(3 minutos de leitura)*
Quando nos debruçamos sobre a temática da proteção de dados pessoais, uma das coisas que nos chama a atenção é a forma como podemos estar em compliance com o Regulamento Geral sobre a Proteção de Dados (RGPD) enquanto organização que efetua tratamento de dados pessoais, seja ela responsável pelo tratamento ou subcontratante.
Verificamos, ao longo do RGPD, várias disposições que demonstram como devemos estar compliance quando tratamos dados pessoais, desde o momento da sua recolha até ao momento em que deixam de ser necessários para a finalidade que motivou a mesma.
No entanto, devemos ter em consideração os princípios relativos ao tratamento dos dados pessoais que são vistos como a chave de leitura do RGPD por se interligarem às várias disposições que compõem o mesmo, sendo este um dos pontos fulcrais quando se fala de data compliance. Neste sentido, há de se observar os princípios da (i) licitude, lealdade e transparência; da (ii) limitação das finalidades; da (iii) minimização dos dados; da (iv) exatidão; da (v) limitação da conservação; da (vi) integridade e confidencialidade; e da (vii) responsabilidade (artigo 5.º do RGPD).
A partir destes princípios verificamos um conjunto de requisitos que acabam por remeter para outros aspectos do RGPD como: (i) os fundamentos de licitude (artigo 6.º do RGPD); (ii) a proteção de dados desde a conceção e por defeito (artigo 25.º do RGPD); (iii) os direitos dos titulares de dados (artigos 12.º e seguintes do RGPD); (iv) a segurança no tratamento (artigo 32.º do RGPD); (v) a responsabilidade do responsável pelo tratamento (artigo 24.º do RGPD); entre outros.
O acima exposto vem demonstrar a importância dos tratamentos de dados pessoais efetuados por empresas estarem em compliance com as normas do RGPD, mas também com a legislação específica para esse efeito, como a Lei de execução nacional (Lei n.º 58/2019) e as orientações publicadas pela autoridade de controlo nacional – que, no nosso caso, é a Comissão Nacional de Proteção de Dados.
Não obstante, há outro aspecto fundamental quando falamos de data compliance – o registo das atividades de tratamento.
O registo de atividades de tratamento, segundo o n.º 1 do artigo 30.º do RGPD, refere que cada responsável pelo tratamento conserva um registo de todas as atividades de tratamento que são efetuadas sob a sua responsabilidade, devendo este registo conter (i) o nome e os contactos do responsável pelo tratamento, do responsável conjunto pelo tratamento (quando seja esse o caso), do representante do responsável e do encarregado de proteção de dados; as (ii) finalidades do tratamento; a (iii) descrição das categorias de titulares de dados e das categorias de dados pessoais; as (iv) categorias de destinatários a quem os dados pessoais foram ou são divulgados; as (v) transferências de dados pessoais a países terceiros ou organizações internacionais, quando for aplicável; os (vi) prazos previstos para o apagamento das diferentes categorias de dados; e (vii) uma descrição geral das medidas técnicas e organizativas aplicadas aos tratamentos efetuados.
Ou seja, o registo de atividades de tratamento acaba por representar o “raio x” da empresa ao demonstrar todas as atividades de tratamento efetuadas no seio empresarial, o que permite compreender se a empresa está em compliance, ou não, com o RGPD. Daí ser extremamente importante a obrigação de realizar o registo de atividades de tratamento que o RGPD exige das empresas a partir de 250 trabalhadores[i].
Em suma, quando falamos de requisitos de data compliance, devemos ter em consideração todas as disposições relativas ao RGPD e a legislação específica para esse efeito. No entanto, a melhor forma de verificar se a empresa está em compliance ou não, no que toca ao tratamento de dados pessoais, é verificar o registo de atividades que acaba por apresentar uma visão global de todos os tratamentos efetuados, seja a empresa responsável pelo tratamento ou subcontratante.
Patrícia Batista Santos
Técnica de Privacidade na AdvanceCare;
Investigadora do NOVA Compliance Lab e Observatório de Dados Pessoais da NOVA School of Law
[i] Todavia, as empresas com menos de 250 trabalhadores que realizam tratamentos de dados que impliquem um risco para os direitos e liberdades dos titulares ou abrangem categorias especiais de dados (artigo 9.º do RGPD) ou dados relativos a condenações penais ou infrações (artigo 10.º do RGPD) devem conter o registo de atividades de tratamento (n.º 5 do artigo 30.º do RGPD).