7 passos para uma metodologia de implementação do RGPD na Administração Pública

Artigo escrito por Daniel Francisco e Sandra Francisco, autores do livro Regulamento Geral de Proteção de Dados: 7 passos para uma metodologia de implementação do RGPD na administração pública

Com a entrada em vigor com caráter obrigatório a 25 de maio de 2018 do Regulamento Geral de Proteção de Dados (RGPD) – Regulamento UE 2016/679, de 27 de abril de 2016, as Entidades Públicas e Privadas dos 28 Estados membros que compõem a União Europeia, tem necessariamente de se adaptar e reformular os seus procedimentos com vista a uma correta aplicação do RGPD.

O Regulamento Geral de Proteção de Dados, de aplicação obrigatória para todos os órgãos e serviços da Administração Pública, exige um elevado investimento na análise e revisão de todos os processos que tratam dados pessoais, com vista a garantir a sua conformidade.

Contudo, e no caso português, a realidade e especificidades da Administração Pública (AP) e das suas Entidades, não tem sido contemplada nas abordagens que se têm realizado.

Pretende-se por isso, sistematizar e identificar uma metodologia que permita operacionalizar e acompanhar as etapas necessárias à implementação do RGPD no universo concreto e específico da Administração Pública, tendo já por referência as especificidades técnicas das apontadas na RCM n.º 41/2018 de 28 de março, que define as orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais e a Lei nº 58/2019, de 8 de agosto (Lei de execução Nacional do RGPD).

Sendo de realçar que em Portugal e independentemente quer do novo RGPD quer da anterior Diretiva 95/46/CE, este enquadramento da proteção de dados pessoais como Direito Fundamental já tinha consagração legal e inclusive constitucional, no art.º 35º da Constituição da República Portuguesa.

Assim mesmo antes do RGPD a proteção de dados pessoais e da privacidade já era um direito constitucional dos cidadãos portugueses.

Implementar o RGPD é por si só um desafio, mas é também uma oportunidade única de compreender melhor a estrutura orgânica da organização, de melhorar processos, de ser mais eficaz na prestação do serviço público, de levar uma organização a outro nível de conhecimento e eficiência.

Assim, considerando as atividades a realizar, sistematizamos o projeto de implementação em 7 passos.

Os 7 passos são:

1. Definir equipas e criação do plano de ação. 

2. Diagnosticar e mapear.

3. Verificar e avaliar compatibilidades.

4. Criar procedimentos e processos.

5. Implementar medidas de compatibilidade RGPD.

6. Criar o dossier de auditoria, e de normativos internos.

7. Formar e sensibilizar e avaliar impactos e conformidade.


Por conseguinte, temos que começar por planear bem o trabalho, mapear todos os dados pessoais tratados na organização, caraterizar os tratamentos tal como são realizados à data, identificar as atividades que carecem de alteração e quais as que têm maior risco, implementar as alterações, verificar a conformidade e garantir a compatibilidade tecnológica, constituir um dossier com as evidências da implementação, avaliar o impacto do projeto, formar os colaboradores da organização, e criar as condições para que a organização integre, no seu funcionamento, estruturas e cultura organizacional, a monitorização e a conformidade com o RGPD.

Depois de ter todas estas tarefas pensadas temos ainda de preparar o projeto que vai consistir na execução dessas tarefas através de ações concretas.

De forma muito resumida apresentamos de seguida o teor de cada passo:

1º Passo - Definir equipas e criação do plano de ação.

O plano do projeto deve ser perspetivado como um road map que permita:

• Abordar os aspetos jurídico, tecnológico, de gestão e de transformação de forma integrada.

• Mobilizar e capacitar a organização, para que possa evoluir contínua e autonomamente.

• Integrar requisitos num programa de transformação mais abrangente, que assegure retorno e sustentabilidade.

• Ver o RGPD como uma oportunidade, não um custo de compliance.

• O dirigente máximo deve promover o projeto junto de toda a organização.

• A equipa, já nomeada e com as competências atribuídas, deve planear o projeto, começar a criar as redes internas colaborativas.

2.º Passo – Inventariar e diagnosticar

É neste passo que ficamos a conhecer o volume e diversidade de dados pessoais tratados pela organização. 

Começamos por identificar todos os dados pessoais, sejam de titulares internos ou externos, e mapear todas as atividades de tratamento efetuadas sobre esses dados, quer pelo serviço quer pelos seus subcontratantes. O levantamento deve ser exaustivo, isto é, não deve deixar de fora nenhum dado pessoal ou tratamento.

Uma forma de o garantir é fazê-lo por unidade orgânica, uma abordagem bottom- up, isto é, de baixo para cima. Por exemplo, numa Direção de Serviços com Divisões, faz-se o levantamento por Divisão e só depois se integra ao nível da Direção de Serviços.

Outra forma é criar um modelo ou formulário onde registamos, para cada dado, todos os elementos previamente identificados.

