Para quando a (real) aplicação do RGPD ​​​​​​​na Administração Pública?

Nos últimos anos muito se tem falado da importância da proteção de dados pessoais e da necessidade de refletir sobre as metodologias e processos adotados pelas diferentes Organizações. Ao nível da Administração Pública e demais organismos públicos, o RGPD - Regulamento Geral de Proteção de Dados - é de aplicação obrigatória por todos os órgãos e serviços e exige um elevado investimento na análise e na revisão de todos os processos que tratam dados pessoais, com o objetivo de garantir a sua conformidade.

Embora o RGPD permita aos Estados-Membros determinar se as coimas devem ou não ser aplicadas às autoridades e organismos públicos, na ausência dessa lei nacional, o RGPD é plenamente aplicável, pelo que a Administração Pública não está isenta da aplicação de sanções pela Comissão Nacional de Proteção de Dados (CNPD).

Assim, assistimos a um atual cenário de difícil implementação, por inércia das próprias instituições e por vezes, pela falta de um regime observador e sancionatório que acautele as demais aplicações do regulamento em causa, facto ao qual a CNPD não pode alhear-se desta realidade.

Na semana onde se assinalam os 4 anos de aplicação do RGPD, é de notar que o setor público apresenta ainda um claro atraso na sua efetiva implementação. O RGPD impõe novos desafios e ajustes à Administração Pública em matéria de proteção de dados, os quais parecem estar a ser ignorados, desde a sua aplicação em maio de 2018.

Já no início deste ano, aquando da comemoração do Dia Internacional da Privacidade de Dados, alertava precisamente em um artigo no DV, para a falta de preparação e fiscalização nas matérias do RGPD por parte das autoridades portuguesas competentes, nomeadamente, em vésperas de eleições legislativas nacionais e à luz dos recentes ciberataques a grandes grupos empresariais portugueses através da visível usurpação de identidade e violação de privacidade de dados. A este contexto, acresce ainda o facto de a cibersegurança constituir um dos componentes indispensáveis face à conformidade com a lei da proteção e privacidade de dados. As duas caminham lado a lado e em consonância harmoniosa como garantia da conformidade e compliance com os demais processos associados ao respeito pelo cumprimento do RGPD, quer por empresas privadas, quer, muito assim se espera, pelo setor público, enquanto modelo de conduta.

Tendo em conta que, de acordo com dados divulgados pela Comissão Europeia, o volume de produção de dados tem duplicado a cada 18 meses, a mesma pretende criar um mercado único de dados para posicionar a UE, a nível global. Matérias a discutir e a reavaliar como o próprio RGPD, a partilha de dados, a privacidade, a transparência e os direitos fundamentais dos cidadãos, estarão em cima da mesa. Portugal terá assim todas as condições para ser um veículo impulsionador e integrador desta nova estratégia, contudo, tal implica, a contínua aposta em novas tecnologias, na crescente maturidade e transição digital, e no investimento em infraestruturas tecnológicas avançadas.

Entre as principais medidas essenciais a implementar, destaco seis da máxima prioridade: 1) a designação de um DPO (data protection officer) para acompanhar a sua implementação; 2) a criação de um grupo de trabalho multidisciplinar, com foco na área jurídica, recursos humanos e IT; 3) realização de uma radiografia completa com o mapeamento/levantamento das operações de tratamento de dados pela entidade pública; 4) revisão da licitude do tratamento; 5) revisão das políticas e procedimentos internos, nomeadamente, os contratos; e 5) implementação de um registo das atividades de tratamento desses respetivos dados, registo este que é obrigatório.

A meu ver e no que diz respeito a estas matérias, o PRR - Plano de Recuperação e Resiliência português - confere à Administração Pública uma oportunidade única de transformação digital e de capacitação que há que saber aproveitar, para que possamos tirar o máximo partido do potencial associado à economia dos dados. Deve ser instituído (e monitorizado) um processo para testar, apreciar e avaliar de forma periódica, a eficácia real das medidas técnicas e organizativas, de modo a garantir a segurança do tratamento. Deverá ainda ser acautelado um plano de contingência em caso de violação de segurança que defina as medidas de eliminação/mitigação de riscos, procedimentos a adotar, comunicação à CNPD e informação aos demais titulares dos dados.

A Administração Pública tem de se consciencializar (e de forma acelerada, ao abrigo das diretivas da Comissão Europeia), que precisa de implementar o RGPD na sua plenitude, já que os cidadãos têm direito à proteção dos seus dados, mais ainda, porque, a muito curto prazo, existirão sanções para evitar a violação do RGPD (pelo menos, ao nível da UE). Este será um tema prioritário e na ordem do dia, face ao firme posicionamento da Comissão Europeia, e ao qual Portugal não poderá escapar ou ficar à margem.

Bruno Castro, Fundador e CEO da VisionWare - Sistemas de Informação SA.

Mais Notícias

Outros Conteúdos GMG

Patrocinado

Apoio de