentos e controlos? Sabe que documentação pedir? Sabe que controlos testar? Leve este livro consigo e siga os vários cheklists disponíveis. Tendo em consideração os objetivos do livro, nada mudava quanto ao seu conteúdo ou abordagem (valorizo a indagação, acredito que só com as perguntas certas se pode auditar e fazer corretamente o assessment de qualquer realidade). E fico a aguardar que o próximo livro seja um cheklist ebook.

Paulo André Managing Partner da Baker Tilly (Portugal)

LISTA DE SIGLAS E ACRÓNIMOS AIA – American Institute of Accountants AICPA – American Institute of Certified Public Accountants AIPD – Avaliação de Impacto sobre a Proteção de Dados (DPIA, em inglês) BYOD – Bring Your Own Device CdE – Conselho da Europa CDFUE – Carta dos Direitos Fundamentais da União Europeia CEDH – Convenção Europeia dos Direitos do Homem CNPD – Comissão Nacional de Proteção de Dados CNPDPI – Comissão Nacional de Proteção de Dados Pessoais Informatizados COSO – Committee of Sponsoring Organizations of the Treadway Commission CPD – Centro de Processamento de Dados DPIA – Data Protection Impact Assessment (AIPD, em português) DPO – Data Protection Officer (encarregado de proteção de dados, em português) IDS – Sistema de Deteção de Intrusão IPA – Institute of Public Accountants PIA – Privacy Impact Assessment RGPD – Regulamento Geral de Proteção de Dados SEC – Security and Exchange Comission TEDH – Tribunal Europeu dos Direitos do Homem UE – União Europeia

XII

INTRODUÇÃO Desde meados do século passado, que o tema da privacidade e da proteção de dados pessoais tem vindo a adquirir uma importância decisiva no panorama do direito europeu e internacional. Com a aprovação do Regulamento Geral de Proteção de Dados (RGPD) em 2016, assistiu-se em toda a Europa e, também por contágio, em todo o mundo ao recrudescer da temática e, principalmente, à capacitação, por parte dos cidadãos, dos seus direitos e à vontade de os exercer. Quando em 2018 apresentei o meu primeiro livro sobre o tema do RGPD, o Novo Regulamento Geral de Proteção de Dados, escrevi na introdução que a privacidade não era “um tema da moda, mas sim um tema do momento” (Saldanha, 2018, p. XIII). Constata-se, sem surpresa, que o momento continua, porque, tal como referi, o RGPD traduz uma mudança na abordagem às questões relacionadas com a segurança e com a privacidade dos dados pessoais. Essa mudança é hoje visível no modo como as pessoas se relacionam com este tema e como exigem e fazem valer os seus direitos. É, também, visível no modo como as organizações olharam para este regulamento, inicialmente com alguma desconfiança, mas agora as mais preparadas e argutas viram uma oportunidade de melhoria dos seus processos e, por isso, abraçaram o tema e utilizam-no até para efeitos de marketing.

Cerca de um ano depois de o regulamento se tornar aplicável em toda a União Europeia (UE) e cerca de três anos depois de ter sido aprovado pelo Parlamento Europeu e pelo Conselho, sabemos já que o RGPD é uma realidade incontornável do panorama jurídico europeu, fazendo já parte das preocupações de todos aqueles que, de alguma forma, têm responsabilidades, maiores ou menores, nas organizações que tratam dados pessoais, ou seja, em quase todas as entidades europeias, sejam empresas públicas, privadas, associações, fundações, cooperativas, sociedades comerciais, organizações não governamentais, etc. A questão que se coloca agora, passado algum tempo desde que o RGPD se tornou aplicável, não é mais a necessidade de as organizações se tornarem XIII

