O que a Legislação de Protecção de Dados Pessoais obriga às organizações?

Por Paulo Coelho (*)

Subsiste a ideia em várias organizações que a legislação de protecção de dados pessoais implica apenas a "legalização" de câmaras de videovigilância, mas efectivamente esta legislação estabelece um conjunto alargado de obrigações para as organizações. Neste artigo iremos abordar os principais requisitos estabelecidos pela Lei de Protecção de Dados Pessoais (Lei n.º 67/98 de 26 de Outubro) relativos à forma como as organizações devem recolher, utilizar, proteger e eliminar dados pessoais.

Requisito 1 - Formalizar as recolhas de dados pessoais junto da CNPD
Todas as recolhas de dados pessoais realizadas por uma organização devem estar registadas na Comissão Nacional de Protecção de Dados (CNPD).

As organizações recolhem dados pessoais de clientes, colaboradores e parceiros para inúmeras finalidades. A tabela I (reproduzida no final do documento) exemplifica algumas destas finalidades de recolha de dados pessoais agrupadas pelas áreas funcionais de uma organização.

Uma organização, para assegurar a conformidade com este requisito de formalização junto da CNPD das recolhas de dados pessoais, necessita identificar as suas recolhas de dados e verificar o procedimento de formalização aplicável à recolha. Como princípio geral, o procedimento de formalização depende do tipo de dado recolhido. Assim, para as recolhas que tenham como objecto dados pessoais considerados sensíveis (e.g. dados da vida privada, registos clínicos) o procedimento aplicável é a autorização prévia da CNPD, enquanto que para as recolhas de dados pessoais que não sejam considerados sensíveis (e.g. nome, morada), o procedimento a aplicar é a notificação junto da CNPD.

Como esta exigência de formalização junto da CNPD apenas não é aplicável a um conjunto limitado de recolhas de dados pessoais (e.g. dados envolvidos no processamento salarial), as organizações devem possuir procedimentos que garantam que todas as suas recolhas de dados pessoais estão devidamente "legalizadas".

Requisito 2 - Recolher dados pessoais
A organização apenas pode recolher os dados pessoais de uma pessoa mediante o consentimento da mesma ou caso exista uma justificação para essa recolha. Somente nos casos em que a recolha é necessária por imperativos legais (e.g. a Lei n.º 32/2008 17 de Julho obriga as telcos a recolher e conservar um conjunto de dados pessoais dos seus clientes) ou por requisitos contratuais (e.g. para vender uma viagem aérea, uma companhia aérea têm de recolher os dados dos viajantes) é que a organização pode dispensar o consentimento da pessoa para recolher os seus dados pessoais. Todavia, tanto numa situação como noutra, a organização deve informar sempre a pessoa da finalidade para a qual está a recolher os seus dados pessoais.

Vejamos um caso concreto de aplicação destes requisitos de recolha de dados: recentemente entrou em vigor uma lei (Lei n. º 46/2012 de 29 de Agosto) que aplica estes requisitos aos cookies. Os cookies são pequenos ficheiros usados pelas páginas Web para identificar o equipamento do utilizador. Através dos cookies, as páginas Web conseguem identificar o utilizador em próximas visitas à mesma página Web, permitindo dessa forma recolher dados do utilizador (e.g. preferências de navegação na página Web, assuntos pesquisados).

A lei referida, que decorre de uma directiva europeia, exige que as páginas Web antes de armazenarem "cookies" no equipamento dos utilizadores solicitem o seu consentimento. Em termos práticos, esta obrigação pode implicar que uma página Web, sempre que é acedida por um novo utilizador, exiba um banner a solicitar o seu consentimento para a utilização de "cookies". Por outro lado, como qualquer outra recolha de dados, o titular dos dados tem direito a ser informado dos objectivos da recolha, o que implica que as páginas Web disponibilizem essas informações na sua política de privacidade disponível na própria página.

Ainda que a efectiva aplicação desta lei esteja dependente de uma clarificação da CNPD (e.g. âmbito das excepções à aplicação da lei, admissibilidade do consentimento implícito), a qual pode restringir a aplicabilidade da obrigação de solicitar consentimento para utilizar cookies, esta lei, na sua versão actual, implica transformações de uma parte significativa das páginas Web portuguesas.

