RGPD com decência e decoro

Qual a questão que neste momento é mais relevante para a conformidade RGPD? Sem dúvida que o tema DPO tem toda a centralidade, mas ao verificar um largo debate acerca da independência do DPO interrogo-me se neste momento não é muito mais relevante analisar a problemática da competência do DPO.

Tenho enorme curiosidade sobre qual será a coima aplicada pelas autoridades de controlo sobre infrações relativas à falta de competência dos encarregados de proteção de dados. Sobretudo, quando constatamos numerosos casos em que organizações, dos mais diversos tipos e dimensões, nomeiam DPOs que não correspondem minimamente às competências exigidas por lei.

Face ao que julgo ser uma prática muito frequente de nomear DPOs sem as necessárias competências, julgo que é de estranhar a inexistência de uma única coima sobre esta questão. Sobretudo, porque é uma realidade de fácil verificação.

Tenho acompanhado o interesse que os membros da IAPP têm dedicado ao Webinar, “The Role of the DPO One Year Into the GDPR” e do artigo “The DPO must be independent, but how?” de Dyann Heward-Mills (CIPP/E, CIPP/US, CIPM) que pode ser visto aqui.

Percebo a importância em frisar que a coima associada a não se nomear um DPO quando existe essa obrigação pode ascender a 10 milhões de euros ou 2% da receita anual global, conforme o mais elevado.

Percebo a necessidade de sublinhar que o DPO tem autonomia técnica, não recebendo instruções relativas ao exercício das suas funções e que nunca é demais enfatizar a importância da estabilidade do vínculo contratual do DPO para que possa aconselhar e fiscalizar de forma livre e adequada.

Não é de estranhar que neste novo paradigma de proteção de dados de autorregulação (em que saímos de uma situação de hétero regulação) o DPO seja a principal fonte de conformidade e que o debate sobre proteção de dados recaia sobretudo sobre as funções do DPO e a forma de exercício dessa atividade.

Não me custa a perceber que as coimas relativas ao DPO não surjam no mapa dos casos mais notáveis.

Mas já me custa perceber que não haja notícia de uma única coima relativa à nomeação de DPO que não tenha respeitado os requisitos legais, até porque há numerosos casos e não é possível esconder essa realidade.

O que me custa a perceber é a pouca importância que tem vindo a ser dada à questão da competência do DPO quando este parece-me ser o problema que, na atualidade, mais atinge a conformidade com o RGPD.

Mas tenho esperança que a questão da competência do DPO venha, no curto prazo, a adquirir uma nova relevância e que as nomeações de DPOs venham a ter um mínimo de decência, um mínimo de decoro.

A criação da Federação Europeia de DPO’s (EFDPO) pode vir a contribuir neste sentido.

Mas, coloco especial esperança no II Encontro Nacional dos Profissionais de Proteção e Segurança de dados (aqui) e designadamente no painel subordinado ao tema “O DPO do Século XXI”.

Cabe-nos, como profissionais da Proteção de Dados, dignificar a profissão e contribuir para que, no mínimo, a lei seja respeitada. O que se passa atualmente é chocante e alguma coisa tem que ser feita.

Apela-se a um mínimo de decência e decoro.

Relatório de Atividades da CNPD

No conjunto de 2017 e 2018, CNPD entrega ao Estado quase 2 milhões de euros.

A CNPD apresentou, recentemente, o Relatório de Atividades do biénio 2017-2018 que evidencia uma atividade notável em 2018 se atendermos a que foi penalizada com mais de 7 milhões de euros de cativações e obrigada a uma aflitiva ausência de investimentos. Com uma despesa anual em 2018 de 1,7 milhões de euros e receitas de 2,4 milhões de euros a CNPD compromete o seu desempenho para se constituir fonte de receitas para o Estado. Pura e simplesmente lamentável!

É com uma palavra de apreço que assistimos à prestação de contas que a CNPD fez da sua atividade durante o período 2017-2018 que pode ser consultada aqui.

É um relatório com muito conteúdo que descreve com o detalhe adequado as diversas atividades realizadas ao longo destes 2 anos e que estão agrupadas pelas seguintes rubricas: atividade decisória e processual, atividade consultiva e orientadora, atividade fiscalizadora e sancionatória, atividade de sensibilização pública, atividade internacional, atividade de gestão interna (desafios e gestão).

Atividade consultiva e orientadora

O relatório informa que a CNPD, no final de 2018, tinha 20 trabalhadores, 6 vogais e 1 presidente, totalizado 27 colaboradores, dos quais 67% com um nível de escolaridade igual ou superior à licenciatura.

