twitter

RGPD: Começaram as coimas?!

Depois da entrada em vigor do RGPD - Regulamento Europeu (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE –, em 25 de maio de 2018, a ideia que tem passado é a de que nenhuma entidade está a tomar medidas, a Comissão Nacional de Proteção de Dados – CNPD – não está a atuar e, portanto, nada há a temer ou a fazer. Numa fase em que muitas organizações ainda não se debruçaram sobre esta problemática, é importante saber-se que, um pouco por toda a Europa, existem ações das autoridades de controlo nacionais com vista à averiguação de eventuais não conformidades face ao RGPD. A mais recente “vítima” é a Google, multada em 50 milhões de euros pela CNIL, a autoridade de controlo francesa. Neste caso, estará em causa a discrepância entre a informação transmitida aos clientes e o tratamento que efetivamente é efetuado pela Google. Informação não transparente e insuficiente, bem como ausência de consentimento válido para o envio de publicidade personalizada, serão alguns dos motivos da aplicação desta coima. Já em meados de 2018, um Centro Ótico francês tinha sido multado em 250.000,00€ por falhas na proteção dos dados pessoais dos seus clientes no seu sítio na internet. Também na Holanda, a Microsoft está a ser investigada por violação do RGPD. Em Portugal, a CNPD está a atuar. A ideia que vai passando é a de que, pelo facto de não ter sido publicada legislação nacional sobre esta matéria, o RGPD não está a ser verificado pela autoridade de controlo ou que ainda não está em vigor. É uma ideia totalmente errada. A CNPD já recebeu mais de uma centena e meia de queixas, tendo notificado muitas organizações, pesando a possibilidade do pagamento de coimas. Aliás, há um caso muito divulgado: o Centro Hospitalar do Barreiro-Montijo foi sancionado com uma coima de €400.000,00 por violação do RGPD. O processo que levou à aplicação da coima não terá partido de uma denúncia, mas de uma notícia que a CNPD investigou. Este facto revela a sua proatividade; a autoridade de controlo não está apenas reativa a denúncias, como se poderia pensar, mas está a agir por iniciativa própria. O Centro hospitalar do Barreiro-Montijo, que vai recorrer desta decisão, terá violado 3 regras do RGPD: Um elevado número de utilizadores com acesso indiscriminado a dados pessoais; ausência de medidas que salvaguardem a integridade e confidencialidade dos dados pessoais; ausência de medidas técnicas suficientes para garantir a não violação de dados pessoais. Recentemente, uma entidade do setor social foi notificada para o pagamento de uma coima que representa 4% do seu volume de negócios de 2018 por falta de informação associada à utilização do circuito de vídeo vigilância. Neste espaço, tenho procurado alertar para várias situações: 1. O RGPD é uma mais-valia para as organizações, na medida em que permite que cada uma lance um olhar crítico sobre si e tome medidas que permitam, em última análise, melhorar o processo de organização e de trabalho e conduzir à maximização da eficácia e eficiência e, logo, dos Resultados; 2. Sendo um processo extenso, não é nada que seja impraticável e impossível de se fazer; 3. Não há razão para alarmismos, mas é importante tomar medidas. Todo o trabalho de implementação do RGPD realizado pela F3M tem permitido chegar à seguinte conclusão: o RGPD, mais do que um problema, é uma excelente oportunidade de melhoria para as organizações. Quer nas empresas, quer nas IPSS, e em todo o tipo de organizações que estão obrigadas a implementar o RGPD, os ganhos têm sido imensos: maior organização, maior rigor, processos mais simples, responsabilidades mais definidas… Por tudo isto, a implementação do RGPD não é um gasto, mas um investimento fundamental. Sem alarmismos, é fundamental que quem nada fez inicie o seu processo; quem está a fazer internamente procure auditar o estado da sua implementação por profissionais experientes e quem tem implementado possa realizar testes de conformidade regulares, para não se deixar cair nas armadilhas deste Regulamento.
Autor: Filipe Cruz
DM

DM

30 janeiro 2019