O regime de proteção de dados pessoais, ao nível da União Europeia (UE), que até agora constava da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, não se aplicava ao tratamento de dados pessoais «no exercício de atividades não sujeitas à aplicação do direito comunitário», como as atividades realizadas nos domínios da cooperação judiciária em matéria penal e da cooperação policial. Esta Diretiva foi revogada pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados assumindo-se assim como o regulamento geral sobre a proteção de dados.

Nos termos da citada Diretiva, entende-se por dados pessoais, as informações relativas a uma pessoa singular identificada ou identificável, o titular dos dados, considerando-se identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como, por exemplo, um nome, um número de identificação, dados de localização, identificadores em linha ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Enquanto instrumento jurídico no domínio do direito derivado da UE, o Regulamento tem caráter geral sendo vinculativo em todos os seus elementos e diretamente aplicável, devendo neste contexto ser integralmente respeitado por todas as entidades às quais é aplicável (particulares, Estados-Membros, instituições da União). É diretamente aplicável por todos os Estados-Membros desde a sua entrada em vigor, seja por data explicitamente por este estabelecida ou, à falta de menção, no vigésimo dia que se segue à sua publicação no Jornal Oficial da UE). Por oposição à Diretiva não requer qualquer ato nacional de transposição para o enquadramento jurídico dos Estados Membros. Significa que o regulamento visa garantir a aplicação uniforme do direito da União em todos os Estados Membros. Simultaneamente, torna não aplicáveis quaisquer normas nacionais que sejam incompatíveis com as disposições materiais nele contidas.

Assim, e depois de vários anos de negociações, o novo regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais foi publicado no passado dia 4 de maio de 2016, pela UE. Este regulamento prevê um período de 2 anos de adaptação, até lá, os setores e organizações com menor maturidade ao nível da segurança terão de acelerar os processos e adotar novas tecnologias de forma a conseguir cumprir as novas normas.

Até aqui, cada Estado Membro, por via da transposição da Directiva 95/46/CE do Parlamento Europeu e do Conselho, dispunha das suas regras próprias com uma relativa dose de flexibilidade e liberdade. Em comum, cada operação de tratamento de dados pessoais, em momento prévio à sua realização, deve ser notificada à autoridade de controlo (em Portugal, a Comissão Nacional de Proteção de Dados, CNPD).

O regime ainda em vigor, além de centrado numa perspetiva ‘de controlo’ por parte da autoridade local, obrigava a pedidos de notificação gerais e indiscriminados. Uma das novidades traduz-se no tão antecipado ‘balcão único’, que vem beneficiar as organizações com estabelecimentos em diferentes países da UE.

Ao mesmo tempo que se simplifica o sistema de notificação à autoridade de controlo, o Regulamento introduz novas obrigações que impõem aos responsáveis pelo tratamento de dados um maior cuidado, exigência (nomeadamente quanto à obtenção do consentimento dos titulares) e compromisso de compliance, reforçando o respeito pelas regras de proteção de dados e privacidade e alterando significativamente as penalidades pelo incumprimento, que podem ascender a 20 milhões de euros ou a 4% do seu volume total de negócios anual. De um modo geral as novidades do Regulamento resultam, sobretudo, da necessidade de responder aos desafios colocados pela grande dinâmica da evolução tecnológica ocorrida nas últimas décadas.

Tão relevante quanto a proteção dos dados pessoais é a segurança dos mesmos. As práticas de ciber-segurança, e as novas obrigações e responsabilidades em matéria de segurança da informação e em matéria de gestão de incidentes de violação de dados surgem de forma reforçada no Regulamento, como componente essencial de uma proteção eficaz e completa dos dados pessoais. Por outro lado, a necessidade de um novo regime legal nesta área resultou da constatação da desadequação das soluções legais consagradas na Diretiva 95/46/CE, que o Regulamento vem agora revogar, aprovada numa época em que apenas 1% da população da UE tinha acesso à Internet e o Google ainda não existia enquanto serviço on-line.

 

Abrangência e aplicabilidade do novo regulamento

Estão abrangidas pelo novo regulamento todas as empresas que na sua atividade tratem de dados pessoais, ou seja, que realizem operações que envolvam dados de pessoas singulares. Estas alterações afetam também todas as empresas que façam o seu negócio com cidadãos da UE, mesmo que a empresa esteja sediada fora da UE. As responsabilidades traduzidas pelo regulamento são também extensíveis a empresas subcontratadas pelas empresas titulares dos dados protegidos quer estas estejam, ou não, sedeadas em território da UE. Desta forma consegue-se uma extensão das garantias em casos de tratamento de informações por empresas terceiras sedeadas fora da UE. Esta componente é particularmente importante e surge no contexto de medidas acauteladas a propósito da Resolução do Parlamento Europeu sobre a transferência transatlântica de dados em boa parte como consequência do acórdão proferido pelo Tribunal de Justiça da União Europeia (TJUE) no processo C-362/14 (Schrems) (COM(2015)0566).