Refere o Relatório que só no primeiro mês a seguir à aplicação do RGPG, a CNPD teve mais de 1.500 solicitações, sobretudo por correio eletrónico e por telefone, o que obviamente representou um enorme esforço para a instituição.

Continue reading “Relatório de Atividades da CNPD”

ICO: – “RGPD numa fase critica”

Qual a principal fonte de inconformidade RGPD?

Quer o caso da violação de dados do Yahoo, quer o caso do Facebook, demonstram bem falhas organizativas que sustentam a tese da presidente da ICO.

Segundo a ICO estamos a entrar numa fase critica de afirmação do RGPD que requer um novo foco na proteção holística de dados, incorporando uma sólida governança dos dados pessoais em todos os processos da atividade da organização.

No passado dia 8 de Abril, Elizabeth Denham, presidente da ICO (a autoridade para a proteção de dados pessoais do Reino Unido) na conferência Data Protection Practitioners 2019 (aqui) afirmou, perante mais de 800 pessoas, a absoluta necessidade de considerar adequadamente o principio da accountability (responsabilidade ou responsabilidade demonstrada).

We find ourselves at a critical stage. For me, the crucial, crucial change the law brought was around accountability. Accountability encapsulates everything the GDPR is about.”

Elizabeth Denham, Information Commissioner (ICO)

Este é, de resto, um tema recorrente deste blog como se pode ver aqui, aqui e aqui, entre outros.

Mas qual a relação da afirmação de Elizabeth Denham com os casos do Yahoo e do Facebook?

Continue reading “ICO: – “RGPD numa fase critica””

A Bandalheira é para continuar

O Relatório Anual da EDPS publicado a 26 Fevereiro 2019 apresenta um supervisor ativo que demonstra competência e trabalho realizado.

Quer o Relatório anual da EDPS (aqui)  quer o podcast da EDPS (aqui) evidenciam uma grande valorização do princípio da accountability o que devia ser tomado pelo poder político português como um exemplo para as instituições publicas portuguesas.

No país dos “donos disto tudo”, dos Isaltinos, dos Sócrates, dos Tomás Correias/Montepios/apoiado-pelas-melhores-elites, da endogamia do governo, todos sabemos que a falta de transparência e a falta de accountability não são penalizadas na opinião publica e nas eleições pelo que o poder político pouco se preocupa com tal.

 E, portanto, o que é de esperar é que o legislador português não siga os bons exemplos europeus, designadamente da EDPS levando avante o seu plano de desresponsabilização das instituições publicas portuguesas através da isenção de coimas por não conformidade com o RGPD. Pelo menos, é essa a “narrativa”  posta a circular nos últimos meses e de que é, o mais recente exemplo, a noticia do jornal publico (aqui). Ao que parece, o teste da opinião publica está a ser superado com sucesso, o que levará os políticos a consolidarem o atual sistema de gestão desresponsabilizada. Uma gestão da coisa publica que permita o aproveitamento das instituições publicas para fins privados com total desrespeito pelo cidadão.

Não será uma notícia de última hora ou de última década, mas a notícia é que a “bandalheira” à portuguesa é para continuar.

Qual a organização publica portuguesa que inclui no seu relatório anual de atividade os KPIs? Qual o gestor publico que faz esse exercício de prestação de contas? Que poder politico obriga à prestação de contas?

O exemplo da EDPS de dar visibilidade dos KPIs que abaixo se ilustra devia servir de referência para as organizações publicas portuguesas. Isto é cultura de accountability.

É neste contexto de inutilidade pratica para Portugal, mas de manifesto interesse pedagógico que se recomenda a leitura dos capítulos 4.4.2 Reinforcing the accountability of EU institutions e 4.4.3 Accountability in IT do referido relatório onde entre outros aspetos se refere o seguinte.

Continue reading “A Bandalheira é para continuar”

As toupeiras

A segurança da informação está no topo das preocupações dos CEOs. Em Portugal a preocupação será menor porque, somos um país de otimistas. E, como todos muito bem sabemos, a gestão de risco, em Portugal, pauta-se pelos otimismos e pessimismos.

Em Portugal sucedem-se os casos de toupeiras. São as toupeiras do Benfica, do Departamento de Investigação e Acção Penal (DIAP), da Inspeção Geral de Finanças (aqui) e agora, ao que parece, poderá haver mais um caso de toupeiras na Câmara Municipal de Ovar.

