menu close EventosNotíciasContacte-nos search close
Global Site close
  • Americas
  • Asia Pacific
  • Europe
  • Middle East and Africa
ArgentinaArubaBahamasBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoDominican RepublicEcuadorEl SalvadorGuatemalaHondurasMexicoPanamaParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AfghanistanAustraliaCambodiaChinaFrench PolynesiaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNepalNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanLatviaLiechtensteinLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalRomaniaSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTajikistanTurkeyUkraineUnited KingdomUzbekistan
AlgeriaAngolaBahrainCameroonCentral African RepublicCôte d’IvoireEgyptGhanaIraqJordanKenyaKuwaitLebanonLiberiaMaliMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSeychellesSierra LeoneSouth AfricaTanzaniaTogoTunisiaUgandaUnited Arab EmiratesYemenZimbabwe
Português
Português
Serviços
close Serviços
Tax
Serviços
Indústrias
close Indústrias
Indústrias
Publicações
Quem somos
close Quem somos
Quem somos
Carreiras
close Carreiras
Carreiras
EventosNotíciasContacte-nos
search close
O Registo de Atividades de Tratamento

O Registo de Atividades de Tratamento

José Madeira Rodrigues e Paulo Garrido
31/10/2022
O Registo de Atividades de Tratamento

Como consultor de RGPD e como DPO tenho tido oportunidade de ajudar diversas organizações e empresas a implementarem medidas conducentes à obtenção da conformidade com o disposto no RGPD.

Uma das ações que consistentemente abordamos com os nossos clientes é o mapeamento de dados ou Registo de Atividades de Tratamento (RAT). Este é um dos requisitos mais desafiantes da conformidade com o RGPD.  Diz o Artigo 30 do RGPD “Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade.”

Se pensarmos bem a intenção do legislador faz todo o sentido. Se o objetivo do RGPD é proteger os dados, como o seu próprio nome indica, então certamente um dos primeiros passos a dar é conhecermos com clareza quais são os dados pessoais que tratamos, quais as finalidades para os quais os tratamos, por onde circulam, onde estão alojados, como estão protegidos. Não conseguir responder a esta pergunta é um mau indício sobre a efetividade dessa proteção. Se não sabemos o que temos como podemos afirmar que estão protegidos? Que os tratamos de forma legitima? Que não os retemos quando já não servem o propósito para o qual foram recolhidos?

Assim, por mais doloroso que possa ser, a criação do registo de atividades de tratamento é um aspeto incontornável de uma cultura de privacidade e conformidade com o disposto no RGPD.

Aceite isto, a questão que de seguinte se coloca é então, como fazê-lo?

O regulamento é claro sobre qual a informação que deve ser recolhida para este efeito. Finalidades de tratamento, categorias de titulares e de dados, categorias dos destinatários a quem são divulgados, identificação de países terceiros para onde são transferidos, prazos de retenção e a descrição das medidas técnicas e organizativas que os protegem. Deve ser adicionado a isto a identificação do responsável de tratamento, do encarregado de proteção de dados se existir e de alguma documentação de suporte que comprove, no caso das transferências para países terceiros, a existência de garantias adequadas. É isto, dito assim até nem parece ser nada de mais.

A dificuldade, como em quase tudo na vida, é como se atravessa este espaço entre a teoria e a prática. Como é que se conseguem identificar todos os tratamentos (a questão dos tratamentos informais)? Como é que nos asseguramos que não nos escapa nenhuma categoria de dados?  Como estabelecer regras sobre o apagamento? Qual o grau de granularidade que devemos atingir ao nível dos tratamentos (por exemplo, o processamento de salários é um tratamento ou vários tratamentos conexos? E o apoio ao cliente?)?

Quando se começa este trabalho, estas e muitas outras questões colocam-se de forma inevitável e são muitas vezes acompanhadas pela ansiedade natural de quem quer cumprir, mas que sente o chão a fugir. Um sentimento que julgo, muitos encarregados de proteção de dados já experimentaram.

Não existem respostas fáceis, mas, se atingir o ótimo pode ser uma missão quase impossível, dadas as limitações de recursos, conhecimento e tempo, fazer um melhor ou pior trabalho é certamente mensurável.

Na função que desempenho já tive oportunidade de participar em diversos exercícios de mapeamentos de dados ou criação de registos de atividades de tratamento e fruto dessa experiência resultam algumas dicas que julgo auxiliam a atingir um resultado satisfatório.

