CNPD desaplica artigos da lei de execução do RGPD

Estamos habituados a que o Estado português atrapalhe tudo, confunda, condicione arbitrariamente, promova a discricionariedade sem critérios transparentes de racionalidade, pelo que é com satisfação que damos nota da deliberação Nº 494 /2019 da CNPD. A deliberação foi aprovada no dia 3 de Setembro e pode ser acedida aqui.

A CNPD teve o mérito de desfazer a confusão instalada com a entrada em vigor da Lei n.º 58/2019.

A CNPD deliberou:

  • Fixar o entendimento de que determinadas normas da Lei n.º 58/2019, de 8 de agosto são manifestamente incompatíveis com o direito da União;
  • Que, com fundamento no princípio do primado do direito da União Europeia, e nos demais argumentos expostos, desaplicará em casos futuros que venha a apreciar, relativos a tratamentos de dados e às condutas dos respetivos responsáveis ou subcontratantes, as seguintes disposições da Lei n.º 58/2019, de 8 de agosto:
        • Artigo 2.º, n.ºs 1 e 2
        • Artigo 20.º, n.º 1
        • Artigo 23.º
        • Artigo 28.º, n.º 3, alínea a)
        • Artigo 37.º, n.º 1, alíneas a), h) e k), e n.º 2
        • Artigo 38.º, n.º 1, alínea b), e n.º 2
        • Artigo 39.º, n.ºs 1 e 3
        • Artigo 61.º, n.º 2
        • Artigo 62.º, n.º 2

A CNPD esclarece que a não aplicação, em futuros casos concretos, das disposições legais acima listadas tem por consequência a aplicação direta das normas do RGPD que estavam a ser por aquelas manifestamente restringidas, contrariadas ou comprometidas no seu efeito útil.

A deliberação da CNPD justifica o facto desta deliberação ser pública pelo propósito de assegurar a transparência dos seus procedimentos decisórios futuros e nesta medida contribuir para a certeza e segurança jurídicas.

Ficamos gratos pelo contributo da CNPD para a desejável “certeza e segurança jurídicas”!

Nuvem de palavras da Deliberação 494 / 2019 da CNPD

RGPD com decência e decoro

Qual a questão que neste momento é mais relevante para a conformidade RGPD? Sem dúvida que o tema DPO tem toda a centralidade, mas ao verificar um largo debate acerca da independência do DPO interrogo-me se neste momento não é muito mais relevante analisar a problemática da competência do DPO.

Tenho enorme curiosidade sobre qual será a coima aplicada pelas autoridades de controlo sobre infrações relativas à falta de competência dos encarregados de proteção de dados. Sobretudo, quando constatamos numerosos casos em que organizações, dos mais diversos tipos e dimensões, nomeiam DPOs que não correspondem minimamente às competências exigidas por lei.

Face ao que julgo ser uma prática muito frequente de nomear DPOs sem as necessárias competências, julgo que é de estranhar a inexistência de uma única coima sobre esta questão. Sobretudo, porque é uma realidade de fácil verificação.

Tenho acompanhado o interesse que os membros da IAPP têm dedicado ao Webinar, “The Role of the DPO One Year Into the GDPR” e do artigo “The DPO must be independent, but how?” de Dyann Heward-Mills (CIPP/E, CIPP/US, CIPM) que pode ser visto aqui.

Percebo a importância em frisar que a coima associada a não se nomear um DPO quando existe essa obrigação pode ascender a 10 milhões de euros ou 2% da receita anual global, conforme o mais elevado.

Percebo a necessidade de sublinhar que o DPO tem autonomia técnica, não recebendo instruções relativas ao exercício das suas funções e que nunca é demais enfatizar a importância da estabilidade do vínculo contratual do DPO para que possa aconselhar e fiscalizar de forma livre e adequada.

Não é de estranhar que neste novo paradigma de proteção de dados de autorregulação (em que saímos de uma situação de hétero regulação) o DPO seja a principal fonte de conformidade e que o debate sobre proteção de dados recaia sobretudo sobre as funções do DPO e a forma de exercício dessa atividade.