Até no caso da Sociedade de Advogados PLMJ, em que foi tornado publico mais de 4GB de informação, há dúvidas sobre a participação interna. Há uma linha de investigação sobre um eventual apoio de pessoas que conheciam o sistema de informação da PLMJ (aqui). Há, assim, a suspeita de que o ataque à PLMJ tenha resultado de uma ação combinada, com uma atuação externa mas, conjugada com outra interna.

Certo é dizer-se que a maior ameaça é a interna e, mais especificamente, a que está por detrás de um teclado. Sobretudo através dos dispositivos pessoais, designadamente computadores portáteis e telemóveis (aqui) que são alvos fáceis de malware e que, de forma geral, beneficiam de ligações às redes das organizações como se fossem dispositivos internos.

Os especialistas de segurança de informação lá vão alertando para o facto de que a maior ameaça à segurança ter origem interna e que as toupeiras são uma praga com tendência a alastrar-se. Mas, no tradicional clima de irresponsabilidade generalizada que em português suave se designa, por vezes, de otimismo, os alertas não passam de pessimismo e alarmismo. É a gestão de risco que temos.

O mais engraçado é que muitas vezes consegue-se falar dos efeitos das toupeiras calando o tema das toupeiras. O acesso aos dados da Câmara de Ovar é um desses casos que parece ser obra de toupeira, mas que dificilmente será comentado na perspetiva da segurança da informação e das ameaças internas.

O caso que chamo ser da Câmara de Ovar é colocado na imprensa como sendo o caso do Lexus LS500h (setenta e muitos mil euros de carro) do presidente da Câmara de Ovar, Vice do PSD, Salvador Malheiro.

Continue reading “As toupeiras”

BIA – Business Impact Analysis

A análise do impacto é um processo central para a definição do risco, para a definição das prioridades, para as medidas de mitigação do risco, para os planos de DRP (Disaster and Recovery Plans) e para os BCP (Business Continuity Plans).

O profissional de proteção de dados não pode limitar-se às Avaliações de Impacto sobre Proteção de Dados. Pelo menos, no que respeita à segurança da informação, tem que lidar com o conceito mais alargado de BIA – Business Impact Analysis, isto é, com a análise de impacto que não diz diretamente respeito à proteção de dados. Mas, o planeamento e gestão da comunicação associados à resposta a uma violação de dados também pode beneficiar de uma análise de impacto.

As BlAs são usadas para avaliar os processos críticos (e as soluções informáticas que os apoiam) e são a base para determinar prazos, prioridades, recursos e interdependências. As auditorias à Proteção de Dados não podem deixar de proceder a uma adequada avaliação dos BIAs, concretamente os que dizem respeito à segurança da informação em geral e, em particular, os que se referem aos planos de disaster-recovey e aos planos de continuidade de negócios.

O auditor de proteção de dados tem que saber quais as questões fundamentais a considerar na elaboração de um BIA e procurar evidências de que um determinado BIA foi conduzido de forma apropriada.

Os incidentes e as crises têm uma natureza dinâmica. Alteram-se ao longo do tempo e conforme as circunstâncias, evoluindo, por vezes, de forma rápida e imprevisível. Também por isso, a sua gestão deve ser dinâmica, proativa e bem documentada.  

Este caracter dinâmico dos incidentes e das crises dificultam a utilização de soluções padronizadas pelo que deve ser colocado um grande esforço no método e nos instrumentos dessa metodologia. A BIA é um desses instrumentos.

Uma BIA criteriosa e rigorosa é um elemento crucial para toda a Gestão de Incidentes e Resposta a Incidentes, nas suas diversas fases: Planeamento e preparação; Deteção; Inicio; Registo/documentação (Recording); Avaliação; Contenção (limitar o alcance do incidente); Erradicação; Escalada; Resposta; Restauração; Fecho; Reporting; Revisão pós-incidente; Lições aprendidas. Mas, também é importante, que a Gestão de Incidentes e a Resposta aos Incidentes gerem informação e alimentem a base de conhecimento que melhor de forma continua as BIAs.

Todas estas fases, para serem devidamente executadas, pressupõem trabalho prévio e orientações claras por parte da organização. Um correto planeamento e preparação deve permitir que o incidente encaixe nas classificações estabelecidas e que por essa via seja fácil responder a perguntas como “Quem resolve?”, “Qual o impacto e urgência”? “Qual a prioridade”? “Quais os SLAs?”, “Quais os protocolos, quais os procedimentos a usar?”.

