De que falamos quando falamos de dados pessoais
Mas afinal do que é que falamos quando falamos de dados pessoais?
Falamos de qualquer informação relativa a uma pessoa singular, identificada ou que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador.
Este identificador pode ser óbvio, como o nome e apelido da pessoa, o seu número de um cartão de identificação, o endereço de uma residência ou de correio eletrónico, ou mais subtil, como os dados de localização, os testemunhos de conexão (cookies) ou ainda o endereço de IP (identifica um dispositivo na Internet ou numa rede local).
Na sua interação com a Assembleia da República, esta, naturalmente, acaba por ter acesso a dados pessoais dos cidadãos, como por exemplo quando subscrevem alguma petição, apresentam uma iniciativa legislativa ou de referendo, enviam um email através da bolsa de sugestões ou do correio do cidadão ou mesmo quando participam num evento nas suas instalações.
A proteção de dados na Assembleia da República
O Regulamento Geral sobre Proteção de Dados1 (RGPD) entrou em vigor a 2016 e começou a ser aplicado a partir de 25 de maio de 2018.
Este regulamento considera a proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais um direito fundamental. A sua aplicação deu origem a mudanças organizacionais com implicações operacionais nas instituições que tratam dados pessoais, entre as quais se inclui a Assembleia da República.
Neste contexto, foi publicado, em julho de 2018, o Regulamento sobre Proteção de Dados na Assembleia da República2, com o objetivo de assegurar um nível de proteção elevado e coerente dos dados pessoais e de criar normas e procedimentos internos para garantir que o seu tratamento é efetuado em conformidade com o RGPD. Adotaram-se, igualmente, medidas técnicas e organizativas para proteger esses dados contra a destruição acidental ou ilícita, a perda, a alteração, a difusão ou o acesso não autorizado e qualquer outra forma de tratamento ilícito.
Quem se encontra abrangido pela proteção de dados?
O âmbito de aplicação material é amplo e abrange o tratamento de dados pessoais relativos a todos os cidadãos que contactem com a Assembleia da República, bem como os Deputados, funcionários parlamentares, funcionários dos grupos parlamentares, dos gabinetes e dos serviços ou prestadores externos e entidades que utilizem as suas instalações e meios.
E o que é o tratamento de dados pessoais?
Todas as operações efetuadas sobre dados pessoais são consideradas tratamento de dados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação, a alteração, a recuperação, a consulta, a utilização, a divulgação, a comparação, a interconexão, a limitação ou a destruição de dados pessoais.
Por exemplo, quando um cidadão submete uma petição, há funcionários que têm acesso a dados como o endereço de email ou o número de cartão de identificação e podem ter necessidade de os consultar ao longo do procedimento ou de transmitir o nome do primeiro subscritor à comissão competente. Estas ações são consideradas operações de tratamento e implicam o cumprimento dos princípios do RGPD.
Como facilmente se pode concluir, nas mais diversas circunstâncias, vários funcionários parlamentares tratam dados pessoais em nome da Assembleia da República, que, legalmente, é a responsável pelo tratamento, na medida em que determina as suas finalidades e os meios a empregar.
Porém, a responsabilidade não se circunscreve à Assembleia da República, uma vez que os funcionários podem ser responsabilizados, no limite, por condutas tipificadas como crime designadamente o acesso indevido a dados pessoais, a utilização de dados de forma incompatível com a finalidade da recolha, o desvio de dados, a violação e destruição de dados, a inserção de dados falso ou a violação do dever de sigilo, entre outros.
Que princípios devem ser respeitados no tratamento?
Todas as operações de tratamento devem ser efetuadas no rigoroso cumprimento dos princípios do RGPD, designadamente o da licitude, lealdade e transparência. De acordo com este princípio, o tratamento é lícito apenas se houver consentimento, isto é, havendo manifestação de vontade livre, específica, informada, explícita e expressa através de uma declaração ou ato positivo inequívoco. O tratamento é também lícito se for necessário para uma das seguintes finalidades: execução de um contrato; cumprimento de uma obrigação jurídica; defesa dos interesses vitais do titular de dados ou de terceiro; exercício de funções de interesse público ou o exercício de autoridade pública; ou para efeito dos interesses legítimos do responsável pelo tratamento.
Como se compreende, por vezes a base da licitude do tratamento é o interesse legítimo da AR, o cumprimento de uma obrigação jurídica (como no exemplo da submissão de uma petição) ou a execução de um contrato de que o cidadão seja parte (por exemplo na prestação de um serviço), mas poderá ser também o consentimento (por exemplo na subscrição de uma newsletter).