Não me custa a perceber que as coimas relativas ao DPO não surjam no mapa dos casos mais notáveis.

Mas já me custa perceber que não haja notícia de uma única coima relativa à nomeação de DPO que não tenha respeitado os requisitos legais, até porque há numerosos casos e não é possível esconder essa realidade.

O que me custa a perceber é a pouca importância que tem vindo a ser dada à questão da competência do DPO quando este parece-me ser o problema que, na atualidade, mais atinge a conformidade com o RGPD.

Mas tenho esperança que a questão da competência do DPO venha, no curto prazo, a adquirir uma nova relevância e que as nomeações de DPOs venham a ter um mínimo de decência, um mínimo de decoro.

A criação da Federação Europeia de DPO’s (EFDPO) pode vir a contribuir neste sentido.

Mas, coloco especial esperança no II Encontro Nacional dos Profissionais de Proteção e Segurança de dados (aqui) e designadamente no painel subordinado ao tema “O DPO do Século XXI”.

Cabe-nos, como profissionais da Proteção de Dados, dignificar a profissão e contribuir para que, no mínimo, a lei seja respeitada. O que se passa atualmente é chocante e alguma coisa tem que ser feita.

Apela-se a um mínimo de decência e decoro.

As 3 personalidades do primeiro ano RGPD

Se a Europa seguisse o mesmo diapasão que Portugal nem haveria RGPD, mas ainda assim, é mais que justo colocar Filipa Calvão como uma das personalidades europeias mais relevantes do primeiro ano de aplicação do RGPD.

Na Conferência “Proteção de Dados Pessoais – Um Ano Depois, Para Onde Vamos?” realizada no ISCTE & Alumni Clube ISCTE, no passado dia 23 de Maio, tive a oportunidade de fazer uma intervenção que me pareceu dever incluir referências às pessoas que mais contribuíram para a afirmação do RGPD.

Para além de evidenciar os factos mais sintomáticos do ano passado e apontar algumas tendências para o futuro de curto prazo escolhi 3 personalidades que se destacaram na aplicação do RGPD. Não foi necessária uma grande reflexão para constatar o óbvio. Sem sombra de dúvidas as personalidades do primeiro ano de aplicação do RGPD são, por ordem crescente, Max Schrems (Ativista da proteção de dados), Giovanni Buttarelli (Supervisor da European Data Protection Supervisor – EDPS) e Filipa Calvão (Presidente CNPD).

Em baixo os slides da minha intervenção:

RGPD-3-anos-depois-1

A inconformidade dos “cookies walls”

O uso de cookies e a eventual obtenção do respetivo consentimento têm que seguir a Directiva ePrivacy e o RGPD.

A autoridade holandesa de controlo dos dados pessoais (DPA) clarificou (aqui) que os “cookies walls” são, em muitos casos, uma prática irregular que não respeita o RGPD.

O tema é controverso e em última instância irá caber ao Tribunal de Justiça da União Europeia dar clareza jurídica a esta questão. É de esperar alguma resistência a este entendimento da autoridade holandesa de controlo dos dados pessoais, não só porque a sua adequabilidade depende das condições particulares de cada caso, como o benefício obtido pela utilização dos cookies é demasiado importante para não merecer oposição.

Nem na diretiva 2002/58/CE (ou «ePrivacy Directive») do Parlamento Europeu e do Conselho de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, depois transposta para o ordenamento jurídico português através da Lei 41/2004 de 18 agosto e alterada pela Lei 46/2012 de 29 agosto, nem no RGPD conseguimos encontrar uma resposta simples para a questão. A única solução é acrescentar um pouco de ponderação aos princípios evocados pela lei e com sentido de proporcionalidade utilizar prudência e respeito pelo titular dos dados.

Para uma clara perceção das fronteiras da ePrivacy e o do RGDP consulte-se (aqui) o documento publicado este mês pela EDPB (European Data Protection Board – Conselho Europeu para a Proteção de Dados), intitulado “Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities”.