 

O Acordão Schrems e o fim do acordo Safe Harbour (Porto Seguro)

Tal como referido no ponto anterior um dos aspectos relevantes com a entrada em vigor do novo regulamento prende-se com a sua abrangência e aplicabilidade ao tratamento de dados fora da EU.

Nos termos da Diretiva 95/46/CE, de 24 de outubro de 1995, do Parlamento Europeu e do Conselho, a transferência de dados pessoais para um país fora do Espaço Económico Europeu (EEE, de que fazem parte todos os países da UE e ainda a Noruega, Islândia e o Liechtenstein), dependia da existência de um nível de proteção equivalente ao da UE nesse país. Era a Comissão Europeia (CE) que decidia se um país fora do EEE assegura um nível de proteção adequada. Neste contexto, por decisão de 26 de julho de 2000, determinou a CE a existência de um nível de proteção adequado na transferência de dados pessoais da UE para empresas norte-americanas que tenham subscrito voluntariamente o regime do Safe Harbor, um mecanismo de auto certificação de um conjunto de regras acordadas pela CE e o US Department of Commerce. No passado dia 6 de outubro de 2015, o TJUE considerou inválida a decisão 2000/520/ CE da CE, de 26 de julho de 2000, que determina que a transferência de dados para os EUA ao abrigo dos princípios do acordo Safe Harbor garante um nível de proteção adequado dos dados pessoais.

A polémica surge quando o regulador de dados pessoais da Irlanda rejeita, com base na referida decisão da Comissão, uma queixa de Maximillian Schrems, cidadão austríaco, que com base nas revelações feitas por Edward Snowden sobre a utilização de dados pessoais pelos serviços de espionagem norte-americanos, denunciou a inexistência de um nível de proteção adequado quanto aos dados pessoais transferidos para os EUA ao abrigo do acordo Safe Harbor. Não se conformando com a resposta do regulador, Maximillian Schrems, recorreu para os tribunais irlandeses que, recorrendo ao mecanismo do reenvio prejudicial, sujeitaram ao parecer do TJUE a questão de saber se a referida decisão da Comissão impede que as demais autoridades reguladoras nacionais avaliem a adequação do grau de proteção na transferência de dados para os EUA. Nessa sequência, veio o TJUE (no processo C-362/04, Schrems) declarar inválida a decisão do Conselho, com fundamento, por um lado, na violação de direitos fundamentais no tratamento de dados pessoais realizados pelos EUA e, por outro lado, no esvaziamento dos poderes das entidades de controlo nacionais que a decisão promove, inibindo-as de investigar as demais queixas com independência.

O acórdão do TJUE invalidou a Decisão da CE 2000/520/CE (Decisão Safe Harbor), no âmbito da qual muitas empresas europeias remetiam dados pessoais para os EUA, fosse para subcontratação de serviços ou para comunicação de dados a terceiros, em particular casas-mãe de empresas multinacionais. Em Portugal, o Safe Harbor era o instrumento mais usado para a transferência de dados para os EUA. Na sequência do acórdão, a Decisão da CE deixou de constituir um fundamento de legitimidade para transferir dados para os EUA, pelo que a CNPD está obrigada a proibir as transferências de dados ao abrigo do Safe Harbor, tendo já deliberado nesse sentido. A CNPD, em conjunto com as suas congéneres europeias, reunidas no Grupo de Proteção de Dados do Artigo 29.º, está agora a estudar o impacto do acórdão do TJUE noutros instrumentos utilizados para as transferências internacionais, como sejam as cláusulas contratuais-tipo, contratos entre empresas do mesmo grupo ou outros contratos ad-hoc, na medida em que a análise do TJUE se baseia na existência de legislação nacional dos EUA, prevalecente sobre quaisquer acordos ou contratos previamente estabelecidos, e que impõe às empresas a obrigação de fornecer dados a autoridades policiais e de informações, de forma massiva e indiscriminada para além do que é estritamente necessário numa sociedade democrática. Além disso, o TJUE referiu-se ainda, como contrário à Carta Europeia dos Direitos Fundamentais da UE, a falta de supervisão da atividade dessas autoridades e a impossibilidade de os cidadãos poderem recorrer para os tribunais para ver garantidos os seus direitos em matéria de proteção de dados. Assim, havendo o risco de se vir a concluir que, devido à atual legislação norte-americana, os outros instrumentos que podem legitimar a transferência de dados pessoais para aquele país não são suficientes para garantir um nível de proteção de dados adequado, sendo por isso os fluxos violadores dos direitos fundamentais dos cidadãos europeus, a CNPD apenas emitirá autorizações provisórias para a transferência de dados para os EUA, sujeitas a eventual revisão num futuro próximo. Quanto às autorizações de transferências de dados para os EUA, emitidas pela CNPD desde o ano 2000, ao abrigo da Decisão da CE Safe Harbor, elas serão formalmente revistas, por força da execução do acórdão do TJUE, devendo os responsáveis pelos tratamentos em Portugal suspender desde já os fluxos de dados pessoais nesse âmbito.

