Regulamento Geral da Proteção de Dados


Enquadramento com Regulamento (UE) 2016/679 e Lei n.º 58/2019

 

Tendo em conta a Lei n.º 58/2019 que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD), que veio substituir a diretiva 95/46/EC vertida para o ordenamento jurídico Português na Lei n.º 67/98 de 26 de Outubro.

Este documento apresenta-se de modo interpretativo, esclarecendo quanto às obrigações decorrentes desta Lei e a forma como a GoFox – Tecnologias de Informação Unipessoal, Lda. (doravante designada por “GoFox”) as segue enquanto Controlador/Responsável (Data Controller), ou seja, responsável pelo tratamento dos dados e Processador/Subcontratado (Data Processor).

Pelo seu âmbito e pelos sujeitos a quem se destina, importando, por isso, começar por distinguir, de acordo com o artigo 4º do RGPD:

Controlador(es)/Responsável(eis) pelo tratamento de dados e Processador/Subcontratante(es)

Data Controller - (Controlador(es) ou Responsável(eis) pelo tratamento) – Será pessoa singular ou coletiva, ente público ou privado, agência, instituição ou qualquer outro organismo que decide como e porque é que os dados são processados. Portanto, pessoa física ou jurídica que, isoladamente ou em conjunto com outros, determina os fins e meios de processamento de dados pessoais.

Ora pelo artigo 5º do RGPD, o Controlador(es)/Responsável(eis) pelo tratamento é o responsável por provar o cumprimento dos princípios relativos ao tratamento de dados pessoais conforme está vinculado.

Data Processor (Processador ou Subcontratante) - Será pessoa singular ou coletiva, ente público ou privado, agência, instituição ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes (Subcontratante). Ou seja, aquele que processa dados pessoais em nome do(s) Controlador(es)/Responsável(eis) pelo tratamento.

Pelo artigo 28.º do RGPD, o tratamento pode ser efetuado em nome do(s) Controlador(es)/Responsável(eis) pelo tratamento, mas este é responsável por subcontratar apenas os Processadores/Subcontratantes que forneçam garantias suficientes de cumprimento do RGPD, isto é, Processador(es)/ Subcontratante(es) que tenham evidências da implementação das medidas técnicas e organizacionais adequadas, de tal forma que o processamento satisfaça os requisitos do regulamento.

Assim, todas as entidades da UE ou mesmo fora da UE, como Controlador(es)/Responsável(eis) pelo tratamento ou Processadores/Subcontratantes, devem implementar os controlos necessários para garantir a conformidade com o RGPD, Lei n.º 58/2019 em Portugal, desde que os dados a ser processados sejam sobre cidadão da UE. Esta responsabilidade é partilhada entre o(s) Controlador(es)/Responsável(eis) pelo tratamento e Processador(es)/Subcontratante(es), (as multas podem ser aplicadas a ambos).

Assim sendo, nos termos do RGPD/Lei n.º 58/2019 a GoFox é:

• Controlador/Responsável pelo tratamento de todos os dados que coleta dos seus clientes e, para prestação dos serviços subscritos e respetivo suporte.

• Processador/Subcontratante enquanto agente de alojamento dos seus dados, prestação de serviços de desenvolvimento e eventuais produtos adjacentes, registo de domínios ou venda de certificados SSL.

 

Contexto e obrigações da GoFox enquanto Processador/Subcontratado (Data Processor)

A – Informação e histórico

Passa a ser responsabilidade do(os) Controlador(es)/Responsável(eis) pelo tratamento de dados implementar medidas efetivas capazes de demonstrar a conformidade das atividades de processamento de dados, mesmo que, como já vimos, o processamento seja realizado por um Processador/Subcontratante de dados em nome do Controlador(es)/Responsável(eis) pelo tratamento, sendo que neste caso se tratará de responsabilidade partilhada.

Então, o(s) Controlador(es)/Responsável(eis) pelo tratamento de dados passa(m) a ser o(s) responsável(eis) (eis) por garantir que os direitos assegurados pelo RGPD são efetivamente cumpridos, a saber os mais relevantes:

 

1 - Informação sobre os dados colhidos o seu fim e o consentimento

Como Processador/Subcontratado os dados que lhe são confiados são disponibilizados pelo Responsável pelo tratamento (cliente da GoFox) tendo como fim ou objetivo que a GoFox lhe preste o serviço contratado no ato da subscrição deste. No ato da subscrição do serviço, com eventual migração de dados e/ou a sua criação ou eliminação incremental, o Responsável pelo tratamento (cliente da GoFox) entende e aceita que o objetivo final da sua ação é receber a prestação do serviço subscrito, conforme descrito na página online da GoFox na data/hora em que o subscreveu. Para isso, na data/hora da sua subscrição ser-lhe-á enviado um email de confirmação, bem como no ato do pagamento e da ativação de serviço. Todos estes emails ficarão guardados na área de cliente GoFox, acessíveis para consulta do Responsável pelo tratamento (cliente da GoFox).

