Proteção dos Dados Pessoais – Necessária ou excessiva?

No passado dia 28 de janeiro, celebrou-se o Dia da Proteção de Dados, assinalando-se nesta data a assinatura da Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares no que concerne o Tratamento Automatizado de Dados Pessoais (1981), sendo este o primeiro instrumento jurídico internacional sobre a proteção de dados pessoais.

Sem prejuízo de em 2023 se verificar uma melhoria considerável sobre a awareness da proteção de dados, muito por força dos efeitos do Regulamento Geral da Proteção de Dados1 e da Lei da Proteção de Dados Pessoais (2019), pretende-se ainda caminhar no sentido de alertar e consciencializar os cidadãos sobre os seus direitos relacionados com a privacidade, segurança e proteção de dados pessoais.

Na verdade, apesar da Constituição da República Portuguesa de 1976 ter sido a primeira a consagrar os direitos à privacidade e o direito à proteção de dados pessoais como direitos fundamentais, e apesar de grande parte dos cidadãos reconhecer a necessidade e importância da proteção de dados pessoais, no sentido de ser fundamental criar uma maior proteção perante as práticas abusivas nas recolhas excessivas de informação e dados pessoais e do seu acesso e tratamento, não deixam contudo de se fazer ouvir aqueles que consideram que a regulamentação da proteção de dados vai muito além do necessário e para além disso onera, dificulta e prejudica o bom funcionamento das empresas e organizações.

Temos assistido também às dificuldades publicamente comunicadas em relação ao cumprimento do Regulamento Geral da Proteção de Dados e Lei da Proteção de Dados Pessoais pelos municípios e outras entidades públicas, quer no que diz respeito à nomeação de Encarregados de Proteção de Dados, quer à divulgação ilícita de informação de dados pessoais e consequentes sanções aplicadas pela Comissão Nacional da Proteção de Dados.

De facto, muito se tem falado sobre as diversas formas de garantir o cumprimento do Regulamento Geral da Proteção de Dados e Lei da Proteção de Dados Pessoais, sendo que cremos muitas vezes que, genericamente, as empresas, municípios e outras entidades públicas sentem que o cumprimento das normas aplicáveis é extremamente complexo e dispendioso, o que muitas vezes não corresponde à verdade.

Muitas das situações que verificamos aquando da elaboração de Relatórios de Cumprimento do RGPD e LPDP e Relatórios de Medidas a Implementar (independentemente do tipo de dados objeto de proteção, virtuais ou físicos), resolvem-se através de medidas organizacionais, registo de atividades, métodos e procedimentos a implementar, códigos de conduta e controlo de meios, criação de políticas de gestão de ciclo de vida dos utilizadores dos dados e definição e perfis, documentação de políticas de segurança e ainda definição de sistemas de alerta de utilização indevida de dados, acompanhadas das medidas técnicas e informáticas necessárias, designadamente tipo de acessos, definição de políticas de gestão de palavras-passe seguras com requisitos para a sua composição, armazenamento, frequência na alteração da palavra-passe, análise e monotorização dos fluxos de  tráfego de rede, encriptação, segurança, backups, simulação de ataques informáticos, entre outros. 

Existem naturalmente casos, que por força da natureza sensível dos dados pessoais objeto de tratamento, exigem medidas de proteção mais apertadas, com relatórios de impacto e aplicação mais exigente dos princípios da não discriminação, minimização e finalidade e princípios de privacy by design e privacy by default, métodos de pseudonimização e anonimização dos dados, entre outros. 

No entanto, para a maioria das entidades, não será este o caso.

Cremos assim, que as medidas de proteção de dados a implementar devem ser as necessárias, adequadas e razoáveis para garantia do cumprimento das normas legais aplicáveis, não devendo o responsável pelo tratamento dos dados pessoais ser levado a crer que são necessários investimentos desmesurados e alterações físicas aos espaços de trabalho, muitas vezes incomportáveis tendo em conta a dimensão da empresa ou entidade em causa, sendo que a proteção de dados não deve tornar as empresas menos competitivas, nem obstar à prestação dos serviços municipais ou de quaisquer outras entidades públicas.

1 Regulamento 2016/679 do Parlamento Europeu e do Conselho, aplicável obrigatoriamente desde 25.05.2018

Proteção dos Dados Pessoais – Necessária ou excessiva?, por Joana Mata.