RGPD – O Antes e o Depois

O Regulamento Geral de Protecção de Dados (RGPD) entra em vigor a 25 de Maio de 2018, com o intuito de tornar as leis da União Europeia (UE) mais homogéneas, em termos do tratamento e processamento de dados dos cidadãos. Mas as novas normas repercutem-se em todo o mundo, já que mesmo as empresas de fora da UE terão que respeitar o RGPD, desde que lidem com dados de cidadãos europeus.

O Antes

A internet começou a alcançar a maioria da população já nos anos 90. O seu crescimento a larga escala levou a uma partilha de informação massiva e inicialmente descontrolada, os utilizadores não tinham regras, nem sabiam qual seria a dimensão daquela rede e o impacto que isso poderia vir a ter mais tarde. Ao longo dos anos foi partilhada para a rede informação sensível, surgiram também os primeiros websites, sistemas online, p.ex., de e-commerce, e-banking, entre outros, em geral, a internet começava por se tornar o maior canal de partilha de informação sem fronteiras.

Com o evoluir e amadurecimento da tecnologia começaram também os problemas de segurança em vários planos. Dois desses planos, e que podem aqui ser enumerados, são o da segurança e design de aplicações e websites e também da não consciencialização dos utilizadores no que à partilha de informação diz respeito. Tal como no início, ainda hoje não existe uma regulamentação que proteja os dados dos cidadãos. Tornou-se viral hoje em dia falar em comprometimento de informação, p.ex., fugas de informação do LinkedIn, Uber, Equifax, são muitos os casos ao longo dos últimos anos.

Este tipo de fuga de dados normalmente é disseminada por diversos canais na internet, e essa informação fica disponível durante anos.

Já tentou escrever o seu nome por extenso no Google?

É normal encontrar pautas da faculdade, editais de concursos públicos, informação extremamente sensível que provavelmente foi leaked de alguma plataforma onde se tenha registado ou com ela interagido.

Foi-lhe comunicado que essa informação foi comprometida e disseminada na Internet? Ou até disseminada porque o sistema não protege a privacidade da informação dos utilizadores?

Provavelmente, não.

Podiam descrever-se milhentos exemplos de como a informação está mal estruturada na maioria dos sistemas e que levam a estas pequenas catástrofes digitais, fruto de uma regulamentação fraca, e quase inexistente nestes últimos anos.

Mas o RGPD irá resolver isso?

O Depois

O RGPD não irá, de facto, resolver a curto prazo o problema da falta de políticas de protecção de dados, nem impedir que informação associada aos indivíduos “desapareça” por si só das pesquisas na internet. O RGPD tem como um dos objectivos “iniciar um novo ciclo”. Um ciclo onde a protecção das informações dos cidadãos passará a ser uma preocupação obrigatória pelos provedores de serviço.

Este regulamento trará várias implicações, nomeadamente:

  • Os sistemas terão que ser pensados desde o seu início e desenhados conforme aquilo que são as normas do regulamento – privacy by design;
  • Os cidadãos terão que ser informados sobre qualquer comprometimento de dados pessoais até no máximo 72h depois do incidente;
  • O cidadão tem o direito ao “esquecimento”, isto é, exigir ao provedor de serviço que todas a informação a ele associada seja totalmente eliminada do sistema.

Mais ainda, os provedores de serviço, grandes, médias e até pequenas empresas, devem eleger um Data Protection Officer (DPO), isto é, um encarregado de protecção dos dados.

O DPO terá como principais tarefas a monitorização da conformidade com o RGPD, a metodologia e quando realizar DPIA, a cooperação com o regulador, o acompanhamento do risco associado às operações de processamento de dados e o garantir do registo das evidências necessárias para demonstrar a conformidade junto do regulador.

O RGPD pode não resolver os problemas com a informação dos cidadãos dos anos passados, mas marcará um novo ciclo, um caminho que vai ser seguido rigorosamente e que visa salvaguardar de uma forma mais rígida, tudo aquilo o que são dados pessoais dos utilizadores.

Os nossos dados pessoais são a nossa identidade. Devemos ser nós a escolher que informação deve ser partilhada, e com quem a vamos partilhar.

Publicado na edição 59 (PDF) da Revista PROGRAMAR.