Principais novidades do regulamento

As empresas são agora obrigadas a realizar uma avaliação do impacto sobre a proteção, antes de iniciar o tratamento de dados, no caso de “um tipo de tratamento, em particular que utilize novas tecnologias, e tendo em conta a sua natureza, âmbito, contexto e finalidades, seja suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares” (Artigo 27º, secção 1);

O regulamento obriga que as empresas implementem medidas de segurança adequadas para a proteção de dados pessoais, como por exemplo, mecanismos de encriptação que “garantam a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de processamento de dados” (Artigo 32º, secção 2);

“Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente (comissão nacional de proteção de dados), sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma” (Artigo 33º, secção 2);

Os titulares devem ser informados da intrusão sempre que a falha de segurança possa representar um alto risco para os direitos e liberdades individuais (Artigo 32º, secção 2);

A introdução do direito à eliminação dos dados pessoais (o “direito a ser esquecido”) (Artigo 17º, secção 3);

A introdução do direito à portabilidade, que significa que “O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento” (Artigo 20º, secção 3);

As empresas deverão designar um “encarregado para a proteção de dados” que estará envolvido em todas as “questões relacionadas com a proteção de dados pessoais” (Artigo 32º, secção 3), este deverá ser designado sempre que:

O tratamento de dados seja efetuado por uma autoridade ou um organismo publico;

A organização regule e monitorize sistematicamente indivíduos em larga escala;

A organização processe dados sensíveis em larga escala.

Caso a empresa não cumpra o regulamento podem ser sancionados com “coimas até 20.000.000 EUR ou, até 4 % do seu volume de negócios anual a nível mundial” (Artigo 83º, secção 3);

Resumidamente, se as empresas não adotarem políticas corretas para proteger os dados pessoais que estejam em sua posse, terão que enfrentar custos elevados, danos na reputação e na confiança dos clientes.

Os novos termos e conceitos de segurança

Com o novo regulamento surge um novo conjunto de conceitos e termos ligados à segurança dos dados e da informação a saber:

Privacy by design: Privacidade desde a conceção, significa que em cada novo processo de negócios ou serviço que utilize dados pessoais, deve ter em conta a proteção desses mesmos dados. Na prática, significa que o departamento TI deve encarar com importância nuclear a privacidade durante todo o ciclo de vida do desenvolvimento ou processos de tratamento de dados pessoais. Este aspeto tem especial relevância se pensarmos que sistemas mais antigos, anteriores ao surgimento do regulamento, não tinham qualquer preocupação com este tipo de questões. Para novos sistemas que venha a ser desenhados, desenvolvidos e implementados após esta fase tal requisito deverá ser considerado como primordial. Para sistemas em exploração terá de haver um esforço significativo de adaptação na medida em que estes requisitos não são opcionais;

Privacy by default: Este novo conceito significa que as configurações de privacidade aplicam-se imediata e automaticamente quando um cliente adquire um novo produto ou serviço. Por outras palavras, não deverá ser necessária qualquer alteração manual para que as configurações de privacidade sejam aplicadas a todos os novos titulares de dados pessoais de um determinado sistema. Partindo do princípio que privacidade deve estar presente desde o momento do desenho e conceção dos sistemas e processos este requisito não será um grande de difícil implementação. Já se pensarmos que os sistemas e processos que não tiveram este pensamento na base tal poderá constituir um grande desafio para as organizações;

Accountability: Exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organização e demonstrar às autoridades de proteção de dados e aos titulares dos dados que toda esta informação pessoal está em segurança. Este requisito constitui um grande desafio para as organizações contudo será também um mecanismo que as mesmas validem sistematicamente o seu grau de conformidade com as regras. Não deverá ser visto como elemento burocrático mas como um apoio à auto-regulação;

Oposição ao profiling: Os titulares dos dados têm direito a opor-se ao uso de profiling, ou seja, qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais. Este é um requisito particularmente sensível numa altura em que os próprios modelos de negócio da chamada web 2.0 estão assentes em mecanismos de profiling com o objetivo de segmentar os indivíduos (utilizadores de sites e aplicações internet a titulo gratuito com o objetivo de obter rendimentos com a venda desses mesmos dados para fins de publicidade segmentada ou outras iniciativas de cariz comercial.

Privacy impact assessments: Permite que a organização encontre problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos à reputação que poderiam acompanhar uma violação das leis e regulamentos de proteção de dados.

Conclusão

De um modo geral as novidades do Regulamento resultam, sobretudo, da necessidade de responder aos desafios colocados pela “revolução tecnológica” ocorrida nas últimas décadas. De facto, tão relevante quanto a proteção dos dados pessoais é a segurança dos mesmos, segurança esta que por sua vez devido à velocidade a que avança esta revolução é cada vez mais difícil de assegurar dada a permanente mutação e evolução das tecnologias. As empresas estão obrigadas a interiorizar rapidamente estas mudanças. O novo regulamento imputa ao responsável pelo tratamento de dados pessoais um conjunto de obrigações que inequivocamente reforçam o seu papel como sujeito determinante na forma como os nossos dados serão efetivamente protegidos.

Estarão as empresas técnica e financeiramente preparadas para as novas exigências de transparência e segurança?

Braga, 15 de Janeiro de 2017

Rui Paupério