 

2 - Direito ao acesso

Como Processador/Subcontratado a GoFox não acede aos dados que lhe são confiados pelo Responsável pelo tratamento (cliente da GoFox), salvo se, e apenas durante o tempo em que se afigure estritamente necessário para a prestação do serviço contratado. Desta feita, o acesso a estes dados estará a todo o tempo disponível e na esfera do cliente, através dos meios e informações acordadas/enviadas no ato da sua subscrição/ativação.

Poder-se-á dar o caso de ocorrerem contingências de acesso motivadas por fatores técnicos que levem à indisponibilidade de serviço, sendo a conduta da GoFox a prevista nos termos das suas condições gerais/especiais de prestação de serviço da GoFox às quais esta política de privacidade é complementar, constituindo-se como anexo obrigatório. Na parte de indisponibilidade técnica de acesso ao serviço, poder-se-á dar o bloqueio de acesso para: i) Segurança dos próprios dados contra acessos ilegítimos, por exemplo quando hajam excessivas tentativas de login falhadas; ii) Segurança de preservação de dados, quando seja do conhecimento da GoFox que os conteúdos correm riscos de ser corrompidos por se manterem disponíveis online; iii) Para cumprimento de uma ordem judicial ou outra com a mesma força compulsória; iv) Nos termos da lei quando a GoFox tenha conhecimento de atividade ou informação cuja ilicitude seja manifesta.

 

3 - Direito à portabilidade

Como Processador/Subcontratante, não conhecendo, por natureza, os dados pessoais que processa, limita-se a veicular o acesso permanente aos seus clientes – Controlador(es)/Responsável(eis) pelo tratamento dos dados - para que estes possam fazer cópias dos conteúdos a qualquer altura, bem como migrar os conteúdos alojados nos seus servidores para qualquer outro provedor de serviços ou, para um dispositivo de armazenamento a ser disponibilizado por este. Também nos serviços conexos ao alojamento de dados e que também possam ter dados pessoais, como nos nomes de domínio, o cliente poderá transferi-los a todo o tempo, no entanto, caso pretenda apenas remover o nome de domínio tal terá que ser requerido ao registry. Dado o enorme número de TLDs existentes com diferentes regras entre si, e uma vez que a GoFox é aqui, também, Subcontratante, deverá o Responsável pelo tratamento (cliente da GoFox), caso pretenda, solicitar essa e outras informações sobre o TLD pretendido no ato da sua subscrição.

 

4 - Direito ao esquecimento

Como Processador/Subcontratante quanto aos dados alojados nos seus servidores pelo Responsável pelo tratamento (cliente da GoFox), apesar de agnóstica ao tipo de dados (i.e., se são ou não pessoais) a GoFox encontra como intrinsecamente ligado ao tempo obrigatório de retenção de backups, caso aplicável, por isso esse será o tempo esse o limite lícito para o direito ao esquecimento neste tipo de serviços. Noutros serviços de alojamento da informação, em que não haja backups o direito ao esquecimento será exercido sempre que expressamente requerido ou, automaticamente, após a data de término de serviço, considerando os dias de retenção tendo em vista a recuperação definida para o respetivo serviço, nunca ultrapassando os 30 dias.

 

5 - Pseudonomização e anonimização

Como Processadores/Subcontratados somos totalmente agnósticos aos dados alojados na nossa infraestrutura, estando limitados a processar os dados, que nos são confiados pelo(s) Controlador(es)/ Responsável(eis) pelo tratamento, nos termos necessários para a prossecução das suas obrigações para prestação do serviço contratado. Assim, será responsável por manter a segurança da informação nos termos em que se propõem evitando que os dados sejam acedidos indevidamente quer seja por meios físicos, lógicos ou de engenharia social. Para garantir esta obrigação a GoFox tomará todas as medidas de segurança técnicas adequadas à protecção dos dados, onde se inclui a pseudonomização possível dos dados que sejam passíveis de ser acedidos no normal decurso da prestação de serviços, como sendo os nomes dados aos servidores físicos ou dados requeridos por vias de contacto onde não seja viável a confirmação de identidade, por outro lado a total anonimização completa dos dados alojados pelo(s) Controlador(es)/Responsável(eis) uma vez que não são conhecidos da GoFox.

 

6 - Direito à oposição à tomada de decisões automatizadas e à criação de perfil “profiling”

A GoFox não presta serviços na área do profiling logo, não há tratamento automatizado, incluindo a definição de perfis que produzam decisões com efeitos jurídicos.

