ICO: – “RGPD numa fase critica”

Qual a principal fonte de inconformidade RGPD?

Quer o caso da violação de dados do Yahoo, quer o caso do Facebook, demonstram bem falhas organizativas que sustentam a tese da presidente da ICO.

Segundo a ICO estamos a entrar numa fase critica de afirmação do RGPD que requer um novo foco na proteção holística de dados, incorporando uma sólida governança dos dados pessoais em todos os processos da atividade da organização.

No passado dia 8 de Abril, Elizabeth Denham, presidente da ICO (a autoridade para a proteção de dados pessoais do Reino Unido) na conferência Data Protection Practitioners 2019 (aqui) afirmou, perante mais de 800 pessoas, a absoluta necessidade de considerar adequadamente o principio da accountability (responsabilidade ou responsabilidade demonstrada).

We find ourselves at a critical stage. For me, the crucial, crucial change the law brought was around accountability. Accountability encapsulates everything the GDPR is about.”

Elizabeth Denham, Information Commissioner (ICO)

Este é, de resto, um tema recorrente deste blog como se pode ver aqui, aqui e aqui, entre outros.

Mas qual a relação da afirmação de Elizabeth Denham com os casos do Yahoo e do Facebook?

É que a conformidade é uma questão que depende da cultura da organização, depende do sistema de gestão, não depende de uma pessoa, não depende do DPO ou do CPO (chief privacy officer). Yahoo e Facebook não falharam por incompetência jurídica ou informática, falharam por uma gestão de topo, por uma liderança, pouco comprometida com a proteção de dados. Por isso mesmo o RGPD concentra as responsabilidades na própria organização e não na função de DPO ou outra qualquer. O RGPD é bem claro na atribuição de responsabilidades como, por exemplo, revela o considerando 74 quando afirma que “deverá ser consagrada a responsabilidade do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta. Em especial, o responsável pelo tratamento deverá ficar obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento são efetuadas em conformidade com o presente regulamento, incluindo a eficácia das medidas. Essas medidas deverão ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e liberdades das pessoas singulares”. A conformidade é uma incumbência da organização e não da pessoa A ou B, até porque só a própria organização a pode assegurar.

Recordemos, de forma sumária, os casos Yahoo e Facebook.

O Yahoo sofreu duas violações, uma em 2013 e outra em 2014, que só foram divulgadas em 2016. Todos os 3 mil milhões de utilizadores foram afetados, dos quais mais de 200 milhões sofreram perdas decorrentes dessas violações. As categorias de dados afetados foram: nomes dos utilizadores, endereços de email, datas de nascimento, perguntas de segurança (e suas respostas), endereços de email de backup e números de telefone.

Em março 2018 descobriu-se que a consultora britânica Cambridge Analytica utilizou uma aplicação de recolha de milhões de dados de utilizadores do Facebook e que foram utilizados na campanha presidencial de Donald Trump, nos Estados Unidos, em 2016. No total, cerca de 87 milhões de pessoas no mundo foram afetadas pelo acesso ilegal da Cambridge Analytica aos seus dados pessoais.

Circunscrevendo-se ao Reino Unido a ICO aplicou uma coima de 560 mil euros ao Facebook sustentando que:

    • Entre 2007 e 2014 a empresa Facebook recolheu informações pessoais através de aplicações, sem um consentimento suficiente, claro e informado.
    • O Facebook falhou na proteção de dados porque fracassou nas verificações adequadas sobre aplicações e programas utilizados na plataforma.
    • O Facebook não fez o suficiente para avisar os utilizadores a tomarem as medidas adequadas.

A responsável pela ICO, Elizabeth Denham, comentou na altura que “uma empresa desta dimensão e com esta experiência deveria ter feito melhor”.

Tomemos, como exemplo, este caso do Facebook. O Facebook é uma empresa cotada que, obviamente, tem uma vasta equipa jurídica e, no entanto, a empresa sofreu o que pode ser considerada uma das maiores violações de dados pessoais. No entanto, isso não significa que a sua equipe jurídica seja incompetente. Em vez disso, deve-se questionar se as equipas operacionais estiveram envolvidas no programa de gestão da proteção de dados, bem como se a equipa jurídica participou adequadamente nos projetos operacionais. E, sobretudo, questionar até que ponto a gestão de topo assumiu o compromisso com a proteção de dados.

Mas, suponhamos que os jurídicos tenham tido conhecimento das operações, processos e sistemas. Isso garantiria a conformidade com a proteção de dados pessoais? É evidente que não. Podemos, ainda, supor que além deste competente departamento jurídico, o Facebook dispunha de um DPO que fosse um ilustre jurista. Isso garantiria a conformidade com a proteção de dados pessoais? Também não! É que não cabe ao DPO dirigir os procedimentos operacionais, efetuar as auditorias, realizar a formação e monitorizar todas as práticas diárias de proteção de dados.