RGPD – GUIA PARA UMA AUDITORIA DE CONFORMIDADE

conformes com o regulamento, ou, melhor, não é apenas essa necessidade, que existirá sempre, mas sim a verificação do estado dessa conformidade. Melhor ou pior as organizações foram-se adaptando às novas obrigações legais, no entanto, muitas vezes a maior dificuldade não é “chegar lá” é “manter-se lá”. Está na hora de dar um outro salto nesta matéria. Está na hora de as organizações começarem a olhar para o seu interior e verificar se as alterações que produziram nos últimos tempos, fruto da entrada em vigor do regulamento, se encontram adequadas, se encontram modernizadas, se fazem sentido, se respondem aos requisitos exigidos, se vão de encontro ao “contrato” estabelecido com os titulares dos dados que se encontram na sua “órbita”. Está na altura de se passar da implementação para o controlo, para a auditoria de conformidade, para a efetiva consciência da responsabilidade dos atos que as organizações praticam no tratamento dos dados pessoais. Como tinha referido no trabalho de 2018 (Saldanha, 2018), e numa comparação com o célebre provérbio romano de que “à mulher de César não basta ser séria tem de parecer séria”, o que agora está em questão não é apenas o facto de as organizações “serem sérias” e não basta que “pareçam sérias”. À face do novo regulamento têm de provar que “são sérias” e a auditoria de conformidade terá de dar provas dessa nova realidade. Neste livro é nossa intenção tentar ajudar as organizações nesse desiderato. Tentar que seja possível internamente ou não, fazer análises, verificar controlos, adequar processos e mensurar resultados. Achamos que através da via do self assessement, as entidades que tratam dados pessoais podem, internamente, proceder à análise de conformidade daquilo que já terão implementado antes e após a entrada em vigor deste regulamento. Acreditamos mesmo que esta é a melhor forma de se prepararem para a tremenda obrigação que lhes é imposta nesta nova sociedade digital. Será a melhor forma de verificarem se, aquilo que ouvem falar acerca da necessidade de conformidade com o regulamento, é já por elas aplicadas ou, então, se pelo menos estão preparadas para começar esse caminho. E se o querem fazer. Será aqui apresentado um conjunto alargado de controlos. Serão demasiados para alguns, serão insuficientes para outros. Acreditamos que cada implementador de conformidade, ou auditor, terá a sua própria base de trabalho, os controlos que vai querer verificar tendo como base a sua experiência e o conhecimento que tem da organização em que opera. De qualquer modo, a nossa intenção é que esta XIV

INTRODUÇÃO

compilação, este guia prático, o ajude no seu trabalho e, principalmente, ajude a sua organização no difícil caminho de conformidade com o RGPD. Numa tentativa de enquadrar a questão, faremos uma breve descrição do que é uma auditoria e qual é a sua história. Debruçar-nos-emos sobre a evolução legislativa da privacidade dos dados. Tentaremos descrever o que se tem passado desde a aplicabilidade do RGPD, os seus problemas, as suas oportunidades, a situação em Portugal. E são muitas as questões a analisar neste tipo de trabalhos que não se ficam apenas pela simples análise da forma como os dados pessoais são geridos. Falamos da necessidade de verificação da equipa de proteção de dados, da análise que é feita, ou deverá ser feita, da gestão dos riscos, de compliance e do controlo interno, da verificação do plano de gestão da privacidade, da análise dos códigos e das políticas, das medidas técnicas e organizativas, da segurança dos dados pessoais, da existência de anonimização e encriptação. E, claro está, do reporting (reporte, em português), porque sem análise do que se faz, e do conhecimento e registo dos trabalhos efetuados, será sempre mais difícil analisar o passado e perspetivar o futuro.

Esperamos que este trabalho vos seja útil e que dele possais tirar ideias, formas e conteúdos para a intervenção nas vossas organizações.

ENQUADRAMENTO

PARTE I

AUDITORIA

Etimologicamente, o termo auditoria deriva do latim audire, que significa ouvir, e corresponde a uma função de avaliação independente, criada dentro ou fora das organizações para avaliar as suas atividades, como um serviço que é prestado a essa mesma organização. Como alguém já definiu auditoria, esta é um exame sistemático das atividades desenvolvidas em determinada empresa ou setor, que tem o objetivo de averiguar se estas estão de acordo com as disposições planeadas e/ou estabelecidas previamente, se foram implementadas com eficácia e se são adequadas. A auditoria moderna, inicialmente mais ligada às áreas contabilísticas, teve o seu início principalmente a partir da revolução industrial no século XVIII, tendo-se consolidado como um meio para garantir a estabilidade económica e financeira das empresas. A preocupação inicial consistia na fiscalização do que era produzido (produto) e do que era vendido (bens), e, posteriormente, de todos os processos envolvidos. Com a revolução industrial e o surgimento e expansão do capitalismo em Inglaterra, em 1756, assistiu-se a um grande impulso para a necessidade da função de auditoria devido ao surgimento das primeiras fábricas com uso intensivo de capital. Em 1880, deu-se a criação da Associação dos Contabilistas Públicos Certificados em Inglaterra e, do outro lado do Atlântico, nos Estados Unidos da América (EUA), em 1887, foi criada a Associação dos Contabilistas Públicos Certificados Americanos. Com o início do século XX, assistiu-se ao surgimento das grandes corporações americanas e à rápida expansão do mercado de capitais, o que levou a que em 1916 surgisse o Institute of Public Accountants (IPA), que sucede à associação americana supracitada, tendo sido redenominada American Institute of Accountants (AIA).

