O pesado fardo sobre os responsáveis pelo tratamento de dados

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO GDPR – Para gerentes, diretores estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

O GDPR foca na responsabilização das partes interessadas. Ao contrário da diretiva de 1995 (o primeiro grande texto europeu sobre proteção de dados), ele não exige autorização ou declaração prévia. Esta é uma jogada inteligente por parte de seus idealizadores: a ausência de controle prévio ajuda a tornar aceitáveis os esforços necessários para cumprir as novas regras.

Como vimos, o GDPR identifica um "controlador de dados" em cada estrutura, que deve ser responsável por garantir a conformidade exigida e, em seguida, por garantir o bom funcionamento do tratamento de dados. As tarefas desse controlador são onerosas: ele não só deve implementar as medidas adequadas, como também deve ser capaz de "demonstrar" que o tratamento é realizado em conformidade com o regulamento (art. 24-1). Isso não é uma obrigação, mas a referência a um código de conduta (art. 40) ou à certificação (art. 42) defendida pelas autoridades de supervisão pode facilitar a demonstração necessária.

O princípio norteador do controlador é simples: utilizar dados pessoais o mínimo possível. O Artigo 25 recomenda, portanto, a "pseudonimização" e a "minimização", já mencionadas acima. Acrescenta o princípio da proteção de dados por defeito: "O controlador deve implementar medidas técnicas e organizacionais adequadas para garantir que, por defeito, apenas sejam tratados os dados pessoais necessários para cada finalidade específica do tratamento" (art. 25-2). Ao contrário das práticas atuais, em que tudo é "retirado", salvo indicação expressa em contrário, agora só deve ser utilizado o estritamente necessário para atingir o objetivo declarado. A proteção por defeito parece, de certa forma, complementar a minimização de dados no momento do tratamento no momento da recolha.

Dois profissionais podem ser conjuntamente responsáveis pelo tratamento; neste caso, o papel de cada um é definido com precisão e comunicado ao titular dos dados (art. 26). Quando o(s) responsável(eis) pelo tratamento não estiver(em) estabelecido(s) na União Europeia, designa(m) um representante estabelecido em um dos Estados-Membros, que será mandatado para ser a pessoa de contato entre o titular dos dados e as autoridades de controle (art. 27). É possível recorrer aos serviços de um subcontratado, desde que este apresente garantias suficientes de que o tratamento é realizado em conformidade com o RGPD (art. 28-1).

A manutenção de um "registro das atividades de tratamento" é obrigatória (art. 30). Ele deve incluir os dados de contato do responsável pelo tratamento, as finalidades do tratamento, as categorias de pessoas, dados e destinatários envolvidos, quaisquer transferências para um país terceiro, os prazos para apagamento e uma descrição geral das medidas de segurança. Este registro deve ser disponibilizado à autoridade de controle, se esta o solicitar. Não é obrigatório para empresas ou organizações com menos de 250 funcionários, "a menos que o tratamento que realizem seja suscetível de envolver um risco para os direitos e liberdades dos titulares dos dados, se não for ocasional..." (art. 30-5). Atenção, portanto: o porte da empresa por si só não é critério suficiente para a isenção do registro. Se você processa dados com frequência ou se sua atividade pode, de alguma forma, estar vinculada aos "direitos e liberdades das pessoas", você é obrigado a manter um registro das atividades realizadas.

Um regulamento não é um manual técnico. O artigo 32, dedicado à segurança do tratamento, recorda, no entanto, alguns princípios fundamentais: pseudonimização e encriptação, meios de garantir a confidencialidade e a integridade, de restabelecer a disponibilidade dos dados e o acesso a eles em caso de incidente. Os redatores do texto não negligenciam o risco de pirataria informática: "Ao avaliar o nível adequado de segurança, devem ser tidos em conta, em especial, os riscos apresentados pelo tratamento, resultantes, em particular, da destruição acidental ou ilícita, da perda, da alteração, da divulgação não autorizada de dados pessoais transmitidos, armazenados ou de outra forma tratados, ou do acesso não autorizado a esses dados" (art. 32-2). Por outras palavras, um sistema de tratamento só será considerado conforme se oferecer as garantias necessárias, pelo menos as máximas, em termos de proteção e segurança de dados. Recordamos a comoção causada pela pirataria informática da base de dados de membros do site de encontros norte-americano para pessoas casadas, quando dezenas de milhares de perfis confidenciais foram divulgados na internet.

Se, apesar das precauções tomadas, for descoberta uma violação de dados pessoais, o responsável pelo tratamento dos dados deve informar a autoridade de controlo no prazo de 72 horas, "a menos que seja improvável que a violação em causa resulte num risco para os direitos e liberdades das pessoas singulares" (art. 33-1). Esta ressalva proporciona alguma margem de manobra, mesmo que todo o texto sugira que não deve ser utilizada de forma abusiva para ocultar um problema. O relatório deve indicar a natureza da violação, o número aproximado de pessoas afetadas, as prováveis consequências dessa violação e as medidas tomadas ou sugeridas para remediar o problema ou limitar as suas consequências.

O responsável pelo tratamento dos dados também deve informar a vítima da violação o mais breve possível (Art. 34). Essa comunicação não é necessária se os dados roubados forem "incompreensíveis", por exemplo, devido à criptografia, ou se as medidas tomadas significarem que não há riscos para os direitos e liberdades do titular dos dados, ou se tal comunicação "exigir esforços desproporcionais. Nesses casos, deverá ser feita uma comunicação pública ou medida semelhante que permita que os titulares dos dados sejam informados de forma igualmente eficaz" (Art. 34-3c). Este parágrafo visa ataques em massa e isenta os responsáveis pelo tratamento dos dados de enviar um e-mail personalizado para cada indivíduo em seus arquivos.

Por fim, esclarecemos que o espírito do RGPD é inequívoco: numa empresa organizada com filiais, as obrigações destas últimas são as mesmas que as da sociedade-mãe.