A Assembleia da República deve dar a conhecer ao titular dos dados as operações de tratamento a que os mesmos são sujeitos. Pode fazê-lo através da prestação de informações acerca da finalidade do tratamento, explicando que os dados devem ser recolhidos para finalidades determinadas, explícitas e legítimas e não podem ser tratados de forma incompatível com as finalidades definidas aquando da recolha. Pode também informar acerca do tratamento de dados relativamente à identidade e contactos do responsável, o prazo de conservação dos dados e a existência dos direitos de acesso, de retificação, de oposição ao tratamento, de portabilidade e o direito ao apagamento.
O Parlamento está vinculado aos seguintes princípios: minimização - os dados devem ser adequados, pertinentes e limitados ao que é necessário às finalidades; exatidão - devem ser exatos e atualizados sempre que necessário; limitação da conservação - devem ser conservados apenas durante o período necessário para as finalidades para as quais são tratados; integridade e confidencialidade - devem adotar-se medidas técnicas e organizativas apropriadas para garantir um nível de segurança adequado ao risco; e da responsabilidade - o responsável pelo tratamento deve estar apto a comprovar a conformidade com o RGPD.
Portanto, quando um cidadão submete uma petição à Assembleia da República tem garantias de que as operações de tratamento dos seus dados, ou seja, o registo, a organização, a estruturação, a conservação, a consulta, a utilização e a divulgação, quer dos dados de identificação (nome e número de cartão de identificação), quer dos dados de contacto (morada, email e telefone), são efetuadas no cumprimento rigoroso destes princípios e de acordo com a Política sobre Privacidade e Proteção de Dados na página da AR, na Internet.
O encarregado de proteção de dados
A Assembleia da República, em cumprimento do RGPD, designou um encarregado de proteção de dados (EPD). As funções deste EPD são, essencialmente, as de informar e aconselhar o responsável, os subcontratantes e os funcionários que tratam dados acerca das suas obrigações, controlar a conformidade das operações de tratamento com a legislação de proteção de dados, aconselhar e controlar avaliações de impacto sobre a proteção de dados e, ainda, cooperar e ser o ponto de contacto com a autoridade de controlo – a Comissão Nacional de Proteção de Dados (CNPD).
O EPD é também a entidade a quem os titulares de dados tratados pela Assembleia da República podem recorrer (designadamente através do endereço encarregado.protecao.dados@ar.parlamento.pt) para o exercício dos direitos que o RGPD lhes reconhece: acesso, retificação, apagamento, portabilidade, limitação e oposição ao tratamento.
Como é que a Assembleia da República gere os dados?
Perante o quadro legal de obrigações, a AR desenvolveu um sistema de gestão de proteção de dados pessoais, estruturado com base em normas (ISO) e apoiado por uma plataforma informática, de modo a cumprir rigorosamente o RGPD e, também, a lei de execução3 e o Regulamento sobre Proteção de Dados na Assembleia da República.
Foram adotadas medidas de boas práticas?
Foram definidas, de acordo com as normas ISO, uma série de políticas, processos e procedimentos – alguns comuns à área da segurança da informação – com o objetivo de ajudar quem trata os dados a cumprir a legislação e de garantir os direitos dos titulares.
No que diz diretamente respeito à proteção de dados, foram aprovadas a política geral de privacidade e proteção de dados, a política de privacidade e proteção de dados na página da Internet e a política de cookies. Para além destas, foram igualmente aprovadas normas orientadoras referentes a avaliações de impacto, notificação de violação de dados, recursos humanos, contratos de trabalho parlamentar, contratos com fornecedores, exercício de direitos dos direitos dos titulares de dados, consentimento e a sua retirada ou sobre a participação de cidadãos nas reuniões das comissões parlamentares e assistência ao Plenário.
Em conclusão:
A Assembleia da República adotou um sistema de gestão de proteção de dados com o objetivo de cumprir os princípios do RGPD, ou seja, de forma a tratar as categorias de dados pessoais estritamente necessárias, adequadas e pertinentes, quer à prossecução das finalidades de interesse público, quer ao cumprimento de uma obrigação legal ou com base no consentimento ou em contrato. O sistema adotado procura também garantir a proteção de dados desde a conceção e por norma e mantém o foco na melhoria contínua dos processos de tratamento, de modo a assegurar a total conformidade legal.
O empenho de todos – funcionários, pontos focais e responsáveis internos pelo tratamento – tem sido essencial para a construção da estrutura de proteção de dados, contribuindo para que a Assembleia da República seja um exemplo na defesa do direito fundamental das pessoas, relativamente ao tratamento dos seus dados pessoais.
Francisco Alves
[1] Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE.
[2] Despacho n.º 88/XII PAR, de 12 de julho de 2018.
[3] Lei n.º 58/2019, de 8 de agosto.