Recapitulemos o conceito de cookie e entendamos a que tipo de cookies se refere a DPA holandesa.

Continue reading “A inconformidade dos “cookies walls””

Será que a CNPD vai inspecionar a ASAE?

É razoável suspeitar que a ASAE cometeu uma grave violação de dados pessoais.

Será que a CNPD afirmou que a ASAE vai poder analisar quem financiou a greve dos enfermeiros? Ou será que a CNPD se limitou a dizer à plataforma PPL de crowdfunding que deveria dar acesso à ASAE aos dados pessoais constantes da sua plataforma?

No sítio da CNPD (aqui) pode ler-se que a CNPD entendeu que, de acordo com a legislação de proteção de dados pessoais, «nada obsta» à disponibilização à ASAE, «para a prossecução das atribuições e o estrito exercício das competências em que está legalmente investida», da informação por esta solicitada à detentora da plataforma de financiamento colaborativo PPL.

Ora isto são duas coisas totalmente diferentes. Uma coisa é dizer-se que a ASAE pode aceder aos dados na prossecução das suas atribuições e competências e outra coisa é dizer-se que a ASAE pode aceder aos dados pessoais para identificar quem financiou a greve dos enfermeiros para avaliação da licitude sobre o financiamento da greve.

É que pelo que tem sido dito as atribuições e competências da ASAE em matéria de financiamento colaborativo circunscrevem-se à prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo.

Clarifique-se que branqueamento de capitais é a transformação, por via de atividades criminosas que visam a dissimulação da origem ou do proprietário real dos fundos, dos proventos resultantes de atividades ilícitas, em capitais reutilizáveis nos termos da lei, dando-lhes uma aparência de legalidade.

Tal como se pode ver aqui, o processo de branqueamento engloba três fases distintas e sucessivas:

1 – Colocação: os bens e rendimentos são colocados nos circuitos financeiros e não financeiros;

2 – Circulação: os bens e rendimentos são objeto de múltiplas e repetidas operações, com o propósito de os distanciar da sua origem criminosa, apagando (branqueando) os vestígios da sua proveniência e propriedade;

3 – Integração: os bens e rendimentos, depois de reciclados, são reintroduzidos nos circuitos económicos legítimos (por exemplo, através da sua utilização na aquisição de bens e serviços).

Note-se que a polémica sobre o financiamento da greve dos enfermeiros não suscita nenhuma questão ao nível da colocação, circulação ou integração.  

Aqui a ASAE dá nota da sua autoridade para fiscalizar as plataformas de financiamento como a PLL afirmando que no âmbito das medidas de natureza preventiva e repressiva de combate ao branqueamento de capitais e do financiamento do terrorismo, decorrente da Lei n.º 83/2017 de 18 de agosto, as entidades gestoras de plataformas de financiamento, passam a ser entidades equiparadas a entidades obrigadas, sendo-lhe assim aplicado o referido regime, ainda que simplificado, conforme o art.º 5 deste diploma.

Ora a prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo nada tem a ver com o efetivo propósito da ASAE.

Podemos tentar acreditar na versão oficial expressa pelo inspetor-geral da ASAE, Pedro Gaspar, ao Expresso de que “as circunstâncias atuais precipitaram uma avaliação prévia às seis campanhas ativas, entre as quais a dos enfermeiros”, e que “não existiu qualquer indicação do Governo”. Portanto, estarão a ver as campanhas de financiamento com a finalidade da prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo, se bem que o deslize sobre “as circunstâncias atuais”, deixe perceber a verdadeira intenção política.

No meio da polémica, o PS defendeu no Parlamento uma mudança no regime do crowdfunding, criado em 2015 precisamente através de uma proposta sua, para que acabe o carácter anónimo das contribuições. Os socialistas querem assim saber, no futuro, quem financia, por exemplo, as greves que estão a paralisar diversos serviços hospitalares. Diga-se que a forma como as pessoas financiaram a greve dos enfermeiros não teve nada de anónimo. Todas as doações foram feitas através do sistema bancário e, portanto, totalmente identificadas.