Para cada tipo de incidente (que pode agrupar ameaças, vulnerabilidades e riscos) teremos que realizar uma BIA especifica que poderá ter fases de resposta a incidentes próprias ou genéricas.

Continue reading “BIA – Business Impact Analysis”

Simplificar a avaliação de risco das PMEs

As pequenas e médias organizações nem sempre precisam de ferramentas sofisticadas para realizarem uma adequada avaliação de riscos. Tudo o que precisam é de um Excel, bons catálogos de vulnerabilidades e ameaças e uma boa metodologia de avaliação de risco que sobreleve a accountability.

O problema das soluções mais complexas é que, geralmente, exigem muito mais tempo, esforço e dinheiro. É preciso que esse adicional seja compensador.

Compreenda-se que simplificar não é diminuir. A avaliação de risco e a gestão do risco são a base quer da proteção de dados quer da segurança da informação / ISO 27001, mas isso não significa que a gestão do risco tenha que ser complexa e complicada. Nem sempre a utilização de uma aplicação de gestão de risco é a melhor solução. Em alguns casos, pode realizar-se uma avaliação do risco de forma simples, com a vantagem adicional de facilitar a compreensão e, por essa via, contribuir para uma maior adesão das pessoas envolvidas.

Não esquecer o objetivo

O propósito da avaliação de risco é identificar o risco e descobrir que controles são necessários para mitigar o risco. O processo de tratamento de risco consiste na seleção dos controles. Na ISO 27001 os controlos são escolhidos a partir do Anexo A que especifica 114 controles. Para a Proteção de Dados podemos recorrer aos controlos resultantes da BS 10012:2017.

Entenda-se que uma vulnerabilidade é uma debilidade num ativo, processo, controle, etc., que pode ser explorada por uma ameaça. Uma ameaça é qualquer ação que possa causar danos a um sistema ou organização. Um exemplo de vulnerabilidade é a não utilização de software antivírus; a respetiva ameaça consiste na existência de vírus.

A imagem em baixo (aqui) ilustra uma pratica orientada pela avaliação de risco, tal como recomendada pelo RGPD.

O processo é simples

Sigam-se os seguintes passos:

Continue reading “Simplificar a avaliação de risco das PMEs”

O Dia da Proteção de Dados

Na próxima segunda-feira, dia 28 Janeiro, celebra-se o Dia da Proteção de Dados. Observemos com atenção o que vai acontecer no próximo dia 28.

Deixem-me adivinhar. O próximo dia 28 vai ser o dia dos coletes amarelos da Proteção de Dados, não se vai passar nada. No próximo dia 28 vai haver uma “happy hour” com uma dúzia de profissionais da Proteção de Dados, quase todos membros da IAPP, reunidos a celebrar o Dia da Proteção de Dados. E sobre a evocação da data ficaremos conversados.

Mas, sejamos otimistas, aguardemos, pode ser que a comunicação social, a Assembleia da República, o Governo ou a CNPD nos surpreendam.

Façamos o que podermos para a data não passar em branco. O assunto é sério e merece a melhor atenção, sensibilizemos a sociedade portuguesa para a questão da Proteção de Dados.

Desde que a tecnologia começou a interferir com a sociedade e com os direitos humanos que o problema da Proteção de Dados não pára de se agudizar e as reações ficam sempre aquém do desejável. Em todo o mundo sucedem-se os casos alarmantes e Portugal não é exceção, antes pelo contrário, com a agravante do governo e a assembleia da república tentarem ignorar a realidade.

A realidade é que “Never before has the threat of intrusion to people’s privacy been such a risk. It is no wonder that the public now ranks protecting personal information as the third most important social concern.” – Richard Thomas, former UK Information Commissioner.

O site Stay Safe Online (aqui) é um excelente exemplo de sensibilização para o Dia da Proteção de Dados, mas para a escala portuguesa sugiro 5 pontos do que pode ser a sensibilização para o Dia da Proteção de Dados. Obviamente, cada um, que elenque as questões que, pessoalmente, entende serem as prioritárias.

Continue reading “O Dia da Proteção de Dados”

O caso PLMJ

Que tal a Ordem dos advogados recomendar que as sociedades de advogados sejam assistidas por um Conselho Consultivo de Segurança da Informação?

