Um dos equívocos mais comuns é pensar que o RGPD apenas se aplica ao meio online: não é verdade! O RGPD é neutro do ponto de vista tecnológico: aplica-se ao tratamento de dados pessoais, independentemente da forma como seja efetuado (online, offline, através de um website, através de uma aplicação, numa relação laboral, etc.).
O RGPD aplica-se ao tratamento de dados pessoais, independentemente da forma como seja efetuado (online ou offline)
Este artigo dedica-se ao que designaremos “conformidade offline”. Veja abaixo alguns dos requisitos mais relevantes sobre conformidade offline que devem ser preenchidos:
Caso seja um responsável pelo tratamento estabelecido fora da UE, mas forneça bens ou serviços (mesmo gratuitos) a utilizadores estabelecidos na UE, ou controlar o seu comportamento, na medida em que o mesmo tenha lugar na UE, deve nomear um representante da UE estabelecido num dos países da UE em que os seus Utilizadores estejam estabelecidos.
O representante da UE poderá ser uma pessoa singular ou coletiva.
O representante da UE atua como balcão único para quaisquer inquéritos, pedidos ou reivindicações apresentados contra o responsável pelo tratamento pelos titulares dos dados ou pelas autoridades de controlo. Tal significa que o representante deve transmitir ao responsável pelo tratamento qualquer inquérito juntamente com quaisquer informações relacionadas com tal inquérito de que disponha. De um modo geral, deve auxiliar o responsável pelo tratamento no cumprimento do RGPD em todos os aspetos, devendo, nomeadamente, notificar violações de dados ou cooperar com as autoridades de controlo. Contudo, de um modo geral, o responsável pelo tratamento, e não o representante, assume qualquer responsabilidade pelas atividades de tratamento de dados.
O representante da UE tem ainda obrigações próprias específicas (bem como as respetivas responsabilidades). Por exemplo, deve manter registos das atividades de tratamento.
O RGPD exige que nomeie o representante da UE “por escrito”. Poderá utilizar, por exemplo, o nosso contrato de nomeação padrão, disponível em .docx através de download direto:
Ao tratar dados pessoais na qualidade de responsável pelo tratamento, necessita frequentemente que uma parte das atividades de tratamento seja realizada por um fornecedor externo. Por norma, tal fornecedor tratará os dados pessoais dos seus clientes em seu nome: não os tratará no seu próprio interesse. Nos termos do RGPD, tais fornecedores são designados “subcontratantes”, sendo a relação destes consigo, na qualidade de responsável pelo tratamento, um pedido de tratamento de dados.
Tem uma loja de calçado online. Quando os clientes efetuam uma encomenda, os sapatos são embalados e preparados para a entrega pelo seu fornecedor externo que, evidentemente, precisa de receber todos os dados pessoais dos clientes necessários para satisfazer a encomenda. Como tal, o fornecedor externo está a tratar os dados dos clientes em seu nome na qualidade de subcontratante.
Nos termos do artigo 28.º do RGPD, os responsáveis pelo tratamento e os subcontratantes de dados devem celebrar um “Contrato de Tratamento de Dados” por escrito – incluindo em formato eletrónico. Tal contrato destina-se a especificar os direitos e deveres das partes na realização de atividades de tratamento por um subcontratante. Por exemplo, os subcontratantes só devem atuar de acordo com as instruções dos responsáveis pelo tratamento, adotar medidas de segurança técnicas e organizativas adequadas para assegurar a proteção dos dados pessoais, cooperar com o responsável pelo tratamento em caso de inquéritos dos titulares dos dados ou ações das autoridades de controlo, etc.
A maior novidade introduzida pelo RGPD é que, nos termos do artigo 82.º, os responsáveis pelo tratamento e os subcontratantes assumem uma responsabilidade solidária perante terceiros. Tal significa que, sempre que um titular dos dados considere que os seus dados foram tratados de forma ilícita, poderá exigir uma indemnização pela totalidade dos danos sofridos ao responsável pelo tratamento ou ao subcontratante. Só posteriormente, poderá a parte que pagou a indemnização exigir uma compensação à outra parte.
Um titular dos dados recebe um par de sapatos entregues na sua morada residencial, apesar de nunca os ter encomendado. Opta por exigir uma indemnização ao fornecedor responsável pela entrega. Este paga-a e acaba por exigir uma compensação ao responsável pelo tratamento, visto ter sido este a emitir a instrução de entrega do par de sapatos ao titular dos dados que apresentou a reclamação.
Qualquer entidade que não seja nomeada subcontratante é considerado um “terceiro“. Como tal, se transferir dados pessoais dos seus clientes a qualquer parte que não tenha sido nomeada subcontratante, de um ponto de vista jurídico, está a transferir dados para um terceiro: o que apenas pode fazer com base num fundamento jurídico – por norma, o consentimento do titular dos dados. Contudo, muitas vezes não é fácil preencher os requisitos do consentimento válido ao transferir dados a terceiros.
