RGPD nas IPSS

Regulamento Geral da Proteção de Dados Pessoais (RGPD) e as Instituições Particulares de Solidariedade Social (IPSS)

A 25 de Maio de 2018 surgiu um novo paradigma na proteção de dados pessoais, sob o mote: “A tua vida não te chega”!?

O RGPD vem obrigar as IPSS’s a recolher (tratar) os dados pessoais, estritamente, necessários bem como a mantê-los em segurança.

Conceitos e Definições, Art.º 4.º

Dados Pessoais: Informação relativa a uma pessoa singular viva identificada ou identificável.

É considerada identificável a pessoa singular que possa ser identificada direta ou indiretamente, em especial por referência a um nome, número de identificação, dados de localização ou a elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social da pessoa singular.

Titular dos dados: A pessoa singular viva.

Categorias especiais de dados: São aqueles que revelem a origem racial ou étnica, as opiniões politicas, as convicções religiosas ou filosóficas, ou a filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde, a vida sexual ou a orientação sexual.

O artigo 5.º é relevante, por estabelecer os princípios.

Em regra, o tratamento de dados pessoais é proibido, permitindo-se o seu tratamento mediante critérios previamente estabelecidos no RGPD, nomeadamente ao nível da licitude e finalidade, artigo 6.º:

Licitude: Obrigação legal; Atribuição legal; Cumprimento de um contrato, consentimento.

Finalidade: Cumprir a competência legal, cumprir a atribuição legal, cumprir o contrato (inclui atos pré contratuais), e cumprir o âmbito do consentimento.

Os dados pessoais passam a ser tratadas especificamente para a finalidade que, foram recolhidos não podendo ser utilizados noutras.

Em regra, é proibido o tratamento de dados integrantes da categoria especial.

Tratamento de dados: Operação ou conjunto de operações efetuadas sobre dados pessoais, por meios automatizados ou não automatizados (papel), tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

Responsável pelo tratamento: A instituição particular de solidariedade social (IPSS).

Encarregado de Proteção de Dados Pessoais: Funciona como interlocutor em relação aos titulares dos dados e também em relação à própria autoridade de controlo (CNPD)

Autoridade de Controlo: Comissão Nacional de Proteção de Dados Pessoais.

A problemática do consentimento, artigo 7.º

Ponto essencial: O consentimento só se aplica, quando não houver outros critérios de licitude que, não sejam aplicáveis à situação em concreto.

Pelo que o consentimento deve ser expresso, livre e informado, com direito do titular dos dados em retirá-lo a qualquer momento, bem como restringir o consentimento dado.

A pessoa singular tem por isso o dever de ser informada, de todo o que envolva o tratamento dos seus dados pessoais, nomeadamente a identidade do responsável pelo tratamento (a instituição), o motivo / fundamento pelo qual é solicitado o seu consentimento, por quanto tempo são os seus dados tratados, onde ficam guardados, o encarregado de dados a quem pode recorrer, bem como os seus direitos de apagamento e portabilidade, estes últimos aplicáveis, apenas aos dados tratados por meios automatizados.

Paralelismo do consentimento ao regime de bens de um casamento civil: O consentimento tal como o regime de comunhão de bens adquiridos é supletivo, ou seja, caso não haja outro é aquele que se aplica.

Assim:

Cumpre as IPSS ter o controlo e o comando sobre os dados pessoais que tratam. Garantir a confidencialidade e segurança. Seguindo os princípios da licitude, lealdade, transparência, limitação de finalidades, a minimização dos dados, a exatidão, a limitação de conservação, a integridade e confidencialidade e, por fim a responsabilidade.

As IPSS passam a ter de garantir o cumprimento do RGPD, devendo exigir aos subcontratantes (empresas que fornecem serviços e que, podem, eventualmente, tratar dados cuja a responsabilidade é da IPSS), os mesmos níveis de segurança que a instituição implementou.

A figura do Encarregado de Dados (DPO):

Os artigos 37.º a 39.º do RGPD é referente à figura do encarregado de dados;

Naqueles encontramos:

  • A designação, artigo 37.º;
  • A posição do encarregado de dados, artigo 38.º;
  • As funções, artigo 39.º

A nomeação do encarregado de dados não é uma obrigação absoluta, ainda que, pelas funções e importância decorrente do RGPD seja aconselhável;

É obrigatória a nomeação, quando se trata de autoridade ou organismo público, exceto tribunais; quando trate dados que, pela sua natureza, âmbito e / ou finalidade obrigue a um controlo permanente e sistemático, bem como trate dados pessoais em grande escala.

O encarregado de dados não tem que, ter acesso aos dados, mas sim que informar e aconselhar a instituição, o subcontratante e os trabalhadores a respeito das suas obrigações legais. Monitorizar o cumprimento da lei, dar formação, realizar auditorias, prestar aconselhamento no que respeita à avaliação de impacto sobre a proteção de dados, articular com o titular dos dados e cooperar e servir de ponto de contato com a CNPD (autoridade de controlo).

A implementação do RGPD na IPSS

O modo de implementar o RGPD integra um conjunto de passos organizacionais internos:

  • Formação aos funcionários sobre as regras relativas a segurança de dados;
  • Respetivas obrigações, especialmente em matéria de confidencialidade;
  • Proteção contra acesso a instalações e hardware, software do responsável pelo tratamento ou do subcontratante, incluindo controlos sobre autorização de acesso;
  • Certificação que, as autorizações de acesso a dados pessoais foram concedidas pela pessoa competente e exigem documentação adequada;
  • Documentação exaustiva para outras formas de divulgação diferentes do aceso automatizado a dados, a fim de demonstrar que, não ocorreram quaisquer transmissões ilegais de dados e realização de auditorias internas e externas.

Os responsáveis pela IPSS devem assegurar que as atividades respeitam os princípios do regulamento e possuem fundamento jurídico. Que os tratamentos são seguros. Que a instituição atende aos seus direitos e à transparência. Que notifica os incidentes de segurança conforme criticidade e que mantém, quando aplicável um DPO, o Registo de Atividades (obrigatório quando tenham 250 ou mais trabalhadores) e faz as necessárias Avaliações de Impacto.

Ponto de Partida, para a implementação do RGPD:

  • Mapear e rastrear todo o tratamento de dados na vossa instituição;
  • Assumir a minimização de dados pessoais, não pedir mais do que os necessários;
  • Refletir sobre porque recolhem os dados, onde os guardam e porque quanto tempo;
  • Caracterizar as finalidades e consequente licitude do tratamento (ao abrigo de contrato, por obrigação legal, através do consentimento);
  • Elaborar uma politica geral de privacidade, ao abrigo do RGPD;
  • Tomar precauções, ao nível de segurança da informação, como boas práticas ao nível de organização nas secretárias, armários fechados, entre outras…

Para elaborar uma boa e útil politica de privacidade:

  • Identificar o responsável pelo tratamento e seus contatos, bem como o respetivo regulamento, o critério de licitude, a finalidade do tratamento, o tempo de conservação, o local de armazenamento dos dados, identificar o contato do encarregado de dados.
  • Acima os critérios a observar da politica geral de privacidade;
  • No site, caso usem cookies devem mencionar tal informação ao utilizador;
  • Para cada finalidade, tendo por base o consentimento, devem elaborar um documento individual e disponibilizá-lo ao titular dos dados.