A Ordem dos Advogados manifestou o maior repúdio e considerou absolutamente inaceitável o ataque informático de que foi alvo a sociedade de advogados PLMJ. A Ordem “esqueceu-se” de comentar as obrigações que as sociedades de advogados têm no que respeita à segurança da informação. É fácil concordar que o hacker é o vilão da história, mas será que a PLMJ pode demonstrar que não é o segundo vilão?

A noticia da violação de dados ocorrida na sociedade de advogados PLMJ foi amplamente referida nos meios de comunicação social e pode ser lida, entre outros locais, aqui.

A Ordem dos Advogados, em comunicado assinado pelo bastonário, afirma que “uma advocacia sem medo e sem que os cidadãos tenham medo de a ela recorrer é essencial para a vida em democracia e para a proteção dos direitos de todos, pelo que procurar condicioná-la, seja de que forma for, tem de merecer, da sociedade, o maior repúdio e censura. Trata-se de um inaceitável atentado ao Estado de Direito e de um atentado de que todos, advogados e não só, são vítimas e em que todos estão na mira”.

Não se vê no comunicado da Ordem dos Advogados, nenhuma referência a algum código de conduta ou práticas de segurança da informação que obriguem, em particular, as sociedades de advogados. É bem claro que o vilão da história é o hacker, que ao que se diz é o mesmo do caso emails do Benfica, mas poderá haver um segundo vilão. Quem não protege a informação que lhe está confiada é, também, um vilão. É um vilão de outro teor, mas um vilão.

Parece evidente que uma sociedade de advogados que não dê prioridade à segurança das informações dos clientes e à defesa dos seus interesses e direitos constitui-se no segundo vilão da história. Dar prioridade significa, desde logo, afetar meios humanos, tecnológicos e, portanto, financeiros a esse objetivo. Essa prioridade tem que ser demonstrada, a sociedade de advogados tem que respeitar o princípio da accountability, tem que ser capaz de demonstrar responsabilidade. E se não for capaz de demonstrar responsabilidade, a meu ver, constitui-se como o segundo vilão da história. A Ordem dos Advogados deve dar indicações precisas de como essa demonstração de responsabilidade deve ser realizada, até porque, a natureza da informação à guarda de uma sociedade de advogados pode ser de máxima confidencialidade.

É óbvio que as sociedades de advogados não devem nem podem vir para a praça publica divulgar as medidas de segurança que as protegem, mas certamente que podem ser certificadas ISO 27001 e/ou terem um Conselho Consultivo para a Segurança da Informação recheado com nomes sonantes. Qualquer uma destas práticas, só por si, daria uma imagem publica de demonstração de responsabilidade.

Mas para o caso de sociedades de advogados do tipo da PLMJ, o que se recomenda é a aplicação conjunta das duas mediadas, Certificação ISO 27001 e Conselho Consultivo para a Segurança da Informação.

Lamentável é que a Ordem dos Advogados não vincule as sociedades de advogados a determinadas práticas que consagrem a demonstração de responsabilidade.

É evidente o papel da certificação ISO 27001 na demonstração da responsabilidade, mas já não é tão óbvio o papel de um Conselho Consultivo para a Segurança da Informação, ainda que em meu entender, o Conselho Consultivo possa ser um instrumento prático de muito maior alcance e eficiência que a certificação ISO 27001.

Então mas o DPO, o encarregado de proteção de dados (EPD), não é suficiente?

Note-se que não estamos a referir a necessidade de um Conselho Consultivo para a proteção de dados pessoais (ou privacidade) como por exemplo o da seguradora AXA (aqui) porque há vastas competências nessa área dentro de uma sociedade de advogados como a PLMJ. O que se alerta é para o problema da segurança da informação e a necessidade de um respetivo Conselho Consultivo, numa área que não é da especialidade de uma sociedade de advogados.

Vejamos a adequabilidade, vantagens e desvantagens do Conselho Consultivo para a Segurança da Informação como forma de proteção e de demonstração da responsabilidade. Neste sentido, comecemos por caracterizar a natureza de um Conselho Consultivo.

Continue reading “O caso PLMJ”

It´s the management, stupid

A distorção de valores compromete a harmonia do todo. Hipervalorizar ou diminuir qualquer das três dimensões da proteção de dados (jurídica, tecnológica e gestão) compromete seriamente o resultado final.

Ficou celebre o slogan “It’s the economy, stupid” utilizado por Bill Clinton na campanha presidencial de 1992, que pretendia sublinhar a importância da economia e o que isso significava em termos de emprego, segurança, poder de compra e qualidade de vida. Isto é, apelava ao voto prometendo uma mudança na economia.