Mas, se em vez de o DPO ser um ilustre jurista, fosse um informático de renome teríamos uma limitação semelhante. Mais, se o DPO fosse um ilustre jurista e um reputado informático estaríamos perante a mesma dificuldade de o DPO, só por si, não conseguir assegurar a conformidade. Há um vasto tipo de procedimentos, pessoas e sistemas cujas responsabilidades e monitorização estão fora da alçada direta do DPO. Claramente, o DPO tem que ser assistido na sua tarefa por uma rede de dirigentes da organização que de forma colaborativa assegurem a conformidade. A questão não é de uma pessoa, a conformidade advém de responsabilidades repartidas que se articulem de forma harmoniosa, em equipa. A conformidade não é resultado de um DPO, é fruto de uma equipa, de um comité de proteção de dados que tanto pode ser o próprio conselho de administração da organização, como uma estrutura a um nível mais operacional dependendo da dimensão e dinâmica da organização.

Numa equipa de futebol um treinador é um elemento importante, mas o resultado final ultrapassa em muito os contributos do treinador, é a articulação da equipa no seu todo que justifica o sucesso da equipa. Também a conformidade de uma organização implica muito mais que o desempenho do DPO, resultando da atividade conjunta da organização pelo que o contributo do DPO nos aspetos organizativos será mais impactante que propriamente nos aspetos ligados a especificidades jurídicas ou tecnológicas que com mais facilidade poderão ser endereçadas por especialistas.

O que vimos nos casos Yahoo e Facebook é que sofreram violações de dados e não conseguiram demonstrar responsabilidade. Demonstrar responsabilidade e ter um acidente é algo totalmente diferente de ter comportamento irresponsável e, por causa de isso, sofrer um acidente. O que Elizabeth Denham afirma é que o RGPD consagra a obrigação das organizações avaliarem os riscos que elas criam para as pessoas com o tratamento de dados e mitigarem esses mesmos riscos e o que se observa na prática é que os casos de violação de dados reportados e as inspeções realizadas pela ICO não evidenciam uma resposta adequada às obrigações existentes. Não demonstrar a resposta às obrigações, não demonstrar a responsabilidade é contrariar o princípio estruturante do RGPD.

I don’t see it in the breaches reported to the ICO. I don’t see it in the cases we investigate, or in the audits we carry out, … It’s a problem because accountability is a legal requirement, it’s not optional. But it is an opportunity because accountability allows data protection professionals to have a real impact on that cultural fabric of your organisation

Elizabeth Denham, Information Commissioner (ICO)

O fundamental da atuação do DPO é ao nível da gestão da organização, somente intervindo a esse nível é que o DPO consegue ter impacto na cultura e forma de atuar da organização.

Recordo o artigo 39º do RGPD que ao descrever as funções (mínimas) do DPO refere, entre outras, a função de informar e aconselhar o responsável pelo tratamento, bem como os trabalhadores, e a função de controlo (“to monitor” em inglês). Sobre a função de monitorização, o artigo 39º refere que o DPO “controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes”.  E destas três principais atividades de monitorização da conformidade, de longe a mais relevante é a repartição de responsabilidades em que se arquiteta todo o sistema de gestão de proteção de dados. Como não é possível atribuir responsabilidades sem descrição de funções, perfis de competências (conhecimento, saber-fazer e atitude) e avaliações, o DPO terá que monitorizar todos estes aspetos.

É desta repartição de responsabilidades e autoridades que nasce a demonstração de responsabilidades individuais que, agregada, constituí a accountability da organização.

Se a ICO sustenta que a consagração do RGPD, passa por esta nova fase, considerada critica, de afirmar o princípio da accountability como trave mestra da proteção de dados, então o DPO tem que entender que é fundamental o seu papel de controller de autoridades /responsabilidades /competências no sistema de gestão da organização.   

É na função de controller de conformidade e especificamente de controller de responsabilidades que o DPO faz a diferença. Não é tanto como conselheiro (jurídico ou tecnológico) que o DPO tem mais impacto. Poucas vezes o DPO terá a última palavra em especificidades jurídicas ou tecnológicas. Pelo historial de coimas e violações de dados percebe-se que o grande contributo do DPO para o sucesso da organização está na conceção e controlo do sistema de gestão, está ao nível da accountability que é a trave mestra do RGPD.

Sendo a accountability uma trave mestra do RGPD como se pode imaginar legislar a aplicação do RGPD em Portugal estabelecendo que as entidades públicas não fiquem sujeitas à aplicação de coimas em caso de violação/infração do RGPD? De onde virá a responsabilização? Ou será que a ideia é mesmo fugir à responsabilização?

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)