Escolha bem o seu suporte para o registo:

A CNPD providencia templates para criar o seu próprio registo em formato excel. Pode fazer uso do mesmos ficando assegurado que eles preveem a recolha dos elementos previstos no regulamento. Dito isto uma folha de excel é apenas uma folha de excel. Se quisermos associar a determinados tratamentos algum suporte documental (Avaliações de interesses legítimos ou AIPDs realizadas por exemplo) encontramos aí algumas limitações. De qualquer modo encontre aqui o link da CNPD para esse efeito https://www.cnpd.pt/organizacoes/obrigacoes/registo-de-atividades-de-tratamento/

Pessoalmente prefiro recorrer a aplicações próprias para criar este registo que para alem de não terem as limitações do excel mencionadas acima também facilitam o processo de recolha de dados e de atualização do registo, bem como a sua visualização depois de completado. A aplicação que usamos na Crowe chama-se Hub4DPO.

Constitua uma equipe de trabalho adequada

Quanto maior for uma empresa/organização mais dispersas se encontram as diferentes atividades de tratamento. Assim deve tentar conseguir a participação de pelo menos os responsáveis pelos processos de tratamento. Por exemplo um representante do RH, outro do marketing, outro da área financeira, outro das operações etc. Estes por sua vez podem delegar noutros colegas da mesma área. Como participantes permanentes desta equipe de trabalho devem sempre estar presentes o responsável do projeto (por exemplo o encarregado de proteção de dados) e um membro da equipe de TI.

Crie um inventário de subcontratantes

A associação dos subcontratantes aos diferentes processos de tratamento é um dos elementos fundamentais do Registo. A criação de uma lista de subcontratantes ANTES de iniciar o registo pode ser um exercício muito útil pois pode ajudar a identificar processos que de outro modo poderiam passar despercebidos. Se existe subcontratante existe um processo que precisa de ser mapeado.

Para alem disto a criação desta lista serve também para identificar os subcontratantes que carecem de um contrato que regule a atividade do subcontratante no que respeita ao tratamento dos dados transferidos pelo Responsável de Tratamento.

Aconselhe-se sobre as bases de licitude

As bases de licitude estão identificadas no Artigo 6 do RGPD.

Escolher bem a base de licitude para o tratamento é fundamental. Não abuse do consentimento como base de licitude, não só terá que o recolher e arquivar como deve prever que ele pode ser retirado muito facilmente.

Se optar pelo interesse legitimo prepare-se para fundamentar essa escolha e arquivar essa fundamentação junto do processo em causa.

Se tiver dúvidas pondere aconselhar-se junto de um especialista em RGPD.

O desafio do nível de granularidade

Aqui dever ser encontrado um equilíbrio. Por exemplo se um determinado processo recorre aos dados do cartão de cidadão pode ser mais simples apenas registar “dados de cartão de cidadão” na categoria de dados tratados num determinado processo em vez de elencar todos os dados lá incluídos. Depende do processo e da finalidade. Utilize o bom senso.

Prazos de Retenção

Este pode ser um dos aspetos mais difíceis do mapeamento. Quanto tempo devemos reter dados? Em alguns casos a legislação local responde a esta questão e estabelece prazos de retenção mínimos, mas em muitos outros isso não acontece. O RGPD indica que os dados deverão apenas ser conservados enquanto a finalidade que levou à sua recolha persistir, ou seja se não precisamos dos dados devemos apagá-los. Em teoria parece fácil, mas na prática pode ser difícil de aplicar. Como podemos estar seguros de que não vamos precisar de determinados dados? O melhor conselho que posso dar nesta matéria é que se parta do princípio que os dados devem ser eliminados e que ao determinarmos um prazo de retenção estejamos sempre preparados para responder porque não os apagamos mais cedo, porque precisamos deles? Não saber responder a estas perguntas é sempre um mau princípio se um dia formos obrigados a justificar os prazos escolhidos.

Estes são apenas algumas das aprendizagens feitas ao longo dos tempos. Criar um Registo de Atividades de Tratamento contem muitos outros desafios. Espero, no entanto, que estas dicas possam ajudar.

Termino com uma palavra acerca da atualização. Concluir o registo é uma tarefa desafiante que consome tempo e recursos pelo que é importante que este esforço seja rentabilizado. A tentação de, uma vez concluído o trabalho, o fechar na gaveta e marcar como “Feito” é grande. O problema é que as empresas e organizações estão sempre em evolução e essa mudança de processos, subcontratantes e medidas de segurança devem ser refletidas nos Registos feitos. Assegure-se que este tema é revisitado frequentemente e que são registadas as alterações e evoluções. Não deixe o Registo ficar desatualizado sob pena de ter que correr tudo do princípio outra vez.

Crowe Talks PT: Mapeamento de Dados para DPO's - Caso Prático