Reforço da responsabilização dos responsáveis pelo tratamento de dados

AutorMarco Alexandre Saias
Páginas72-90

Page 72

Ver Nota12

Excertos

“Nos últimos anos o conceito de responsabilidade (accountability) afirmou-se como um dos alicerces fundamentais para que a proteção de dados fosse efetiva e eficiente”

“O conceito de responsabilidade engloba aquilo que a maioria dos supervisores espera que sejam as práticas responsáveis das organizações no âmbito das operações de tratamento de dados pessoais que tenham a seu cargo, mas o conceito de responsabilidade reflete igualmente aquilo que muitas legislações incorporaram no que respeita à necessidade de conformidade legal dessas mesmas organizações e das suas operações”

“A ideia central por detrás do conceito de responsabilidade é permitir que os responsáveis pelo tratamento não tenham apenas que cumprir com as regras estabelecidas e previstas na legislação, mas que sejam igualmente capazes de demonstrar a conformidade e como a responsabilidade é exercida”

“O regulamento impõe um conjunto de novos requisitos a serem incluídos em todos os contratos de tratamento de dados”

“O titular de dados que acredite que seus direitos foram violados tem o direito de requerer junto ao responsável pelo tratamento de dados a reparação da situação”

Page 73

1. As bananas (assim como que a título de introdução)

A bel, nome popular na literatura jurídica, deslocou-se como habitualmente ao supermercado para fazer algumas das compras para o lar. nesse dia, fatídico nas suas consequências, abel encontrou Bento (igualmente um nome popular na literatura jurídica) que lhe ofereceu descontos em bananas, apenas bastando para isso que o abel preenchesse um inquérito. abel, fascinado e bom apreciador de bananas, decidiu aceitar a proposta e lá preencheu o cupão, conseguindo cinco cêntimos de descontos nas bananas.

As bananas, e outros produtos cuja natureza, perecível ou não, é indiferente, estão no centro da reforma que a união europeia levou a cabo no que respeita ao regime relativo ao tratamento de dados pessoais e que culminou no regulamento (ue) 2016/679, do Parlamento europeu e do Conselho, de 27 de abril de 20163. Mas a questão para o leitor permanece no ar: o que tornou esse dia fatídico para abel?

Abel forneceu os seus dados pessoais a uma empresa e esses seus dados acabaram partilhados com outras empresas sem que abel tivesse conhecimento. abel não só começou a receber promoções relativamente a bananas, mas igualmente ofertas de casamento, de investimento e de outras naturezas.

O regulamento pretende criar mecanismos que fortaleçam os direitos fundamentais dos cidadãos, mas, simultaneamente procura facilitar os negócios, e, mais do que criar, reforça os princípios, as regras e as boas práticas já existentes de modo a concretizar esses objetivos.

Partindo de uma solução que é até estranha no quadro habitual da união europeia, o regulamento inverte o princípio regulatório, estabelecendo um quadro de maior liberdade para os agentes económicos enquanto procura definir de uma forma muito clara e concreta as regras do jogo. Porém, esse maior quadro de liberdade implica um maior grau de responsabilização dos responsáveis pelo tratamento de dados, sendo os quadros gerais desse reforço o objeto de análise das próximas páginas, de uma forma muito breve.

Page 74

2. Accountability / responsabilidade

Como já referimos, o regulamento traduz uma inversão do princípio regulatório, o que implicou um aprofundamento do princípio da responsabilidade4(accountability) o qual se afirma ao longo de todo o regulamento, estando presente em toda a sua dimensão como linha condutora no que respeita às obrigações dos responsáveis pelo tratamento e/ou dos subcontratantes, e que nos permitirá compreender de uma forma mais percetível quais os objetivos que o legislador pretendia alcançar.

Nos últimos anos o conceito de responsabilidade (accountability) afirmou-se como um dos alicerces fundamentais para que a proteção de dados fosse efetiva e eficiente, fixando-se igualmente como uma tendência dominante no contexto global da privacidade, nomeadamente ao nível de boas práticas organizacionais recomendadas.

Existem vários exemplos desta evolução e tendência, dos quais apontamos, nomeadamente, as orientações da oCDe, o privacy framework da aPeC e as orientações existentes em países como Canada, Hong Kong, singapura.

O conceito de responsabilidade engloba aquilo que a maioria dos supervisores espera que sejam as práticas responsáveis das organizações no âmbito das operações de tratamento de dados pessoais que tenham a seu cargo, mas o conceito de responsabilidade reflete igualmente aquilo que muitas legislações incorporaram no que respeita à necessidade de conformidade legal dessas mesmas organizações e das suas operações5.