E esta é a verdade objetiva, a finalidade da ASAE é saber quem financiou a greve dos enfermeiros no quadro de um confronto politico-sindical. Vejamos o que dizia a imprensa (aqui): “Qual é o objetivo da investigação? Validar todas as informações dadas pelos enfermeiros em greve quanto à origem dos fundos, averiguar quanto foi o dinheiro angariado e se há incompatibilidade nas doações”. Ora isto não é combate ao branqueamento de capitais e ao financiamento do terrorismo. Isto é tratamento de dados para fins políticos.

O mais grave é que todos sabíamos disso e a CNPD também. A CNPD poderá ter dado uma resposta correta à PPL, mas não alertou a ASAE para o facto de que o acesso aos dados para a finalidade pretendida não era lícito. É razoável pensar que a CNPD agiu de forma informada e consciente, fechando os olhos à provável violação de dados que a ASAE estava a preparar.  Se assim foi, é altamente criticável. Agora só resta saber se vai ser conivente com a ASAE ou se vai fiscalizar à posteriori. Na minha opinião a CNPD tinha informação suficiente para saber que a ASAE estava a preparar-se para uma finalidade ilícita e deveria ter atuado de forma preventiva. A CNPD devia ter evitado a provável violação de dados.

Assumindo que a ASAE fez um tratamento em larga escala de categorias especiais de dados, espera-se que tenha realizado a respectiva Avaliação de Impacto sobre Proteção de Dados (AIPED) e que tenha agido de forma proporcional. Seria muito positivo que a CNPD reconhecesse a razoabilidade da atuação da ASAE validando o referido AIPD.

É legitimo pensar se não teria feito sentido, a ASAE ter realizado uma consulta prévia à CNPD sobre a análise de impacto do tratamento de dados. Importa reter a seguinte passagem do GRUPO DE TRABALHO DO ARTIGO 29 WP 248 :

d) Existe uma obrigação de publicar a AIPD? Não, mas a publicação de um resumo pode fomentar a confiança, e a AIPD completa deve ser comunicada à autoridade de controlo em caso de consulta prévia ou se tal for solicitado pela autoridade de proteção de dados.
A publicação de uma AIPD não é um requisito jurídico do RGPD, essa decisão recai sobre o responsável pelo tratamento. Contudo, os responsáveis pelo tratamento devem considerar, pelo menos, a publicação parcial da AIPD, por exemplo, um resumo ou uma conclusão.
A finalidade dessa publicação parcial seria ajudar a fomentar a confiança nas operações de tratamento do responsável pelo tratamento e demonstrar responsabilidade e transparência. Considera-se uma boa prática publicar uma AIPD quando os membros do público são afetados pela operação de tratamento. Acontece em especial quando a AIPD é realizada por uma autoridade pública.

WP 248 – Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679

Péssimo será se não tivermos notícia de uma inspeção da CNPD à ASAE. É que estamos a falar de dados pessoais relacionados com sindicalismo e política, isto são mais que dados sensíveis, isto são categorias especiais de dados pessoais.

Mau já foi a CNPD não ter atuado preventivamente protegendo à priori os dados pessoais associados a uma luta politico-sindical.

Pior, foi não termos visto juristas ou a própria Ordem dos Advogados no espaço publico a clarificarem esta situação.

A lição aprendida é: Cuidado com “o longo braço” do Estado.

A questão do controlo

Quando as pessoas interagem no ciberespaço com tecnologias criadas para minar a sua privacidade é difícil dizer que cabe às pessoas controlar a sua privacidade.

Conheço uma única pessoa que não utiliza a aplicação WhatsApp porque não concordou com a política de privacidade. Pergunto-me, aliás, quantas pessoas usam e concordaram conscientemente com a política de privacidade da WhatsApp?

Não conheço uma única pessoa que utilize a aplicação Mobdro para ver televisão e tenha lido o aviso de privacidade. Não acredito que alguém na ânsia de ver um Porto-Benfica se dê ao cuidado de ler a política de privacidade.

Certo é que nem todas as aplicações suscitam a mesma necessidade de adesão que a Mobdro ou a WhatsApp, mas em muitos casos a funcionalidade pretendida pelo utilizador acaba por ser soberana e ditar uma aceitação menos consciente, ou menos livre, ou mais condicionada, da política de privacidade. De uma forma geral a alternativa de serviço pago versus serviço por contrapartida de utilização dos dados pessoais é uma opção razoável, mas muitas vezes essa opção não é disponibilizada ao utilizador da aplicação.

Em qualquer o caso, fica a pergunta se será humanamente possível ou concebível que alguém tenha lido todas as politicais de privacidade das aplicações que tem instaladas nos seus dispositivos eletrónicos.

A resposta parece evidente e é por isso que Woodrow Hartzog (WH) afirma que os ganhos em privacidade virão de melhores regras para as aplicações informáticas e não pelo dito “controlo” exercido pelos utilizadores. Contudo, o modelo de negócio predominante na Internet consiste em recolher o máximo de dados possível e vendê-los ou usá-los para alcançar ou persuadir os utilizadores. O valor dos dados pessoais leva a que a generalidade das empresas decida dar primazia às estratégias que maximizem a recolha de dados.

O ano passado postei (aqui) sobre a intervenção de Woodrow Hartzog no IAPP Europe Data Protection Congress, relativa à questão do controlo e agora que volto ao tema refiro que o vídeo dessa apresentação já está disponível no youtube (aqui). Ainda a este propósito, e porque se falamos de controlo de privacidade temos que ter ideias claras sobre privacidade importa ver um outro vídeo de WH que alerta para o facto de que a privacidade é uma palavra cada vez mais vazia de sentido que teima em resistir a considerar devidamente o conceito de obscuridade (obscurity) e que pode ser visto aqui.

Nesta objetiva dificuldade em defender o direito à privacidade fica a dúvida se, em termos práticos, o que vai sobressair do RGPD não será, sobretudo, a regulação da liberdade de circulação dos dados pessoais que é o que alimenta a economia do Big Data.

O considerando nº7 do RGPD refere que “Esta evolução [tecnológica e da globalização] exige um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas”. A segurança prática dos operadores económicos parece estar a ser conseguida, já a segurança prática das pessoas singulares parece não estar muito bem entregue a esse conceito de as pessoas ficarem responsáveis pelo controlo da sua privacidade. É que como referido anteriormente, não há condições para tal.

Note-se que a regulação da liberdade de circulação dos dados pessoais que é o que alimenta a economia do Big Data não é uma questão menor. É, de resto, tão grande que poderá por em risco a própria ideia de privacidade. A ideologia do Dataísmo que dá suporte à economia do Big Data transmite a ideia que num futuro mais ou menos próximo a privacidade será tida como uma anomalia.

A ideologia do Dataísmo apresentada inicialmente por David Brooks, em 2013, e desenvolvida posteriormente pelo historiador israelita Yuval Noah Harari considera a informação como o “valor supremo” que tenderá a esmagar a privacidade, até porque, o próprio utilizador optará sempre a favor da operacionalidade em detrimento da privacidade. E acrescento eu, que optará de forma descontrolada, deitando pelo chão qualquer esperança de que “as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais”.

Poderá encontrar uma boa síntese da ideologia do Dataísmo no artigo de António Covas no Observador (aqui).

Nesta perspetiva, a tendência será para o RGPD ser, sobretudo, o quadro jurídico para a economia do Big Data e uma salvaguarda contra o Estado-Big-Brother. No caso português parece que o legislador está apostado em desenvolver legislação no sentido de garantir que o RGPD não obstaculize o Estado-Big-Brother. Aguardemos pela legislação nacional para aplicação do RGPD, legislação que já tarde e há muito tempo.

A Bandalheira é para continuar

O Relatório Anual da EDPS publicado a 26 Fevereiro 2019 apresenta um supervisor ativo que demonstra competência e trabalho realizado.

Quer o Relatório anual da EDPS (aqui)  quer o podcast da EDPS (aqui) evidenciam uma grande valorização do princípio da accountability o que devia ser tomado pelo poder político português como um exemplo para as instituições publicas portuguesas.

No país dos “donos disto tudo”, dos Isaltinos, dos Sócrates, dos Tomás Correias/Montepios/apoiado-pelas-melhores-elites, da endogamia do governo, todos sabemos que a falta de transparência e a falta de accountability não são penalizadas na opinião publica e nas eleições pelo que o poder político pouco se preocupa com tal.

 E, portanto, o que é de esperar é que o legislador português não siga os bons exemplos europeus, designadamente da EDPS levando avante o seu plano de desresponsabilização das instituições publicas portuguesas através da isenção de coimas por não conformidade com o RGPD. Pelo menos, é essa a “narrativa”  posta a circular nos últimos meses e de que é, o mais recente exemplo, a noticia do jornal publico (aqui). Ao que parece, o teste da opinião publica está a ser superado com sucesso, o que levará os políticos a consolidarem o atual sistema de gestão desresponsabilizada. Uma gestão da coisa publica que permita o aproveitamento das instituições publicas para fins privados com total desrespeito pelo cidadão.

Não será uma notícia de última hora ou de última década, mas a notícia é que a “bandalheira” à portuguesa é para continuar.

Qual a organização publica portuguesa que inclui no seu relatório anual de atividade os KPIs? Qual o gestor publico que faz esse exercício de prestação de contas? Que poder politico obriga à prestação de contas?

O exemplo da EDPS de dar visibilidade dos KPIs que abaixo se ilustra devia servir de referência para as organizações publicas portuguesas. Isto é cultura de accountability.

É neste contexto de inutilidade pratica para Portugal, mas de manifesto interesse pedagógico que se recomenda a leitura dos capítulos 4.4.2 Reinforcing the accountability of EU institutions e 4.4.3 Accountability in IT do referido relatório onde entre outros aspetos se refere o seguinte.

Continue reading “A Bandalheira é para continuar”

Serão, mesmo, dados pessoais?

A definição de dados pessoais inscrita no RGPD é simples e clara, mas a prática suscita várias questões, vejamos uma dessas questões.

Para a ICO determinados dados tanto podem ser dados pessoais como não ser, dependendo da finalidade do tratamento. Parece confuso? Sim, é confuso, e até pode gerar extrapolações de alcance significativo. Recomenda-se uma interpretação prudente.

A ICO (aqui) começa por afirmar que determinados dados na posse de uma organização podem ser dados pessoais, mas, eventualmente, se estiverem na posse de outra organização já podem deixar de ser considerados como dados pessoais. A mesma informação em organizações diferentes adquire naturezas diferentes. E explica que a diferença resulta da finalidade com que as duas organizações tratam a mesma informação.

A ICO ilustra esta orientação dando o exemplo que se relata de seguida.

Um jornalista tira uma fotografia na praia para publicar num artigo de jornal sobre as elevadas temperaturas para a época. A fotografia mostra algumas pessoas na praia e dada a qualidade da mesma é possível identificar, reconhecer, algumas das pessoas na praia.

Considera-se que o jornalista não trata a fotografia para conservar informação sobre as pessoas fotografadas, ou analisar as pessoas, ou apreender/decidir algo acerca dessas pessoas. Acrescento eu, que para o jornalista/jornal a fotografia é de pessoas anónimas ou pelo menos razoavelmente anonimizadas.  

Uma das pessoas fotografadas na praia tinha metido, exatamente para esse dia, um dia de nojo por falecimento de um familiar.

Alguns colegas de trabalho viram a fotografia no jornal, digitalizaram e enviaram por email para o chefe do fotografado. A fotografia é adicionada ao ficheiro do colaborador dando início a um processo disciplinar.