 

B – Responsabilização

1 - Obrigação do uso da privacy by design, privacy by default e Data Minimisation

Enquanto Processador/Subcontratante, a GoFox garante:

· Os acessos físicos à sua infraestrutura, controlados por Circuito Fechado de Televisão, são controlados 24 horas/dia pelo pessoal responsável da segurança. Existem câmaras nas zonas comuns tanto nos interiores como nos exteriores e o acesso às salas técnicas é totalmente proibido; sistema do controlo global para a deteção de presença de intrusos no edifício. A segurança baseia-se na presença de pessoal 24x7 que dispõe de todos os sistemas necessários para o controlo de todas as zonas do edifício desde o posto de controlo. A segurança é ainda responsável pelo registo humano de acessos aos quais acresce o controle por RFID;

· A nossa rede é composta por trânsito de vários operadores Tier 1, presença em vários pontos de troca de tráfego (GigaPix, ESpanix, DE-CIX), bem como múltiplos acordos de peering privado;

· Os vários Datacenters encontram-se interligados permitindo trocas de tráfego público e privado de forma segura e com latências reduzidas. Como opção disponibilizamos serviço de VPN quer seja “client to site” ou “site to site”, permitindo acesso seguro e por rede privada aos serviços e infraestrutura alojada nos vários Datacenters;

· Toda a infraestrutura é monitorizada 24x7x365 a partir dos NOC do nosso fornecedor, disponibilizando gráficos com métricas e latência de acesso aos serviços para os vários clientes (serviços que o incluam). Em caso de eventos, a equipa de operações é notificada e são tomadas as ações necessárias à normalização do serviço. Possuímos SIEM (security information and event management) eficiente bem como política de Gestão de vulnerabilidades, com Monitorização 24x7x365.

 

2 - Encarregado de Proteção de Dados (“DPO - Data Protection Officer”) é o responsável pelo tratamento e proteção dos dados pessoais.

A nomeação de DPO será mandatória para autoridades públicas, com exceção dos tribunais ou autoridades judiciárias independentes, quando atuem no exercício das suas funções judiciais. Além das autoridades públicas será obrigatório um DPO para todos os Controlador(es)/Responsável(eis) pelo tratamento e Processador/Subcontratante, cujas atividades principais consistam em operações de processamento de dados de forma regular e sistemática e em larga escala ou quando esses dados pertençam a categorias especiais – dados sensíveis. Segundo o art.º 9 do RGPD são dados sensíveis todos os que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

O DPO deve ser nomeado com base nas suas qualificações profissionais com especial enfoque no conhecimento técnico sobre legislação e práticas de proteção de dados.

O DPO é o responsável pela conformidade e pela gestão de processos tendo em vista a segurança de dados. É ainda responsável por lidar com situações de crise, como fugas de informação ou outros problemas críticos para continuidade de negócios no que concerne à manutenção e processamento de dados pessoais e confidenciais.

Mesmo nas entidades em que não seja obrigatório o DPO, a entidade deverá designar um responsável pelo tratamento, ou seja, uma entidade, funcionário ou não que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais.

A GoFox tem um DPO que poderá ser contactado diretamente para o email dpo@gofox.pt.

 

3 - Responsabilidade por fundamento na coleta e processamento de dados

Como Processador/Subcontratante a GoFox garante a todos os seus clientes que leva a cabo as medidas técnicas e organizativas adequadas para cumprimento da lei e de forma a assegurar a segurança da informação e a defesa dos direitos do titular dos dados. Enquanto Processador/Subcontratante, todos os dados armazenados nos nossos servidores foram recebidos com base na contratação do referido serviço e assim prevalecem enquanto o serviço/contrato prevalecer. Fora este tempo fica a obrigação residual, também advinda do próprio contrato, de manter, durante os tempos definidos os backups dos conteúdos anteriormente alojados.

 

4 - Prestar contas da conformidade com o RGPD – Accountability

No sentido do RGPD, a prestação de contas é a prova de conformidade de uma entidade com o próprio regulamento. Nessa mesma lógica, a responsabilidade é acompanhada de medidas para mostrar a realidade da proteção de dados. É importante observar esses dois aspetos da responsabilidade: a implementação responsável do RGPD e do “relatório”. Nesse contexto, o RGPD impõe aos Controlador(es)/Responsável(eis) pelo tratamento adaptar o seu funcionamento de forma a garantir (e poder mostrar - “renderizar contas” se traduzirmos literalmente o termo), que os seus tratamentos de dados pessoais cumprem a lei.