Requisito 3 - Utilizar dados pessoais
Os dados pessoais apenas podem ser utilizados para as finalidades que foram comunicadas aos seus titulares. Por exemplo uma organização não pode utilizar para marketing directo, dados pessoais (e.g. número de telemóvel) recolhidos para outras finalidades.

Uma outra restrição na utilização de dados pessoais pelas organizações são as transferências de dados para outras organizações. Uma organização apenas pode ceder os dados pessoais para uma outra organização, caso essa transferência seja imposta por lei (e.g. um banco está obrigado a comunicar ao Banco de Portugal os dados das pessoas a quem concede crédito) ou o titular dos dados não se tenha oposto à mesma.

Registe-se que este princípio da transferência de dados é apenas aplicável nas situações em que a organização cede (e.g. vende) os dados pessoais para que uma outra organização realize uma outra utilização distinta dos mesmos, não se aplicando às situações em que os dados pessoais são disponibilizados a empresas subcontratadas para efeitos de prestação de serviço.

Um terceiro condicionalismo na utilização dos dados pessoais reside na obrigação das organizações responderem às solicitações colocadas pelos titulares em relação aos seus dados pessoais (e.g. os titulares podem solicitar o acesso a todos os dados relativos a si que uma organização possua).


Requisito 4 - Proteger dados pessoais

As organizações são responsáveis pela protecção dos dados pessoais que estão à sua custódia. O regime de protecção depende do tipo de dado pessoal. Para os dados considerados sensíveis (e.g. dados biométricos), as organizações têm que assegurar a protecção dos mesmos contra acessos não autorizados às instalações, aos sistemas de informação e suportes de armazenamento de dados que possuam este tipo de dados, bem como garantir a existência de registos de acesso aos dados. Para os dados não sensíveis (e.g. nome), as organizações necessitam apenas demonstrar que possuem as medidas adequadas para proteger os dados contra o acesso, alteração ou eliminação não autorizada.

Como se pode verificar pela formulação abstracta destes requisitos de segurança, a lei não é explícita em relação às medidas concretas de segurança que uma organização deve possuir para proteger os dados pessoais. Esta indefinição de medidas de segurança torna-se ainda mais evidente quando se compara o nosso ordenamento jurídico com, por exemplo, o espanhol. Em Espanha, para além da transposição da directiva comunitária de protecção de dados pessoais, foi publicado em 2007 um diploma (Real Decreto 1720/2007) que especifica as medidas concretas de segurança que uma organização deve implementar. Em Portugal, e como resultado da opção legislativa de não regulamentação da lei de protecção de dados pessoais, torna-se difícil para uma organização delimitar a fronteira entre a conformidade e a sua ausência em matéria de segurança de dados pessoais.

Requisito 5 - Eliminar dados pessoais
Os dados pessoais apenas devem ser conservados temporariamente pelas organizações, ou seja apenas durante o período de tempo necessário para a prossecução da finalidade da recolha, devendo logo depois ser eliminados. Consequentemente, um dos atributos das recolhas de dados pessoais é o seu prazo de retenção, tal como patente na tabela I.

Conclusão
Numa organização com alguma complexidade coexistem vários tipos de dados pessoais, quer sejam de clientes, colaboradores ou parceiros. A lei define um conjunto de obrigações aplicáveis à forma como as organizações recolhem, utilizam, protegem e eliminam dados pessoais.

O cumprimento destas obrigações implica que as organizações adoptem medidas processuais (e.g. procedimentos de resposta a solicitações de titulares), bem como medidas técnicas (e.g. configurar uma base de dados que armazene dados pessoais sensíveis para manter registos dos acessos aos dados por parte dos utilizadores) que contemplem as várias fases do ciclo de vida dos dados pessoais (e.g. recolha, utilização, eliminação) e as várias áreas de uma organização que gerem estes dados.

(*)
Consultor de segurança da informação

[caption]Nome imagem[/caption]

Newsletter

Receba o melhor do SAPO Tek. Diariamente. No seu email.

Notificações

Subscreva as notificações SAPO Tek e receba a informações de tecnologia.

Na sua rede favorita

Siga-nos na sua rede favorita.