RGPD - Resposta a questões frequentes

O nosso especialista responde às suas dúvidas

 

O Regulamento Geral sobre a Proteção de Dados (RGPD, ou GDPR em inglês), que entrará em vigor em 25 de maio de 2018, terá importantes implicações nos sistemas de informação de todas as empresas. Com efeito, este regulamento impõe uma tarefa delicada a muitas empresas, que devem estar em conformidade com os requisitos da União Europeia em matéria de proteção de dados.

Grégory Gitsels, encarregado da proteção de dados na OVH, responde às perguntas mais frequentes acerca do impacto deste novo regulamento sobre as empresas e a forma como estas devem cumpri-lo.

O que é o RGPD?

O Regulamento Geral sobre a Proteção de Dados (RGPD) é uma regulamentação europeia, adotada em 27 de abril de 2016 pelo Parlamento e pelo Conselho da União Europeia. As suas disposições são diretamente aplicáveis no seio do conjunto dos Estados-membros da União Europeia. Embora tenha entrado em vigor em 2016, a sua aplicação só será efetiva a partir de 25 de maio de 2018. Assim, foi concedido um período de dois anos para as entidades públicas e privadas adotarem as disposições deste texto.

O RGPD visa proteger as pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais. Contempla os direitos e obrigações aplicáveis a todos os agentes que manipulam este tipo de dados.

O RGPD abrange o conjunto das entidades públicas e empresas de todas as dimensões, a partir do momento em que tratam dados de caráter pessoal.

O que significa o RGPD?

“RGPD” significa, literalmente, “Regulamento Geral sobre a Proteção de Dados”.

A noção de RGPD refere-se diretamente ao Regulamento n.º 2016/679 do Parlamento e do Conselho da União Europeia de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE.

O que constitui uma violação de dados pessoais?

A noção de violação de dados pessoais lembra imediatamente a fuga de dados pessoais em benefício de terceiros não autorizados (por exemplo, a pirataria de dados por um indivíduo mal intencionado). É este o caso, mas a definição do termo é, na verdade, mais ampla. O G29 (organismo europeu que reúne as diferentes autoridades de proteção de dados pessoais europeus) define a noção de violação de dados pessoais como sendo o facto de:

 

  • Perder a disponibilidade dos dados pessoais;
  • Prejudicar a integridade dos dados pessoais;
  • Prejudicar a confidencialidade dos dados pessoais.

 

Portanto, uma violação de dados pode constituir não só uma fuga de dados, mas também a perda permanente de dados.

O RGPD impõe novas obrigações aos responsáveis pelo tratamento e aos subcontratados em termos de notificações de violação de dados.

 

Quais são as leis que regem a proteção dos dados pessoais?

Há vários textos que regulam a proteção dos dados pessoais, de alcance geral ou mais específico:

 

  • No plano internacional: a convenção n.º 108, para a proteção das pessoas relativamente ao tratamento automatizado dos dados pessoais, é um tratado vinculativo aberto a todos os países.
  • No plano europeu: o Regulamento 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação de tais dados (RGPD), bem como a Diretiva 2016/680, relativa à proteção de pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para fins de prevenção e deteção de infrações penais, de investigações e de procedimentos judiciais nesta área ou de aplicação de sanções penais.
  • No plano nacional: muitos países adotaram regulamentações nacionais relativas à proteção dos dados pessoais. É, por exemplo, o caso de todos os Estados-membros da União Europeia.
Como se definem os dados pessoais no RGPD?

O conceito de dados pessoais é definido no artigo 4.º do RGPD como “(…) informação relativa a uma pessoa singular identificada ou identificável (...) direta ou indiretamente (…)”.

Por outras palavras, um dado pessoal é um dado ou um conjunto de dados que permitem identificar um indivíduo, por qualquer meio.

A identificação indireta de uma pessoa através de um dado ocorre quando a sua simples leitura não permite identificar um indivíduo a priori, mas poderia permitir pesquisas adicionais. É esse nomeadamente o caso de um endereço de e-mail.

O que são “dados pessoais sensíveis”?

A noção de “dados sensíveis” remete para as “categorias especiais de tratamento de dados pessoais”, do Regulamento Geral sobre a Proteção de Dados. Estes dados são regidos por regras específicas, porque o seu tratamento é, por princípio, proibido.

Tais dados incluem:

  • A saúde ou a vida sexual de um indivíduo;
  • A origem racial ou étnica de um indivíduo;
  • As opiniões políticas, a filiação sindical, as crenças religiosas ou filosóficas de um indivíduo.

Há exceções que permitem o tratamento destes dados.

 

Utilizar os serviços da OVH permite-me cumprir as obrigações do RGPD?