Podemos identificar três modalidades de responsabilidade6:

A responsabilidade política (1), que pode ser descrita como sendo meramente declarativa/enunciativa, ou seja, o responsável pelo tratamento enuncia e compromete-se com um conjunto de práticas, quer junto aos titulares dos dados, quer junto a comunidade em geral. as políticas de privacidade dos websites são um exemplo.

Já a responsabilidade pelo procedimento (2) reflete a natureza e adequação das obrigações organizacionais que o responsável pelo tratamento deve implementar para assegurar e poder demonstrar

Page 75

que o tratamento é realizado em conformidade com o regulamento, e como tal, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos associados7.

Por último, a responsabilidade pela prática (3) considera diretamente a necessidade de o responsável pelo tratamento ser capaz de demonstrar a existência de ações concretas relativamente às operações de tratamento e quanto aos dados pessoais, sendo, consequentemente, uma responsabilidade mais ampla e intensa8.

No caso do regulamento, o princípio da responsabilidade é diretamente aplicável através do número 2 do artigo 5º, o qual exige que o responsável pelo tratamento cumpra com os princípios do regulamento9, mas igualmente pelo número 1 do artigo 24º.

Esta introdução reforçada no quadro do regulamento tem como base a opinião10e recomendação do grupo de trabalho do artigo 29, o qual indica que o princípio da responsabilidade deve ser uma das medidas a introduzir na revisão do quadro legislativo da proteção de dados da união europeia, com a finalidade de tornar os responsáveis pelo tratamento responsáveis pela aplicação das medidas necessárias, mas também por assegurarem que os princípios substantivos e obrigações da diretiva sejam efetivamente cumpridos11. e igualmente pela necessidade urgente de os incumbidos pelo tratamento aplicarem medidas de proteção que sejam reais e efetivas e dirigidas a uma boa governança da proteção dos dados, promovendo assim a minimização dos riscos legais, económicos e reputacionais que se originam devido às más práticas de proteção de dados12.

De acordo com a referida opinião do grupo de trabalho, a “arquitetura jurídica” dos mecanismos de responsabilidade contemplaria dois níveis13:

  1. o primeiro nível consistiria no conjunto dos requisitos legais básicos e obrigatórios para todos os responsáveis pelo tratamento dos dados;

    Page 76

  2. o segundo nível incluiria sistemas de responsabilidade voluntários que iriam para lá dos requisitos legais básicos, nomeadamente em termos de implementação ou de garantias da eficácia das medidas. assim, a ideia central por detrás do conceito de responsabilidade é permitir que os responsáveis pelo tratamento não tenham apenas que cumprir com as regras estabelecidas e previstas na legislação, mas que sejam igualmente capazes de demonstrar a conformidade e como a responsabilidade é exercida, tornando-se verificável, colocando o regulamento claramente uma especial enfâse nesta capacidade de demonstração.

    A responsabilidade torna-se assim um elemento que percorre o regulamento e está no seu núcleo, refletindo um princípio que se traduz em medidas transversais e complementares, mas que também pode ser apoiado através dos instrumentos adequados14.

    O princípio da responsabilidade tem igualmente reflexos que vão para além da mera questão da conformidade legal, permitindo promover claramente uma melhor governança dos dados a nível corporativo, e também práticas eticamente mais corretas15.

    Contudo, é um erro confundir a responsabilidade com a conformidade (compliance) e um maior equívoco acreditar que a responsabilidade irá funcionar como um substituto para a conformidade, quando, pelo contrário, a responsabilidade irá permitir atingir e demonstrar a conformidade.

    É neste quadro que o reforço das responsabilidades dos responsáveis pelo tratamento está enquadrado e irá operar, responsabilidades essas que iremos analisar de seguida.

3. Responsabilidades dos responsáveis pelo tratamento

Sem prejuízo do que já foi exposto, o reforço das responsabilidades dos encarregados pelo tratamento tem por base o fato de o tratamento de dados ser cada vez mais central na vida das organizações, a vários níveis, quer para gerir os seus clientes, quer para fornecer melhores produtos e serviços a estes, assumindo assim uma relevância central

Page 77

para as organizações, independentemente de o seu papel ser o de responsável pelo...

Para continuar a ler

PEÇA SUA AVALIAÇÃO

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT