O erro mais frequente em 2018

Evitemos os erros de 2018, façamos melhor em 2019. Os guias e as compilações de melhores práticas não têm evitado uma falha quase que generalizada no registo das atividades de tratamento de dados imposto pelo RGPD. Esperemos que 2019 traga melhores registos.

Creio que o motivo da falha recorrente no registo das atividades de tratamento de dados pessoais (RATDP) reside no facto de se confundir a orientação dada pelo artigo 30º do RGPD (registo das atividades de tratamento) com o que é mais correto do ponto de vista operacional e o que é mais indicado para apresentação a uma autoridade de controlo, CNPD ou outra qualquer. Isto é, pede-se mais que uma leitura estritamente jurídica, exige-se um entendimento mais operacional e de gestão.

Antes de desenvolver esta ideia, importa salientar a relevância do RATDP para se ter uma correta perceção do impacto deste erro. O deficiente registo das atividades de tratamento de dados pessoais é, não só frequente, como compromete de forma muito significativa todo o esforço de conformidade RGPD.

Atendamos a que:

  • O RATDP é a trave mestre da conformidade RGPD, é onde o DPO concentra a maior parte do seu esforço
  • O RATDP é o ponto de referência da administração da organização responsável pelo tratamento dos dados
  • O RATDP é o ponto de entrada utilizado pela entidade de controlo (CNPD)

Em termos de auditoria a constatação de um RATDP deficientemente organizado não corresponde de forma linear a um parecer adverso ou negativo (declaração expressa de não demonstração de conformidade), ou a um parecer de abstenção de opinião (impossibilidade do auditor obter todas as evidências comprobatórias), ou a um parecer com ressalvas (adoção de procedimentos não considerados adequados ou geralmente aceites nas circunstâncias). É um facto que o cumprimento do artigo 30º, de forma estrita, permite, à partida, passar a avaliação inicial do RATDP, mas o aprofundamento do tema da conformidade com essa base é operacionalmente deficiente e não facilita o trabalho da atividade de controlo. Um RATDP deficiente não impossibilita a conformidade, mas é um mau começo e, na prática, indicia uma conformidade insuficiente.

Comecemos por identificar o erro para depois expormos a forma correta de realizar o RATDP.

Nesta análise, para simplificar, examinaremos apenas o caso do RATDP para o responsável pelo tratamento dos dados pessoais, considerando que o caso relativo ao subcontratante é de fácil dedução a partir do primeiro.

A leitura estrita do artigo 30º do RGPD pode ser ilustrada com o exemplo do “Portal do DPO” (aqui) em que se afirma que é aconselhável descrever cada tratamento de dados com o seguinte conjunto de informações:

  • Tipo de dados recolhidos
  • Finalidades de cada tratamento
  • Categorias de dados tratadas
  • Transmissão de dados para países terceiros
  • Período de conservação dos dados
  • Onde os dados estão armazenados
  • Contactos do responsável pelo tratamento

Esta relação de tipos de informação é, de facto, a que é mais utilizada. Contudo, não corresponde exatamente ao que é exigido pelo artigo 30º.

O artigo 30º determina, expressamente, que se possível e, portanto, não sendo impossível, que seja feita uma descrição geral das medidas técnicas e organizativas no domínio da segurança conforme referidas no artigo 32º, nº1 e que devem ser adequadas ao risco.

Esta ligação de cada um dos registos de atividades de tratamento de dados pessoais ao nível de risco e consequentes medidas técnicas e organizativas no domínio da segurança está omissa na maior parte dos sistemas de conformidade. De forma geral, as organizações estabelecem uma politica de segurança da informação, mas não associam a cada uma das atividades de tratamento de dados a avaliação da informação (valor económico e valor operacional), a classificação da informação (protegida, confidencial, …), a avaliação de risco (consideração das ameaças em termos de probabilidade e impacto em confronto com o nível de aceitação de risco) e, face a estas circunstâncias, as adequadas medidas de segurança.

Na verdade, em termos conceptuais, toda esta análise sobre a segurança da informação deveria ser feita através do tradicional Inventário de Dados, mas como o RGPD não exige um inventário de dados e os inventários de dados são difíceis de manter, as organizações tendem a cingir-se ao RATDP sem o enriquecer com a informação que anteriormente constava do inventário de dados.