Esta mesma fotografia, agora na posse do seu empregador, tem a finalidade de documentar o seu colaborador, acrescentando informação e contribuindo para decidir algo acerca dessa pessoa. Por esta razão a fotografia para o empregador passa a ter a natureza de dado pessoal. Acrescento eu, é informação sobre uma pessoa singular perfeitamente identificada.

Conclui a ICO: É necessário considerar cuidadosamente a finalidade para a qual a organização está a usar os dados para decidir se estão relacionados com um indivíduo. Ou seja, é a finalidade que revela uma das características fundamentais (“relacionado com”, ou “relativo a”) para a classificação da informação como sendo um dado pessoal.

Diga-se, em abono da verdade, que o exemplo da ICO parece razoável e convincente. Mas duvido que esteja bem fundamentado, ou pelo menos, que tenha elencado todas as características do caso que suscitam a sua aceitação pelo senso comum.

Sem mais interpretações, e seguindo a orientação da ICO podem colocar-se várias questões, vejamos as seguintes:

Continue reading “Serão, mesmo, dados pessoais?”

It´s the management, stupid

A distorção de valores compromete a harmonia do todo. Hipervalorizar ou diminuir qualquer das três dimensões da proteção de dados (jurídica, tecnológica e gestão) compromete seriamente o resultado final.

Ficou celebre o slogan “It’s the economy, stupid” utilizado por Bill Clinton na campanha presidencial de 1992, que pretendia sublinhar a importância da economia e o que isso significava em termos de emprego, segurança, poder de compra e qualidade de vida. Isto é, apelava ao voto prometendo uma mudança na economia.

Quando digo “It´s the management, stupid” é para enfatizar a importância da “gestão” que por vezes é indevidamente subvalorizada. Exemplifico essa subvalorização com um post do jurista Stewart Room no blog da PwC do UK (aqui) em que defende a tese de que tudo se resume à questão tecnológica. Nesse mesmo sentido, outro exemplo é o meu post (aqui) sobre  a tese de Woodrow Hartzog (Professor of Law and Computer Science) de que a tecnologia não é neutra e tudo se acaba por reduzir ao modelo de negócio e à tecnologia.

É bom lembrar que a Gestão é a área das ciências sociais e humanas que se dedica à administração de organizações visando fazer com que alcancem os seus objectivos de forma efectiva, eficaz e eficiente. Gestão é: Promover resultados, perseguir metas, resolver problemas, promover mudanças.

Parece um contra-senso, mas é um facto que muitos juristas tendem a sobrevalorizar a questão tecnológica. Vejamos a argumentação de Stewart Room.

Continue reading “It´s the management, stupid”

Why Privacy by design is everything?

Porque razão a definição de privacidade é uma questão tão controversa?

A comunicação de encerramento do IAPP Europe Data Protection Congress 2018 realizada por Woodrow Hartzog (Professor of Law and Computer Science at Northeastern University School of Law and the College of Computer and Information Science) teve o impacto de uma verdade inconveniente e deixou a audiência sem muita vontade de comentar. Até os comentários do site oficial da IAPP preferiam abordar os temas correntes e banais do enforcement e do brexit, omitindo o doloroso tema trazido por Woodrow Hartzog.

Agora que a visão europeia de proteção de dados parecia estar a definir-se como o padrão mundial, centrando-se no conceito de controlo do utilizador vem Hartzog lançar a dúvida e rasgar novos horizontes. Contudo, é meu entendimento que o RGPD está suficientemente bem concebido para suportar esta nova visão de “design is everything” sustentada por Hartzog. Não só porque o RGPD incorpora “Privacy by Design” (ainda que carecendo de densificação) como porque aponta para a via das certificações e códigos de conduta.

Na sua comunicação ao Congresso, Woodrow Hartzog evidenciou como a definição de proteção de dados pessoais está ligada à visão europeia assente no conceito de controlo.

Mas recapitulemos com a ajuda das “Breves notas sobre a ressignificação da privacidade” de Erick Peixoto e Marcos Júnior que pode ver na integra aqui.

