DEZ ETAPAS para a implementação do RGPD na Administração Pública

As dúvidas sobre o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril (vulgo RGPD), em aplicação plena desde 25 de maio de 2018 (embora já estivesse em vigor desde 2016), tem levado, sobretudo por falta de formação adequada dos responsáveis, a vários abusos na aplicação de alguns conceitos e à prática de atos contrários ao princípio da transparência que só favorecem a corrupção apesar de, obviamente, não ser esse o objetivo de quem comete a infração.

Veja-se, por exemplo, o caso da Câmara de Almada onde se pratica a supressão dos dados pessoais nos contratos celebrados por ajuste direto publicitados na Base.gov quando essa é uma ocorrência que pode mesmo ser considerada ilegal por limitar de forma absoluta o direito à informação.

Após ter frequentado uma ação de formação modelar certificada sobre o RGPD, deixo aqui o meu contributo sobre a matéria, esperando que possa vir a ser útil.

Tendo presente o conceito de “DADOS PESSOAIS” e de “TRATAMENTO” expressos no artigo 4.º do RGPD, os procedimentos considerados mais relevantes para lhe dar cumprimento (aplicáveis em qualquer entidade da Administração Pública, desde a origem da ação às práticas quotidianas a implementar) são os descritos, de forma resumida, nas dez etapas a seguir enunciadas, indicando-se em maiúsculas as palavras-chave para cada uma das fases.

Primeira etapa:

DESIGNAR um encarregado de proteção de dados (EPD) e assegurar condições para que desempenhe de forma independente as tarefas que lhe cabem. PUBLICITAR os contactos profissionais do EPD na página web da entidade e comunicá-los à Comissão Nacional de Proteção de Dados (CNPD).

Segunda etapa:

GARANTIR que o EPD não tem incompatibilidades para o exercício do cargo e que assinou a declaração de COMPROMISSO nos termos do Plano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas, em vigor.

Terceira etapa:

CONSTITUIR uma equipa multidisciplinar, coordenada pelo EPD, para prestar ASSESSORIA especializada e recolher a informação necessária junto das diversas unidades orgânicas.

Quarta etapa:

Dotar o pessoal que irá integrar a equipa de assessoria com os CONHECIMENTOS adequados ao desempenho dessa função incentivando a frequência regular de ações de FORMAÇÃO credenciadas e a realização de reuniões periódicas do grupo para DEBATE e troca de opiniões a nível interno e externo.

Quinta etapa:

Fazer o DIAGNÓSTICO da situação. IDENTIFICAR, por departamento, os dados pessoais objeto de tratamento e elaborar um mapa com os fluxos de INFORMAÇÃO (indicando a origem e destino dos dados). Este deve ser um levantamento prévio, completo e exaustivo que permita responder, nomeadamente, às seguintes questões básicas:

• Quem são os responsáveis pelo tratamento de dados pessoais na entidade?
• Quais são as categorias de dados pessoais objeto de tratamento?
• Que dados pessoais são passíveis de maior risco de tratamento?
• Porque se recolhem estes dados pessoais?
• Qual é a finalidade do tratamento?
• Onde se encontram arquivados os dados pessoais recolhidos?
• Até quando se conservam estes dados?
• Como minimizar os riscos de violação de dados?
• De que forma se garante a segurança dos dados recolhidos?

Sexta etapa:

AVALIAR a licitude da recolha e tratamento dos dados, bem assim como os RISCOS que possam existir no TRATAMENTO realizado.

Verificar se é necessário CONSENTIMENTO do titular e se este foi prestado conforme as exigências do RGPD (apurar se resultou da expressão de uma vontade livre, informada, explícita e inequívoca).

Sétima etapa:

PRIORIZAR todas as tarefas a desenvolver e estabelecer um CRONOGRAMA de ação. Depois de identificar o fundamento da LICITUDE atrás referido, especificar, em concreto, qual é a finalidade a que se destina a recolha e garantir que apenas são recolhidos e tratados os dados estritamente necessários para a finalidade identificada.

Oitava etapa:

ORGANIZAR os processos internos, detetar procedimentos incorretos e propor as alterações necessárias a remeter à Direção para decisão.

Preparar um MANUAL com instruções precisas sobre como fazer o acompanhamento e MONITORIZAÇÃO do cumprimento do RGPD, o qual deve conter, nomeadamente:

Normas de acesso diferenciado dos trabalhadores aos dados recolhidos e que garantam a respetiva confidencialidade em todas as fases de tratamento;

Esclarecimentos sobre a publicitação de dados pessoais ao nível, por exemplo, das obrigações decorrentes da contratação pública;

Um plano de contingência em caso de quebra de segurança que defina as medidas de eliminação dos riscos, procedimentos a adotar, notificação à entidade reguladora (CNPD) e informação aos titulares dos dados;

Definição dos mecanismos existentes para garantir o exercício dos direitos por parte dos titulares dos dados pessoais no caso de haver pedidos ou queixas;

Regras para anonimização das bases de dados e/ou apagamento de informação (dados pessoais) não necessária à missão da entidade.

Nona etapa:

Conjugando o disposto no Considerando n.º 16 da Diretiva (UE) 2016/680, do Parlamento Europeu e do Conselho, de 27 de abril, com o expresso no n.º 1 do artigo 6.º e no artigo 86.º do RGPD;

Sem esquecer:

O disposto no artigo 17.º (princípio da administração aberta) e as referências expressas à transparência enunciadas no n.º 1 do artigo 14.º (princípios aplicáveis à administração eletrónica) e no n.º 2 do artigo 201.º (procedimentos pré-contratuais) do Código do Procedimento Administrativo;

O regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos, expresso na Lei n.º 26/2016, de 22 de agosto;

E tendo presente os princípios do ARQUIVO ABERTO, elaborar um MANUAL que elenque as regras de ACESSO por terceiros (público em geral) à informação disponível (dados pessoais) existente, ao qual deve ser dada PUBLICIDADE na página web da entidade.

Décima etapa:

Recolher e arquivar as EVIDÊNCIAS do cumprimento do RGPD. Promover a realização de AUDITORIAS internas para verificações de conformidade. REGISTAR e DOCUMENTAR, com a periodicidade que venha a ser considerada adequada, os procedimentos adotados pela entidade em relação ao cumprimento do RGPD, através da elaboração de um RELATÓRIO que deve incluir, nomeadamente: o registo dos tratamentos efetuados, as avaliações de impacto realizadas, a identificação do tipo de dados tratados, a indicação dos fundamentos da licitude da recolha, a informação prestada aos titulares dos dados pessoais, as notificações enviadas à CNPD, etc.

Bibliografia aconselhada (além da legislação citada):

FAZENDEIRO, A. (2018). Regulamento Geral sobre Proteção de Dados. 2.ª Edição, Almedina. [Lisboa].

MAGALHÃES, F. M. e PEREIRA, M. L. (2018). Regulamento Geral sobre Proteção de Dados – Manual Prático. 2.ª Edição, Vida Económica. Porto.

Neves, A. F. (2017). Os dados pessoais do domínio público. Questões Atuais de Direito Local, pp. 7-21.

PEREIRA COUTINHO, F. e CASTRO MONIZ, Graça (coord.). Anuário da Proteção de Dados 2018. Lisboa, CEDIS, 2018.