 

5 - Fugas de informação e falhas de segurança - data breaches

A GoFox enquanto Processador/Subcontratante junto com os fornecedores adjacentes aos serviços prestados sempre usou de uma política de transparência para com os seus clientes, portanto a obrigação de comunicação será levada a cabo nos termos anteriormente definidos, desta feita cumprindo o procedimento estipulado. Considerando e analisando, em abstrato, os vários tipos de informação e a sua criticidade, a sua eventual exposição a terceiros não autorizados e consequente potencial impacto no caso de um evento deste tipo, foi elaborada uma Política de eventos de fuga de informação. Esta política estabelece procedimentos específicos, com instruções de trabalho claras para, face a um facto concreto, qualquer sujeito estar apto a analisar e a reagir de forma eficiente e rápida respondendo à necessidade de contenção e solução do problema no menor tempo possível. Tendo em conta as obrigações específicas concernentes a dados pessoais em concreto, para que melhor se adeque a reação a um incidente de privacidade, foi criado um procedimento específico para gestão de incidentes de Segurança de Informação e Privacidade.

Este procedimento é o que garante uma análise equilibrada e devidamente guiada sobre o evento, que no estrito cumprimento do RGPD, permite aferir as necessidades de ações subsequentes, como sendo a obrigatoriedade de comunicação ou não deste evento ao cliente e à CNPD. Todas estas ações ficam devidamente registadas bem como as suas respetivas justificações de forma a servir de evidência e suporte a qualquer ação investigação superveniente.

 

C – Supervisão

1 - Autoridade de controlo nacional definida pela Lei Lei n.º 58/2019

Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD.

A CNPD é definida na lei como uma entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira para controlar e fiscalizar o cumprimento do RGPD e demais lei, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais tendo em vista a defesa dos direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.

Para tal, todas as entidades sujeitas ao RGPD e a esta lei têm o dever de colaboração de forma a auxiliar em qualquer processo em que seja requerido, salvo as exceções previstas na própria lei.

Assim, define a CNPD que nos termos do n.º 1 do artigo 35.º do RGPD, os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares têm de ser precedidos de uma AIPD – (Avaliação de Impacto sobre a Proteção de Dados). Considerando definido, a título exemplificativo, três tipos de situações que preenchem os pressupostos desta obrigação do responsável pelo tratamento de dados, art. 35.º/3 do RGPD, a CNPD é a entidade responsável por elencar, nos termos dos pressupostos do n.º 1 do artigo 35º RGPD, outros tratamentos suscetíveis de implicar esse risco, e que, preenchendo os pressupostos do n.º 1 do artigo 35 integram uma lista complementar que agora se apresenta com a obrigação de ser precedido por uma AIPD - Regulamento n.º 1/2018 relativo à lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados. Esta não é uma lista não exaustiva, mas dinâmica, tal como a sociedade da informação sendo dever de todos os responsáveis por tratamento de dados pessoais de tomar conhecimento desta lista, sem prejuízo de sugerir a todos os que demais, apesar de não constarem desta lista de levarem a cabo uma AIPD.

Considerando que (artº35) pretende o RGPD exigir que o controlador de dados crie uma Avaliação de Impacto na Proteção de Dados (AIPD) nos casos em que exista elevado risco de direitos e liberdades de pessoas singulares, dependendo da natureza, âmbito, contexto e finalidade dos dados e do tipo de tratamento que lhe é dado, vem também estabelecer fatores específicos que ajudam à determinação do que poderá ser considerado alto risco. Portanto, para determinar se uma AIPD é necessária, um controlador de dados deve considerar esses fatores, juntamente com os expostos na lista de tratamento de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados.

Enquanto Processador/Subcontratado, não existe nenhum serviço prestado pela GoFox, que pela sua natureza, exija necessariamente a criação de uma AIPD pela GoFox ou pelo Controlador/Responsável pelo tratamento de dados que o utilize. A análise sobre a necessidade de uma AIPD dependerá dos detalhes e do contexto da forma como o Controlador/Responsável pelo tratamento de dados usa os serviços subscritos.

Assim:

• A GoFox não fornece recursos para executar determinados processamentos automatizados de dados, mas como não conhece os dados que aloja nem o que com eles é feito remete a averiguação da necessidade de resposta a esta exigência para o Controlador/Responsável pelo tratamento de dados pessoais;

• Nenhum serviço em concreto comercializado pela GoFox está preparado ou tem como objetivo processar categorias especiais de dados pessoais, por isso os serviços da GoFox, na sua natureza não potenciam ou aumentam o risco inerente ao processamento de um Controlador/Responsável pelo tratamento de dados pessoais. Naturalmente que nada impede o Controlador/Responsável pelo tratamento de dados pessoais de usar os serviços da GoFox para processar categorias especiais de dados (constantes no artº53/3 ou na lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados;

Alinhado com estas considerações, o Controlador/Responsável pelo tratamento de dados deverá fazer uma análise do tipo de dados e tratamento que lhes é dado para avaliar sobre a necessidade ou não de uma AIPD.

 

 

 

 

Quer ser contactado?
Precisa de um Orçamento?

Quer ser contactado?

Nome

Email

Telefone

Mensagem

Código de Segurança