Continue reading “Why Privacy by design is everything?”

A accountability e as coimas


Há um enigma na sociedade portuguesa que consegue fazer indiferenciar a falha com responsabilidade demonstrada da falha proveniente da demonstrada irresponsabilidade.

Não podemos deixar que esta fuga épica à responsabilidade demonstrada (accountability), já consagrada no anedotário nacional, contamine a aplicação do RGPD. Bem bastam Entre-os-Rios, Pedrogão, Tancos e Borba, não precisamos contaminar o RGPD com este flagelo nacional.

O princípio da responsabilidade demonstrada de forma transversal e a nível nacional seria um enorme avanço civilizacional. Ainda que uma questão fraturante, traria enormes benefícios de produtividade, segurança, eficiência e eficácia. Mas, fiquemos pela accountability ao nível do RGPD.

A que se deve a desconsideração atribuída à accountability, inclusive por parte da própria Comissão Nacional de Proteção de Dados (CNPD) ? O RGPD não é suficientemente claro?

Antes de desenvolvermos o tema, mais que ter presente uma definição de accountability, importa ter presente qual o conceito que está na sua origem. A accountability é o controlo do poder e da autoridade.

A accountability é a resposta à preocupação de saber como manter o poder sob controle, como domesticá-lo, como evitar abusos, como submetê-lo a determinados procedimentos e regras de conduta. A accountability ganha centralidade porque expressa a preocupação contínua com a vigilância em relação ao exercício do poder e as consequentes restrições institucionais sobre o seu exercício.

Hoje em dia, o controlo do poder, no caso, o controlo da gestão das organizações não se limita a ver se foi cometida alguma ação inadequada, é também, ver as falhas por omissão.

Accoutability impõe que o poder se exerça de forma diligente, informada, racional e documentada. O que se procura combater é a falha por dolo, a corrupção, o erro grosseiro e a omissão descuidada. Cabe ao poder (à gestão) demonstrar que agiu de forma diligente, informada, racional e documentada num processo de “prestação de contas”.

Agora já podemos responder à pergunta se o RGPD é suficientemente claro no que respeita ao principio da accoutability. A resposta é afirmativa, a clareza do RGPD é cristalina e ninguém questiona a obrigação de se respeitar o princípio da accountability.

As alíneas b) e d) do n. 2 do artigo 83º do RGPD referem que as condições gerais para a aplicação de coimas devem considerar o carácter intencional ou negligente da infração e o grau de responsabilidade tendo em conta as medidas técnicas ou organizativas implementadas nos termos dos artigos 25º e 32º. O n. 3 do artigo 83 do RGPD limita e subordina estabelecendo que se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

Vejamos, então, 3 casos que ilustram a forma como a fuga ao princípio da responsabilidade é socialmente considerada.

Continue reading “A accountability e as coimas”

Lei de dados à boleia da Web Summit

O caminho do sucesso das empresas e a possibilidade de se reorganizarem de modo frutífero não tem no RGPD uma barreira a transpor, mas antes um caminho de oportunidades a aproveitar.

Os temas da privacidade e proteção de dados surgem novamente em Portugal, desta vez através do imenso palco da Web Summit.

Na cimeira tecnológica, grandes figuras como Sir Tim Berners-Lee, o inventor da World WideWeb, salientaram a importância do tema, enaltecendo o direito à privacidade como um direito fundamental. Não deixa de ser extremamente importante que uma das maiores figuras da internet reconheça a relevância da privacidade, acrescentando ainda que o RGPD deveria servir para que mais países e gigantes tecnológicos pensassem sobre o assunto.

Em contra ciclo, o legislador português parece continuar alheado da manifesta urgência em aprovar a legislação nacional de concretização do RGPD, adiando sem justificação aparente um diploma normativo que há muito se aguarda, decorridos que estão mais de seis meses da aplicação plena do RGPD na ordem jurídica dos Estados Membros.

Continue reading “Lei de dados à boleia da Web Summit”