A Bandalheira é para continuar

O Relatório Anual da EDPS publicado a 26 Fevereiro 2019 apresenta um supervisor ativo que demonstra competência e trabalho realizado.

Quer o Relatório anual da EDPS (aqui)  quer o podcast da EDPS (aqui) evidenciam uma grande valorização do princípio da accountability o que devia ser tomado pelo poder político português como um exemplo para as instituições publicas portuguesas.

No país dos “donos disto tudo”, dos Isaltinos, dos Sócrates, dos Tomás Correias/Montepios/apoiado-pelas-melhores-elites, da endogamia do governo, todos sabemos que a falta de transparência e a falta de accountability não são penalizadas na opinião publica e nas eleições pelo que o poder político pouco se preocupa com tal.

 E, portanto, o que é de esperar é que o legislador português não siga os bons exemplos europeus, designadamente da EDPS levando avante o seu plano de desresponsabilização das instituições publicas portuguesas através da isenção de coimas por não conformidade com o RGPD. Pelo menos, é essa a “narrativa”  posta a circular nos últimos meses e de que é, o mais recente exemplo, a noticia do jornal publico (aqui). Ao que parece, o teste da opinião publica está a ser superado com sucesso, o que levará os políticos a consolidarem o atual sistema de gestão desresponsabilizada. Uma gestão da coisa publica que permita o aproveitamento das instituições publicas para fins privados com total desrespeito pelo cidadão.

Não será uma notícia de última hora ou de última década, mas a notícia é que a “bandalheira” à portuguesa é para continuar.

Qual a organização publica portuguesa que inclui no seu relatório anual de atividade os KPIs? Qual o gestor publico que faz esse exercício de prestação de contas? Que poder politico obriga à prestação de contas?

O exemplo da EDPS de dar visibilidade dos KPIs que abaixo se ilustra devia servir de referência para as organizações publicas portuguesas. Isto é cultura de accountability.

É neste contexto de inutilidade pratica para Portugal, mas de manifesto interesse pedagógico que se recomenda a leitura dos capítulos 4.4.2 Reinforcing the accountability of EU institutions e 4.4.3 Accountability in IT do referido relatório onde entre outros aspetos se refere o seguinte.

Diz a EDPS que tanto o RGPD como as novas regras de proteção de dados para as instituições da UE sublinham a importância da responsabilização demonstrada (accountability). A organização responsável pelo tratamento de dados pessoais, deve não apenas cumprir as regras de proteção de dados, como também deve ser capaz de demonstrar essa conformidade. Não é um conceito novo, mas as novas regras dão maior ênfase a este conceito de accountability.

A accountability envolve fazer a coisa certa, pelas razões certas, de uma forma que possa ser reproduzida, se necessário. Para que isso seja uma realidade, todas as organizações que operam dentro da UE, incluindo as instituições da UE, devem garantir que documentam adequadamente todas as suas atividades de tratamento de dados.

Para ajudar as instituições da UE a respeitarem o princípio da accountability, a EDPS elaborou e publicou em fevereiro de 2018 um guia pratico para a accountability.  

Este guia prático dá orientações sobre como documentar uma operação de tratamento, como definir os critérios para determinar quando as avaliações de impacto, ou avaliações preliminares de impacto, são necessárias.

O relatório da EDPS, revela que a divulgação do guia prático foi acompanhada por um vasto programa de sensibilização e formação de DPOs sobre accountability dirigido às organizações que estão sob sua supervisão.

No que diz respeito à accountability nas tecnologias da informação a EDPS promoveu a utilização de processos comuns de gestão de risco da segurança de TI e de gestão de risco de proteção de dados. Ainda que tal seja um desafio, há um grande benefício em se evitar a duplicação. A unificação de processos de gestão de risco permite uma melhor implementação das obrigações descritas no RGPD, tornando-a muito mais eficiente do que a implementação de processos separados. Até em termos de manutenção a opção de unificação é mais vantajosa.

Uma nota final de apreço e consideração pelo relatório apresentado e, sobretudo, pelo trabalho realizado pela EDPS. Para ilustrar esse trabalho seguem-se alguns gráficos que acompanham o relatório.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)