Na senda do artigo 80 do RGPD

O futuro das ações coletivas sobre proteção de dados

Max Schrems, fundador da ONG “Europa versus Facebook” e atual leader da ONG Noyb.eu (None of Your Business) é um ativista da proteção de dados que tem vindo a mostrar a relevância do artigo 80 do RGPD.

O ativismo de Max Schrems tem consequências! Ser “à-prova-de-Schrems” é mais que um selo de conformidade. Não faltam motivos para Schrems ser malquisto por muitos. Max Schrems foi responsável pelo desmoronar do acordo Safe Harbor EU-U.S. referente à recolha, utilização e retenção de dados pessoais. Max Schrems denunciou irregularidades de privacidade da Facebook, Apple, Microsoft, Skype e Yahoo.


“In practice many individual users are not willing to file legal actions against obvious privacy violations, because of (often rather trivial) costs if a case is lost. This leads to almost no litigation in privacy cases, even if costs are low”

Max Schrems

O RGPD, no artigo 80, introduziu a possibilidade de serem criadas ONGs (organizações não-governamentais) ou associações sem fins lucrativos, que sejam devidamente constituídas ao abrigo do direito de um Estado-Membro representativas dos titulares dos dados que podem apresentar queixa em nome dos lesados por violações de dados. Mais, os Estados-Membros podem prever que essas organizações possam nesse Estado-Membro, apresentar uma reclamação à autoridade de controlo competente caso considerem que os direitos dos titulares foram violados em virtude do tratamento, e isto, independentemente de um mandato conferido pelo titular dos dados.

A Dra. Cristina Pimenta Coelho, no livro “Comentário ao Regulamento Geral de Proteção de Dados”, interpreta o artigo 80 referindo que “um lugar paralelo que podemos encontrar no ordenamento jurídico interno é o das associações sindicais que, de acordo com o artigo 56.° da Constituição da República Portuguesa “representam”, ou melhor, defendem por “direito próprio” os direitos e interesses, individuais ou coletivos, dos trabalhadores, não sendo meras representantes ou mandatárias dos trabalhadores.”

É impossível referir o artigo 80 sem mencionar as queixas da Noyb e da “La Quadrature du Net” à CNIL (autoridade para a proteção de dados de França) que fundamentaram a coima de 50 milhões de euros à Google.

Continue reading “Na senda do artigo 80 do RGPD”

Um caso de coima relativa ao artigo 14 do RGPD

Poderá o princípio da proporcionalidade ser um pretexto para a arbitrariedade?

Que argumentação, que justificações, que perguntas são razoáveis para testar o princípio da proporcionalidade? E, sobretudo, que método utilizar para testar o princípio da proporcionalidade?

A autoridade polaca para a proteção de dados pessoais (UODO), aplicou uma coima (comunicado da UODO aqui) que suscita uma questão interessante sobre a aplicação do princípio da proporcionalidade no que respeita ao direito de o titular dos dados ser informado quando os seus dados pessoais não são recolhidos junto de si. Tivesse a UODO explicado de forma completa a fundamentação da coima, poderíamos ter um caso de estudo, assim, teremos que aguardar pela decisão do tribunal. De qualquer forma importa reter as linhas vermelhas traçadas pela UODO.

Continue reading “Um caso de coima relativa ao artigo 14 do RGPD”

O erro mais frequente em 2018

Evitemos os erros de 2018, façamos melhor em 2019. Os guias e as compilações de melhores práticas não têm evitado uma falha quase que generalizada no registo das atividades de tratamento de dados imposto pelo RGPD. Esperemos que 2019 traga melhores registos.

Creio que o motivo da falha recorrente no registo das atividades de tratamento de dados pessoais (RATDP) reside no facto de se confundir a orientação dada pelo artigo 30º do RGPD (registo das atividades de tratamento) com o que é mais correto do ponto de vista operacional e o que é mais indicado para apresentação a uma autoridade de controlo, CNPD ou outra qualquer. Isto é, pede-se mais que uma leitura estritamente jurídica, exige-se um entendimento mais operacional e de gestão.

Antes de desenvolver esta ideia, importa salientar a relevância do RATDP para se ter uma correta perceção do impacto deste erro. O deficiente registo das atividades de tratamento de dados pessoais é, não só frequente, como compromete de forma muito significativa todo o esforço de conformidade RGPD.

Atendamos a que:

  • O RATDP é a trave mestre da conformidade RGPD, é onde o DPO concentra a maior parte do seu esforço
  • O RATDP é o ponto de referência da administração da organização responsável pelo tratamento dos dados
  • O RATDP é o ponto de entrada utilizado pela entidade de controlo (CNPD)

Em termos de auditoria a constatação de um RATDP deficientemente organizado não corresponde de forma linear a um parecer adverso ou negativo (declaração expressa de não demonstração de conformidade), ou a um parecer de abstenção de opinião (impossibilidade do auditor obter todas as evidências comprobatórias), ou a um parecer com ressalvas (adoção de procedimentos não considerados adequados ou geralmente aceites nas circunstâncias). É um facto que o cumprimento do artigo 30º, de forma estrita, permite, à partida, passar a avaliação inicial do RATDP, mas o aprofundamento do tema da conformidade com essa base é operacionalmente deficiente e não facilita o trabalho da atividade de controlo. Um RATDP deficiente não impossibilita a conformidade, mas é um mau começo e, na prática, indicia uma conformidade insuficiente.

Comecemos por identificar o erro para depois expormos a forma correta de realizar o RATDP.

Continue reading “O erro mais frequente em 2018”