Por vezes, os subcontratantes que nomeia para atividades específicas de tratamento de dados encontram-se estabelecidos fora da UE. O que lhe coloca o problema de apresentar um fundamento jurídico válido para a transferência de dados pessoais para tal país. Explicámos os diversos fundamentos jurídicos existentes aqui. O que importa sublinhar é que o fundamento jurídico para a transferência e o DPA são duas questões diferentes que poderão ou não coincidir com o mesmo documento.
Pode obter um modelo de base para o Contrato de Tratamento de Dados em .docx através de download direto:
Nos termos do artigo 37.º do RGPD, os responsáveis pelo tratamento devem, em determinadas condições, designar um Encarregado da Proteção de Dados (EPD). Mas o que é um Encarregado da Proteção de Dados?
Um EPD é uma pessoa singular (ou coletiva) que deve supervisionar o cumprimento das normas de privacidade por parte do responsável pelo tratamento (ou do subcontratante). Sempre que estejam reunidas as condições para uma nomeação obrigatória, o EPD deve, pelo menos:
O RGPD não exige expressamente que o EPD seja uma pessoa singular. Tal significa, em princípio, que, por exemplo, uma pessoa coletiva como uma empresa de consultoria poderá igualmente ser nomeada EPD. Contudo, existem já atualmente diversos analistas que referem que, pelo menos, alguns dos requisitos previstos pelo RGPD se podem aplicar apenas a uma pessoa singular. Por exemplo, as “qualidades profissionais e, especialmente, o conhecimento especializado no domínio do direito e das práticas de proteção de dados, bem como a sua capacidade para desempenhar as funções referidas no artigo 39.º do RGPD” referem-se claramente a uma pessoa singular, e não a uma pessoa coletiva.
O RGPD não exige expressamente que o EPD seja uma pessoa singular. Tal significa, em princípio, que, por exemplo, uma pessoa coletiva como uma empresa de consultoria poderá igualmente ser nomeada EPD. Contudo, existem já atualmente diversos analistas que referem que, pelo menos, alguns dos requisitos previstos pelo RGPD se podem aplicar apenas a uma pessoa singular. Por exemplo, as “qualidades profissionais e, especialmente, o conhecimento especializado no domínio do direito e das práticas de proteção de dados, bem como a sua capacidade para desempenhar as funções referidas no artigo 39.º do RGPD” referem-se claramente a uma pessoa singular, e não a uma pessoa coletiva.
Contudo, neste momento não é possível responder a esta questão de forma conclusiva. Teremos de esperar para ver qual será a abordagem adotada pelas autoridades de proteção de dados e/ou pelos tribunais judiciais.
Em primeiro lugar, o EPD pode ser interno, ou seja, pertencer à organização do responsável pelo tratamento (por norma, um trabalhador)ou um fornecedor externo (freelancer). Em ambos os casos, poderá igualmente desempenhar outras funções ou tarefas ao realizar as suas atividades como EPD. Contudo, deve ser sempre assegurado que não haja um conflito de interesses. Assim, o administrador executivo da empresa poderá, por exemplo, não ser nomeado EPD. O mesmo se aplica ao Diretor de Tecnologia (CTO): seria bastante estranho se a mesma pessoa desenvolvesse a infraestrutura informática e a verificasse da perspetiva da proteção de dados pessoais!
De um modo geral, o EPD está sujeito a um dever legal de sigilo relativamente a quaisquer informações obtidas no desempenho das suas funções, devendo manter sempre total independência (ainda que, formalmente, seja um trabalhador!). Tal significa que o EPD deve dispor de todos os meios de trabalho, mão-de-obra e orçamento necessários para desempenhar as suas funções, não podendo desempenhar quaisquer poderes de direção.
A autoridade de proteção de dados efetua uma auditoria de proteção de dados e requer o acesso ao registo de atividades de tratamento nos termos do artigo 30.º do RGPD. O EPD sabe que não existe tal registo, uma vez que o responsável pelo tratamento nunca levou este requisito muito a sério. Contudo, o EPD deve ser neutro e não poderá “defender” o responsável pelo tratamento com uma desculpa qualquer: deve confirmar que o registo nunca foi feito.
Em termos de responsabilidade, importa sublinhar que o EPD não é responsável pelo cumprimento por parte do responsável pelo tratamento. O EPD tem o dever de informar, aconselhar e cooperar, tal como descrito anteriormente. É da exclusiva responsabilidade do responsável pelo tratamento se este não seguir o aconselhamento do EPD. O EPD apenas poderia ser considerado responsável perante o responsável pelo tratamento se tivesse prestado um aconselhamento incorreto. Mas, ainda assim, o responsável pelo tratamento será sempre responsável perante os titulares dos dados.