Em 1929, dá-se o crash da bolsa de valores de Nova Iorque, muito em resultado da falta de transparência e consistência nos dados financeiros de muitas sociedades, contribuindo, assim, para a já conhecida crise mundial. Houve, a partir daí, a necessidade de se mitigar as falhas nas divulgações contabilísticas das empresas, tendo como um dos primeiros passos, a criação do Comité May, que atribuía regras para as instituições que tinham as suas ações negociadas em bolsa de valores, tornando-se obrigatória a auditoria independente das demonstrações contabilísticas. Em 1934, é criada a Securities and Exchange Comission (SEC), nos EUA, aumentando a importância do auditor como guardião da transparência das informações contabilísticas das organizações e sua divulgação para o mercado de capitais. Em 5

RGPD – GUIA PARA UMA AUDITORIA DE CONFORMIDADE

1957, dá-se a redenominação do AIA para American Institute of Certified Public Accountants (AICPA). Durante grande parte do século XX, as atribuições dos auditores eram essencialmente as de assegurar que as demonstrações contabilísticas fossem apresentadas de forma justa. No entanto, na década de 70 do século XX, foi-se verificando uma mudança na abordagem da auditoria passando então de uma mera verificação dos registos dos “livros” para uma função mais alargada, ou seja, coube à auditoria uma ideia de confiança nos sistemas contabilísticos e na forma como as organizações procediam a esses registos. Tal mudança deveu-se ao aumento do número de transações que resultaram do crescimento contínuo em tamanho e complexidade das empresas, onde era improvável que os auditores desempenhassem o papel de verificar todas as transações ou mesmo as mais importantes. Como resultado, os auditores nesse período colocaram uma confiança muito maior no controlo interno das empresas e nos seus procedimentos. Mas a evolução da auditoria levou a que, nos inícios dos anos 80 do século XX, se procedesse a um reajuste nas abordagens dos auditores. A avaliação dos sistemas de controlo interno foi considerada um processo moroso e dispendioso, pelo que a opção foi proceder a uma melhoria dos procedimentos analíticos em detrimento da função essencialmente de controlo. Em 1985, foi criado o Committee of Sponsoring Organizations of the Treadway Commission (COSO), inicialmente designado como National Commission on Fraudulent Financial Reporting (Comissão sobre Riscos e Fraudes em Relatórios Financeiros), que era formado por representantes das principais associações de classes de profissionais ligadas à área financeira. O primeiro objeto de estudo da comissão, que mais tarde passou a comité, foram os controlos internos das empresas, mas rapidamente verificou-se que o trabalho se deveria debruçar sobre as avaliações de risco, baseando-se, então, na análise da estratégia, da operação, do reporting (reporte, em português) e de compliance (conformidade, em português). Foi efetivamente o desenvolvimento da auditoria baseada em riscos, em que o auditor se concentra nas áreas com maior probabilidade de conter erros contabilísticos ou outros. Em 2001, dá-se a queda da ENRON, a quinta maior companhia de energia dos EUA e, em 2002, a queda da WorldCom, a segunda maior companhia de telefones, em resultado de um conjunto de escândalos do foro contabilístico que levaram inclusive à queda da Arthur Andersen, uma das cinco empresas de auditoria mais importantes na época. 6

Auditoria

Em resposta a estas situações foi aprovada a Lei Sarbanes-Oxley (SOX) em 2002, o que trouxe várias cláusulas de responsabilidade tanto para a administração quanto para os auditores, uma vez que estendeu as obrigações do auditor à verificação da adequação dos controlos internos sobre os relatórios financeiros, por forma a garantir a integridade, exatidão e validade das contas das empresas, e restringiu ainda mais o acesso aos sistemas financeiros. Esta ênfase no controlo interno é agora uma obrigatoriedade para as empresas que estão sob a alçada da SEC, em virtude das normas de auditoria da Public Company Accounting Oversight Board (PCAOB), criada pela SOX, e que depois se foram estendendo a todo o mundo. Em conclusão, verifica-se hoje que as empresas recorrem aos auditores para testar a integridade dos seus procedimentos contabilísticos e a precisão dos seus dados financeiros. A auditoria evoluiu juntamente com a contabilidade padronizada como forma de identificar e prevenir fraudes. Hoje é um passo crítico no esforço para garantir que as informações financeiras divulgadas ao público sejam confiáveis. As auditorias tornam-se assim extremamente importantes para acionistas, potenciais investidores, reguladores, clientes e outros afetados pelas operações da empresa. Um relatório negativo dos auditores de uma empresa pode prejudicar seriamente a reputação dessa organização. Claro que o termo auditoria cedo ultrapassou as “balizas” da contabilidade e dos registos financeiros. O trabalho de auditoria estendeu-se, entretanto, a um largo conjunto de atividades. A saber: • Auditoria ambiental; • Auditoria de circulação; • Auditoria contabilística; • Auditoria de demonstrações financeiras; • Auditoria fiscal; • Auditoria em segurança da informação; • Auditoria social;

