Accountability a quanto obrigas?

Todos sabemos que a Accountability é o melhor antídoto para coimas e indemnizações, mas qual o significado de Accountablity no contexto da proteção de dados?

Durante os últimos 40 anos a proteção de dados tem introduzido uma serie de conceitos inovadores como os códigos de conduta, privacy by design, privacy-enhancing technologies, binding corporate rules, standard contratual clauses, mas o conceito de accountability é, sem dúvida, dos mais significativos.

A raiz deste movimento pró accountability encontra-se no OCDE Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1981) sendo um conceito que tem vindo a ser trabalhado revestindo-se de uma complexidade que dificulta uma definição linear.

No entendimento atual, o princípio da accountability (responsabilidade / responsabilidade demonstrada) obriga a uma demonstração ativa da conformidade por oposição a uma responsabilidade reativa de resposta a questões suscitadas pelos titulares dos dados ou pelas entidades supervisoras.

De acordo com o parecer do Grupo de Trabalho do artigo 29º, Opinion 3/2010on the principle of accountability, WP 173, na essência, a accountability obriga o responsável pelo tratamento de dados a:

  • Pôr em prática medidas técnicas e organizativas que – em circunstâncias normais – garantam que as regras de proteção de dados são respeitadas no contexto das operações de tratamento de dados. Este conceito de adequação das medidas pressupõe o estabelecimento de prioridades com base na avaliação de risco.
  • Ter evidências (documentação e auditorias) que demonstrem aos titulares de dados e às autoridades de controlo competentes as medidas que foram tomadas para a efetiva proteção de dados. A auditoria pressupõe a existência de uma clara repartição de responsabilidades e tarefas.

Em termos práticos, a ICO (autoridade do Reino Unido, de controlo para a proteção de dados) deu orientações para o cumprimento do princípio da accountability (aqui) em que sobressai a seguinte checklist.

E explica o que é necessário fazer, nos seguintes termos:

Accountability is not a box-ticking exercise. Being responsible for compliance with the GDPR means that you need to be proactive and organised about your approach to data protection, while demonstrating your compliance means that you must be able to evidence the steps you take to comply.

To achieve this, if you are a larger organisation you may choose to put in place a privacy management framework. This can help you create a culture of commitment to data protection, by embedding systematic and demonstrable compliance across your organisation. Amongst other things, your framework should include:

  • robust program controls informed by the requirements of the GDPR;
  • appropriate reporting structures; and
  • assessment and evaluation procedures.

If you are a smaller organisation you will most likely benefit from a smaller scale approach to accountability. Amongst other things you should:

  • ensure a good level of understanding and awareness of data protection amongst your staff;
  • implement comprehensive but proportionate policies and procedures for handling personal data; and
  • keep records of what you do and why.

Article 24(1) of the GDPR says that:

  • you must implement technical and organisational measures to ensure, and demonstrate, compliance with the GDPR;
  • the measures should be risk-based and proportionate; and
  • you need to review and update the measures as necessary.

While the GDPR does not specify an exhaustive list of things you need to do to be accountable, it does set out several different measures you can take that will help you get there.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)