Desta forma, concluímos a descrição do que decorre diretamente do artigo 30º, mas que ainda assim, é frequente não encontramos nos RATDP. E a não conformidade com o artigo 30º já é, em si mesmo, um erro grave.

Contudo, o erro mais frequente é não se considerar o que está para além do artigo 30º, mas que resulta do RGPD, em termos gerais.

Tomemos como referência as indicações da ICO (entidade de controlo da proteção de dados no Reino Unido) sobre a forma de documentar as atividades de tratamentos de dados pessoais (aqui) e mais concretamente o template do registo de atividades de tratamentos (aqui), para ilustrar o que se deve entender por um RATDP adequado.  

O que constatamos é que se procurou incluir no RATDP informação demonstrativa de responsabilidade sobre os elementos essenciais do RGPD, como sejam as medidas de segurança da informação, os princípios da proteção de dados, os direitos dos titulares, as avaliações de risco e as violações de dados. Em muitos casos, dadas as questões serem extensas e complexas, sugere-se a indicação de um link para o local onde a informação esteja devidamente sistematizada.

A grande vantagem deste modelo é desenvolver a caracterização das atividades de tratamento por forma a poder esclarecer em termos genéricos as várias dimensões de análise e apontar para os locais onde se pode encontrar informação adicional. É o que se recomenda em termos operacionais (para o DPO e a organização) e em termos de supervisão (para a administração da organização e para a CNPD ou outra qualquer entidade de controlo). Não atender a um modelo deste tipo é prescindir de um excelente elemento de sistematização e orientação para as respostas que têm que ser dadas quer às entidades de controlo quer à administração da organização.

Assim, para a ICO o RATDP deve conter a seguinte informação.

  • Identificação da Organização responsável pelo tratamento dos dados (nome, morada, email, telefone)
  • Identificação do DPO, caso exista, (nome, morada, email, telefone)
  • Identificação do responsável pelo tratamento, caso exista, (nome, morada, email, telefone)
  • Referência da atividade de tratamento
  • Área funcional da empresa responsável pela atividade de tratamento
  • Finalidade da atividade de tratamento
  • Nome e contactos do responsável conjunto, se existir
  • Categorias dos titulares dos dados
  • Categorias dos dados pessoais
  • Categorias de destinatários dos dados
  • Link para os contratos com subcontratantes
  • Transmissão de dados para países terceiros
  • Medidas de salvaguarda no envio para países terceiros
  • Período de conservação dos dados
  • Descrição genérica das medidas técnicas e organizativas de Segurança da Informação
  • Artigo 6º base legal para o tratamento dos dados
  • Artigo 9º Tratamento de categorias especiais de dados pessoais
  • Legitimo interesse para o Tratamento de dados
  • Link para as avaliações relativas ao legitimo interesse
  • Avisos para o exercício dos Direitos disponibilizados aos titulares de dados
  • Automatismos de decisão incluindo profiling
  • Origem dos dados pessoais
  • Link para os registos de consentimento
  • Onde os dados estão armazenados/pedidos dos titulares dos dados
  • DPIA – Avaliações
  • DPIA – Progresso
  • DPIA – Links para as avaliações
  • Violação de dados – Ocorrência de violação
  • Violação de dados – Link para a ocorrência
  • Categorias especiais – Condições para o tratamento
  • Categorias especiais – Artigo 6º base legal
  • Categorias especiais – Link para política de conservação dos dados
  • Categorias especiais- Resultado da auditoria à política de conservação de dados das categorias especiais
  • Categorias especiais- Justificação para avaliação negativa da auditoria ao ponto anterior

Como o RATDP é um documento vivo, há que manter todas as diversas versões do documento. Isto para que seja possível identificar qual era a relação de atividades de tratamento existente em determinada data. Além disso, deve ser mantido um registo das atualizações, informando quando foi realizada a alteração, a finalidade da alteração, o processo de aprovação e o sistema de divulgação/comunicação de cada versão.

A adoção do modelo ICO ou de qualquer outro congénere que incorpore as preocupações de índole operacional e gestão representa um esforço adicional, mas resulta numa enorme vantagem para a organização. Proporciona uma visão mais ampla, capacitando a organização para fazer mais com os ativos (dados pessoais) e fazê-lo de forma mais ordenada, de forma mais controlada.

PS – Em finais de Janeiro 2019 a CNPD publicou dois modelos de registo das atividades de tratamento, um para os responsáveis pelo tratamento e outro para os subcontratantes que pode consultar aqui.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)