Nos termos do RGPD, é obrigatório nomear um EPD em três casos:
Os cenários 1 e 2 são relativamente claros: dados “sensíveis” são dados que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
Mas, e em relação ao “controlo regular e sistemático dos titulares dos dados em grande escala”? Aplica-se a entidades como o Facebook ou a Google, cujo modelo de negócio se baseia essencialmente no tratamento massivo de dados pessoais, ou é já aplicável se – digamos – implementar o Google Analytics na sua loja online, uma vez que esta funcionalidade lhe permite controlar os seus clientes?
A verdade é que: ainda não sabemos. Diversas autoridades, analistas e peritos, como o WP29, emitiram a sua opinião sobre esta questão, mas nenhuma é juridicamente vinculativa. Assim, ainda a este respeito, só nos resta esperar e ver qual será a abordagem adotada pelas autoridades de proteção de dados e/ou pelos tribunais judiciais.
Segue-se um modelo de nomeação de um EPD, atualmente disponível em .docx através de download direto:
Apesar de o RGPD, ao contrário de algumas legislações pré-RGPD (por exemplo, a italiana e a alemã), não introduzir um requisito expresso e geral de sujeitar os trabalhadores ou, de um modo mais geral, o pessoal envolvido no tratamento de dados pessoais a uma obrigação de confidencialidade, continua a ser recomendado informar os membros do pessoal sobre o dever de sigilo e pedir-lhes que assinem uma obrigação vinculativa para preencher as condições estabelecidas por algumas disposições do RGPD, tais como:
Mais ainda, o artigo 24.º exige ao responsável pelo tratamento “poder comprovar que o tratamento é realizado em conformidade com o presente regulamento”, o que, pelo menos indiretamente, inclui igualmente poder demonstrar que os trabalhadores e outro pessoal têm estado a tratar dados pessoais nos termos do RGPD.
Recomendamos que celebre um acordo específico de confidencialidade e de não divulgação com todos os membros do pessoal, referindo-se assim às instruções relativas ao tratamento correto dos dados pessoais que lhes tenha previamente facultado. Deve assegurar-se de que tais instruções são entregues ao pessoal e assinadas no momento da sua receção, para que possa apresentar os respetivos comprovativos.
Encontra-se atualmente disponível um modelo de não divulgação/confidencialidade dos trabalhadores em .docx através de download direto:
Nos termos do artigo 35.º do RGPD, os responsáveis pelo tratamento devem, em determinadas condições, realizar uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). Mas o que é exatamente uma Avaliação de Impacto sobre a Proteção de Dados?
Uma AIPD é um processo utilizado para ajudar as organizações a cumprir efetivamente o RGPD, garantindo que os princípios de responsabilidade, privacidade desde a conceção e privacidade por norma são respeitados pela organização.
A AIPD deve incluir:
O processo de AIPD deve ser registado por escrito.
De um modo geral, a AIPD só é obrigatória quando a atividade de tratamento de dados possa resultar num elevado risco para os utilizadores (aplica-se particularmente quando se introduzem novas tecnologias de tratamento). Contudo, se não tiver a certeza se a sua atividade de tratamento é considerada de “elevado risco”, recomenda-se, de qualquer modo, a realização de uma AIPD, uma vez que constitui um instrumento útil para assegurar o cumprimento da lei.
As atividades de tratamento de dados de “elevado risco” incluem:
As AIPD podem ainda ser exigidas noutras circunstâncias (com base numa avaliação caso a caso), incluindo, nomeadamente, para o tratamento de dados relativos a pessoas vulneráveis (por exemplo, crianças, idosos), transferências de dados para fora da UE e dados que sejam utilizados na definição de perfis (por exemplo, pontuações de crédito). Saiba mais sobre os critérios aqui [PDF].
Apesar de a publicação da AIPD não constituir um requisito legal geral do RGPD, recomenda-se que os responsáveis pelo tratamento dos dados considerem publicar a sua AIPD, total ou parcialmente, como um ato de transparência e responsabilidade, especialmente em casos em que sejam afetados membros do público (por exemplo, quando uma autoridade pública realize a AIPD).
Uma AIPD eficaz revela-se útil para preencher o requisito de “Privacidade desde a conceção”, visto permitir que as organizações detetem e resolvam problemas numa fase inicial, atenuando assim tanto os riscos de segurança dos dados para os utilizadores, como o risco de coimas, sanções e prejuízos para a reputação que de outra forma poderiam surgir para a organização.
Pode obter aqui um modelo básico para a Avaliação de Impacto sobre a Proteção de Dados:
Visto que desmarcou os seus deveres de conformidade offline, porque não verifica se cumpre os requisitos legais a 100%?