Quando digo “It´s the management, stupid” é para enfatizar a importância da “gestão” que por vezes é indevidamente subvalorizada. Exemplifico essa subvalorização com um post do jurista Stewart Room no blog da PwC do UK (aqui) em que defende a tese de que tudo se resume à questão tecnológica. Nesse mesmo sentido, outro exemplo é o meu post (aqui) sobre  a tese de Woodrow Hartzog (Professor of Law and Computer Science) de que a tecnologia não é neutra e tudo se acaba por reduzir ao modelo de negócio e à tecnologia.

É bom lembrar que a Gestão é a área das ciências sociais e humanas que se dedica à administração de organizações visando fazer com que alcancem os seus objectivos de forma efectiva, eficaz e eficiente. Gestão é: Promover resultados, perseguir metas, resolver problemas, promover mudanças.

Parece um contra-senso, mas é um facto que muitos juristas tendem a sobrevalorizar a questão tecnológica. Vejamos a argumentação de Stewart Room.

Continue reading “It´s the management, stupid”

Accountability a quanto obrigas?

Todos sabemos que a Accountability é o melhor antídoto para coimas e indemnizações, mas qual o significado de Accountablity no contexto da proteção de dados?

Durante os últimos 40 anos a proteção de dados tem introduzido uma serie de conceitos inovadores como os códigos de conduta, privacy by design, privacy-enhancing technologies, binding corporate rules, standard contratual clauses, mas o conceito de accountability é, sem dúvida, dos mais significativos.

A raiz deste movimento pró accountability encontra-se no OCDE Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(1981) sendo um conceito que tem vindo a ser trabalhado revestindo-se de uma complexidade que dificulta uma definição linear.

Continue reading “Accountability a quanto obrigas?”

A accountability e as coimas


Há um enigma na sociedade portuguesa que consegue fazer indiferenciar a falha com responsabilidade demonstrada da falha proveniente da demonstrada irresponsabilidade.

Não podemos deixar que esta fuga épica à responsabilidade demonstrada (accountability), já consagrada no anedotário nacional, contamine a aplicação do RGPD. Bem bastam Entre-os-Rios, Pedrogão, Tancos e Borba, não precisamos contaminar o RGPD com este flagelo nacional.

O princípio da responsabilidade demonstrada de forma transversal e a nível nacional seria um enorme avanço civilizacional. Ainda que uma questão fraturante, traria enormes benefícios de produtividade, segurança, eficiência e eficácia. Mas, fiquemos pela accountability ao nível do RGPD.

A que se deve a desconsideração atribuída à accountability, inclusive por parte da própria Comissão Nacional de Proteção de Dados (CNPD) ? O RGPD não é suficientemente claro?

Antes de desenvolvermos o tema, mais que ter presente uma definição de accountability, importa ter presente qual o conceito que está na sua origem. A accountability é o controlo do poder e da autoridade.

A accountability é a resposta à preocupação de saber como manter o poder sob controle, como domesticá-lo, como evitar abusos, como submetê-lo a determinados procedimentos e regras de conduta. A accountability ganha centralidade porque expressa a preocupação contínua com a vigilância em relação ao exercício do poder e as consequentes restrições institucionais sobre o seu exercício.

Hoje em dia, o controlo do poder, no caso, o controlo da gestão das organizações não se limita a ver se foi cometida alguma ação inadequada, é também, ver as falhas por omissão.

Accoutability impõe que o poder se exerça de forma diligente, informada, racional e documentada. O que se procura combater é a falha por dolo, a corrupção, o erro grosseiro e a omissão descuidada. Cabe ao poder (à gestão) demonstrar que agiu de forma diligente, informada, racional e documentada num processo de “prestação de contas”.

Agora já podemos responder à pergunta se o RGPD é suficientemente claro no que respeita ao principio da accoutability. A resposta é afirmativa, a clareza do RGPD é cristalina e ninguém questiona a obrigação de se respeitar o princípio da accountability.

As alíneas b) e d) do n. 2 do artigo 83º do RGPD referem que as condições gerais para a aplicação de coimas devem considerar o carácter intencional ou negligente da infração e o grau de responsabilidade tendo em conta as medidas técnicas ou organizativas implementadas nos termos dos artigos 25º e 32º. O n. 3 do artigo 83 do RGPD limita e subordina estabelecendo que se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

Vejamos, então, 3 casos que ilustram a forma como a fuga ao princípio da responsabilidade é socialmente considerada.

Continue reading “A accountability e as coimas”