Sim, de certa forma. Uma das obrigações de um responsável de tratamento é a seleção de subcontratantes que apresentem garantias suficientes para assegurar que os dados pessoais são tratados em conformidade com os regulamentos.
Ou seja, as garantias oferecidas pela OVH na sua qualidade de subcontratante permitem que o cliente respeite uma parte das suas próprias obrigações. Estas garantias incluem as medidas de segurança implementadas por nós, os compromissos feitos em matéria de localização do tratamento dos dados do cliente, etc.

No entanto, as obrigações de um responsável de tratamento não se limitam à seleção de um prestador conforme. Elas vão muito além do perímetro de intervenção da OVH enquanto subcontratante de IT. Então, na sua qualidade de responsável de tratamento, não pode esperar alcançar uma total conformidade ao RGPD ao limitar-se à seleção de um subcontratante. Também deve cumprir as obrigações que lhe incumbem: respeitar o direito dos indivíduos ou realizar análises de impacto sobre a privacidade, por exemplo.

Quais são os compromissos da OVH na sua qualidade de prestador de serviços cloud?

Enquanto prestador de serviços cloud, a OVH posiciona-se como uma empresa subcontratada. Para este efeito, a OVH assume os seguintes compromissos:

  1. Não reutilizar os dados armazenados nos nossos serviços: A OVH compromete-se a tratar os dados pessoais do cliente unicamente para os fins da boa execução dos serviços e unicamente segundo as suas instruções.
  2. Permitir a reversibilidade dos seus dados: todas as nossas soluções cloud assentam em padrões, entre os quais um certo número de tecnologias open source. Portanto, os nossos clientes podem recuperar facilmente os seus dados: a reversibilidade e a interoperabilidade são sempre possíveis.
  3. Indicar precisamente ao cliente onde são armazenados e tratados os seus dados.
  4. Garantir ao cliente uma transparência total em matéria de recurso a subcontratantes.
  5. Notificá-lo em caso de violação dos seus dados.
  6. Produzir uma documentação completa dos nossos vários serviços: A OVH compromete-se a transmitir o conjunto dos documentos pertinentes, como a descrição das medidas de segurança aplicadas nos serviços, um atestado de localização do armazenamento de dados, etc.
  7. Garantir contratualmente os nossos compromissos: os compromissos da OVH não são promessas vãs. Estão contratualmente integrados no nosso Data Processing Agreement (DPA). Este documento assume a forma de um anexo aos nossos contratos. Todos os clientes podem ter acesso a ele, bastando para isso solicitá-lo.
Quais são os compromissos da OVH em matéria de localização de dados?

Quando os nossos clientes escolhem um serviço que permite armazenar conteúdos e, especialmente, dados de caráter pessoal, é indicada no nosso site a localização ou a zona geográfica dos datacenters disponíveis. E se várias localizações ou zonas geográficas estiverem disponíveis, os nossos clientes poderão até escolher aquela que preferirem no momento da realização do pedido.

O “armazenamento de dados” não é, no entanto, sinónimo de “tratamento de dados”. De facto, o RGPD fixa regras aplicáveis em matéria de “tratamento” e não de simples “armazenamento”. Por isso, é preciso uma atenção particular na utilização destes dois termos.

Quando os nossos clientes escolhem uma zona de armazenamento situada na União Europeia, a OVH garante-lhes que não tratará as suas informações fora da União Europeia ou fora de qualquer país reconhecido pela Comissão Europeia como dispondo de um nível de proteção de dados pessoais suficiente (relativamente à proteção da vida privada, das liberdades e direitos fundamentais das pessoas, bem como quanto ao exercício dos direitos correspondentes [decisão de adequação]). Além disso, comprometemo-nos a nunca tratar os seus dados nos Estados Unidos.

A OVH pode reutilizar os meus dados?

A OVH compromete-se a tratar os dados pessoais do cliente unicamente para os fins da boa execução dos serviços e unicamente segundo as suas instruções.

Os dados armazenados pelo cliente no quadro dos nossos serviços permanecem propriedade do cliente.

Não nos autorizamos qualquer revenda dos ditos dados, assim como qualquer utilização para fins comerciais (como atividades de análise de perfil ou de marketing direto).

Como é que a OVH me garante o respeito dos seus compromissos?

Para que os compromissos da OVH possam ajudá-lo a respeitar parte das suas obrigações, eles devem ser estipulados no seio de um contrato ou de qualquer outro ato jurídico que nos comprometa consigo.

A OVH assegura esta oponibilidade de duas formas:

  • As condições gerais de serviço que regulam a utilização de todos os serviços da OVH incluem cláusulas relativas à proteção de dados pessoais;
  • A pedido, a OVH oferece a assinatura de uma adenda específica ao seu contrato, intitulada Data Processing Agreement (DPA). Está última é inteiramente dedicada às garantias oferecidas pela OVH no que respeita ao tratamento de dados pessoais.