• Auditoria de prestação de contas; • Auditoria de riscos; • Auditoria de sistemas; 7

RGPD – GUIA PARA UMA AUDITORIA DE CONFORMIDADE

• Auditoria governamental; • Auditoria de desempenho; • Auditoria operacional; • Auditoria financeira; • Auditoria tributária; • Auditoria trabalhista; • Auditoria de conformidade. Como se vê, a imaginação é o limite…

PROTEÇÃO DE DADOS NA EUROPA

A história moderna da proteção de dados terá tido o seu início em 1950, quando, logo após o fim da II Guerra Mundial, um conjunto de 10 países europeus, sob a égide do Conselho da Europa (CdE), e tendo por objetivo promover o estado de direito, a democracia e os direitos humanos, adotou a Convenção Europeia dos Direitos do Homem (CEDH) e, dessa forma, através do artigo 8.º ficou expresso que “qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência”. Em 1959, com a criação do Tribunal Europeu dos Direitos do Homem (TEDH), a proteção dos direitos individuais ficou definitivamente consagrada quando o próprio TEDH esclareceu que o artigo 8.º da CEDH obrigava não só os Estados a absterem-se de praticar atos suscetíveis de violarem os direitos aí consagrados, como impôs uma atitude positiva por forma a garantirem o respeito efetivo pela vida familiar e privada. Em Portugal, a nova Constituição de 1976, abordou o tema no seu artigo 35.º, atribuindo a “todos os cidadãos o direito de tomar conhecimento do que constar de registos mecanográficos a seu respeito e do fim a que se destinam as informações, podendo exigir a retificação dos dados e a sua atualização”, e nas revisões subsequentes estes conceitos foram sendo atualizados e melhorados. Em 1981, e em consequência do surgimento nos anos 60 do século XX das tecnologias de informação e da necessidade de adequar a proteção dos direitos individuais a estas novas realidades, o CdE aprovou a Convenção 108 para ser aplicada a todos os tratamentos de dados pessoais efetuados pelo setor público ou privado, incluindo o tratamento realizado pelas autoridades policiais ou judiciárias, visando proteger os cidadãos contra os abusos que possam surgir com a recolha e tratamento de dados pessoais. Esta convenção foi ratificada por todos os Estados ‑Membros do CdE.

Em 1991, Portugal aprova a Lei n.º 10/91, de 9 de abril – Lei da Proteção de Dados Pessoais face à Informática, estabelecendo como princípio geral que “O uso da informática deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada e familiar e pelos direitos, liberdades e garantias fundamentais dos cidadãos”. Foi, assim, criada a autoridade de controlo portuguesa – a Comissão Nacional de Proteção de Dados Pessoais Informatizados (CNPDPI), que, mais tarde, passou a chamar-se apenas Comissão Nacional de Proteção de Dados (CNPD). Uma vez que, em 1995, a UE decidiu aprovar a Diretiva 95/46/CE (Diretiva de Proteção de Dados) do Parlamento Europeu e do Conselho relativa à proteção das 11

RGPD – GUIA PARA UMA AUDITORIA DE CONFORMIDADE

pessoas singulares quanto ao tratamento de dados pessoais e à livre circulação desses dados, por forma a harmonizar as diferentes legislações dos Estados-Membros sobre esta temática, em 1998, Portugal aprovou a nova Lei n.º 67/98, de 26 de outubro – Lei da Proteção de Dados, que transpôs para a ordem jurídica portuguesa a diretiva europeia de 1995. Até à aprovação em 2016 do RGPD, foi aprovada alguma legislação quer em Portugal quer na Europa, nomeadamente a Carta dos Direitos Fundamentais da União Europeia (CDFUE) em 2000, que, no seu artigo 8.º, consagra o direito à proteção de dados, o Regulamento 45/2001 que estabeleceu normas para a proteção de pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais pelas instituições comunitárias, e a Lei portuguesa n.º 43/2004, de 18 de agosto, que visa regular a organização e o funcionamento da CNPD. Está prevista para 2019, uma vez que não foi possível realizá-lo em 2018, a aprovação da Proposta de Lei 120/XIII que irá regular a aplicação do RGPD em Portugal, nas áreas em que o próprio regulamento estipulou serem os Estados-Membros a fazê-lo.