3.º Passo – Avaliar compatibilidades e implementar correções

A avaliação da conformidade com o RGPD é feita a partir do mapeamento dos dados pessoais tratados, produzido na etapa anterior, e de toda a documentação recolhida, o que vai permitir identificar as alterações a implementar, avaliar o risco e, consequentemente, assinalar as intervenções prioritárias. 

Neste passo, terão de ser avaliadas as bases legais de cada tratamento, as políticas, regulamentos, procedimentos e processos de gestão de dados pessoais existentes na organização, analisados os contratos, os formulários, a informação disponibilizada aos titulares, enfim...

É uma etapa crítica, mas que, no tempo, pode ser desenvolvida em paralelo com o passo anterior, isto é, enquanto a equipa mapeia e regista, pode ir avaliando e identificando correções.

É para esta avaliação que é tão importante conhecer bem o RGPD, nomeadamente quanto aos princípios da proteção de dados pessoais e ao exercício dos direitos do titular.

4.º Passo – Criar procedimentos e processos

Já todos sabemos que o RGPD coloca o titular dos dados no centro da proteção e que lhe confere um conjunto de direitos. 

Neste âmbito, compete ao responsável pelo tratamento, proteger os dados pessoais que trata e garantir o exercício dos direitos pelos titulares. 

E que direitos são esses? 

Vamos recordar rápida e sumariamente (artigos 12.º a 22.º do RGPD):

Direito de Informação, de Acesso, de Retificação, de Apagamento, de Limitação do Tratamento, de Portabilidade dos Dados, de Oposição, de Proteção contra decisões automáticas e de apresentar uma queixa as autoridades de controlo, a Comissão Nacional de Proteção de Dados (CNPD).

A equipa tem de conhecer bem estes direitos para conseguir identificar o que no seu exercício, por parte do titular, exige e assim propor medidas de conformidade adequadas, em termos de procedimentos e processos.

É à luz do disposto em todo o RGPD, mas muito em particular, dos direitos e princípios que devem ser analisados os processos e procedimentos internos e proposta a sua revisão ou criação de novos processos.

Analisados os processos, a equipa deve avaliar as melhorias e as alterações a implementar, e priorizar aquelas que tragam à organização aperfeiçoamentos de rápida implementação e de baixo custo.

5.º Passo – Implementar medidas de compatibilidade tecnológica com a RCM n.º 41/2018 de 28 de março

Neste passo deve ser avaliada a conformidade dos requisitos técnicos das redes e sistemas de informação em uso, com as finalidades e princípios de segurança que se pretendem alcançar, e implementadas as medidas de compatibilidade tecnológica necessárias. 

Os requisitos técnicos mínimos das redes e sistemas de informação exigidos a todos os serviços e entidades da Administração Direta e Indireta do Estado, e recomendados ao setor empresarial do Estado, foram posteriormente à publicação do RGPD, aprovados pela Resolução do Conselho de Ministros, n.º 41/2018, de 28 de março que define orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais.

A equipa, mesmo os elementos que não são especialistas nesta área técnica, devem conhecer o diploma.

6.º Passo – Criar o dossier de auditoria

Este dossier será o resultado de todo o processo desenvolvido até agora, e que servirá de base a todos os processos de auditoria interna que vão acontecer no futuro. 

Estas auditorias devem acontecer em intervalos planeados e servirão para medir, avaliar e rever a adequabilidade dos processos de tratamento de dados pessoais. 

Este dossier serve também de evidência do cumprimento do RGPD integrando toda a documentação produzida e coligida durante o processo de implementação. 

Assim, este dossier não é de auditoria do projeto, mas sim de auditoria de conformidade com o RGPD, sendo uma peça fundamental para comprovar que a organização cumpre o disposto no RGPD.

7.º Passo – Formar e Avaliar o impacto da implementação do RGPD na organização

É neste passo que temos a grande tarefa de formar todos os trabalhadores da organização. A formação irá permitir disseminar a todos o conhecimento produzido, capacitando os trabalhadores para exercer o seu trabalho em conformidade com o RGPD e consciencializar, todos e cada um, para a importância do seu papel neste processo, que é contínuo. 

A organização só se mantém em conformidade, se o RGPD, além de bem implementado, for praticado todos os dias, de forma consciente, atenta e sistemática, por todos os trabalhadores, integrando-se na cultura organizacional.: 

Mas temos também avaliar o impacto da implementação do RGPD na organização. Verificando se os documentos normativos produzidos são conhecidos e compreendidos, as alterações aos procedimentos aplicadas e o novo enquadramento da proteção dos dados pessoais está efetivamente interiorizado por parte da organização, fazendo parte integrante da forma de trabalhar da organização.

O RGPD acaba por ser um processo de mudança, temos de verificar se efetivamente as mudanças foram efetuadas ou não.

O Pós implementação

O conceito de melhoria contínua pressupõe a existência de desafios, a capacidade de identificar as causas dos problemas e implementar soluções. Em especial no RGPD. Não podemos esquecer que o RGPD é um processo em continuo. Assim apesar de termos fechado o processo de implementação as Entidades não podem assumir, ou pensar, de que está tudo feito em relação ao RGPD.