Lista de verificação da conformidade com o RGPD: 12 controlos essenciais que todas as PME europeias devem implementar

O Regulamento Geral sobre a Proteção de Dados continua a ser a pedra angular da legislação europeia em matéria de proteção de dados. Com coimas acumuladas superiores a 5 mil milhões de euros desde 2018, as autoridades de controlo em toda a UE demonstraram um empenho inabalável na aplicação da lei. Para as pequenas e médias empresas, compreender quais os controlos mais importantes já não é opcional. Trata-se de um imperativo comercial.

Esta lista de verificação destila os 12 controlos fundamentais que as autoridades de proteção de dados da UE examinam sistematicamente durante as auditorias. Cada controlo está diretamente relacionado com artigos específicos do RGPD, dando à sua organização um caminho claro desde o texto regulamentar até à conformidade operacional.

1. Mapeamento de dados e registos de actividades de tratamento

O artigo 30 do RGPD exige que os responsáveis pelo tratamento e os subcontratantes mantenham registos escritos das actividades de tratamento. Para as PME, isto significa criar um inventário de dados abrangente que documente todas as categorias de dados pessoais que a sua organização recolhe, a base legal para o processamento, os períodos de retenção e quaisquer terceiros com quem os dados sejam partilhados.

O seu mapa de dados deve abranger todos os departamentos, incluindo RH, marketing, finanças e serviço ao cliente. Muitas acções de execução têm origem em registos incompletos ou desactualizados das actividades de tratamento. A DPA belga, por exemplo, emitiu várias coimas especificamente por violações do artigo 30.º, tratando registos incompletos como prova de falhas de conformidade mais amplas.

• Documentar todas as categorias de dados pessoais tratados (nomes, e-mails, endereços IP, dados de saúde, etc.)
• Registe a finalidade e a base jurídica de cada atividade de tratamento
• Identifique os fluxos de dados entre os departamentos internos e os processadores externos
• Especifique os períodos de conservação para cada categoria de dados
• Actualize o registo pelo menos trimestralmente ou sempre que as actividades de tratamento sofram alterações

2. Estabeleça uma base legal para cada atividade de processamento

O artigo 6.º estabelece seis bases legais para o tratamento de dados pessoais: consentimento, necessidade contratual, obrigação legal, interesses vitais, missão pública e interesses legítimos. Cada atividade de tratamento no seu mapa de dados deve estar ligada exatamente a uma destas bases. Basear-se na base errada, ou não documentar a sua escolha, é uma das violações mais comuns citadas pelas autoridades de controlo.

Para categorias especiais de dados (artigo 9.º), tais como dados relativos à saúde, dados biométricos ou dados que revelem a origem racial ou étnica, deve identificar uma condição adicional nos termos do n.º 2 do artigo 9. O tratamento de dados de categorias especiais sem cumprir os requisitos do artigo 6.o e do artigo 9.o constitui uma infração grave.

• Associe cada atividade de tratamento a uma das seis bases do artigo 6.
• Para interesses legítimos, efectue e documente uma Avaliação de Interesses Legítimos (LIA)
• Nunca utilize o consentimento quando outra base for mais adequada
• Identifique as condições do artigo 9º para qualquer categoria especial de dados

3. Gestão de Consentimentos

Quando o consentimento é a sua base jurídica escolhida, os artigos 7º e 8º impõem requisitos rigorosos. O consentimento deve ser dado livremente, específico, informado e inequívoco. A retirada do consentimento deve ser tão fácil como a sua concessão. As caixas pré-marcadas, o consentimento agrupado ou o consentimento incluído nos termos e condições não cumprem a norma do RGPD.

A CNIL (DPA francesa) tem sido particularmente ativa na aplicação dos requisitos de consentimento, aplicando multas significativas a organizações que recorreram a mecanismos de consentimento de cookies não conformes. A sua plataforma de gestão do consentimento deve gerar registos auditáveis que demonstrem quando, como e para que fim cada indivíduo deu o seu consentimento.

• Implemente mecanismos de consentimento granular (consentimento separado para fins separados)
• Mantenha registos de consentimento auditáveis com carimbos de data/hora
• Disponibilize um mecanismo simples para retirar o consentimento em qualquer altura
• Reveja anualmente a validade do consentimento, actualizando-o sempre que o contexto do tratamento tenha mudado
• Para crianças com menos de 16 anos (ou a idade estabelecida pelo seu Estado-Membro), obtenha o consentimento dos pais nos termos do artigo 8.

4. Avaliação do responsável pela proteção de dados (RPD)

O artigo 37º exige a nomeação de um responsável pela proteção de dados quando as actividades principais do responsável pelo tratamento ou do subcontratante implicam um controlo regular e sistemático das pessoas em causa em grande escala, ou o tratamento em grande escala de categorias especiais de dados. Mesmo quando a nomeação não é obrigatória, a designação de um RPD ou de um responsável pela proteção da privacidade demonstra responsabilidade.

O RPD deve dispor dos recursos necessários para desempenhar as suas funções (artigo 38.º) e deve responder perante o mais alto nível de direção. O encarregado da proteção de dados não pode ser despedido nem penalizado pelo exercício das suas funções e os conflitos de interesses devem ser evitados.

• Avalie se a sua organização é obrigada a nomear um RPD nos termos do artigo 37.
• Se não for necessário, considere uma nomeação voluntária ou designe um responsável pela privacidade
• Assegure-se de que o RPD tem acesso direto aos quadros superiores
• Publicar os dados de contacto do RPD e comunicá-los à sua autoridade de controlo

5. Avaliações de impacto sobre a proteção de dados (DPIA)

O artigo 35.º exige uma AIPD quando o tratamento é suscetível de implicar um risco elevado para os direitos e liberdades das pessoas singulares. Isto inclui a definição sistemática e extensiva de perfis com efeitos significativos, o tratamento em grande escala de dados de categorias especiais e a monitorização sistemática de áreas acessíveis ao público.

A AIPD deve descrever o tratamento, avaliar a sua necessidade e proporcionalidade, avaliar os riscos e identificar medidas para os atenuar. Se a AIPD indicar um risco residual elevado, o artigo 36.º exige a consulta prévia da autoridade de controlo antes do início do tratamento.

• Mantenha uma avaliação do limiar da AIPD para todas as novas actividades de tratamento
• Efectue AIPD completas para o tratamento de alto risco, tal como definido no n.o 3 do artigo 35.o e nas listas publicadas pela sua APD
• Documentar as medidas de atenuação dos riscos e as avaliações dos riscos residuais
• Consultar a autoridade de controlo nos termos do artigo 36º, se o risco residual continuar a ser elevado

6. Procedimentos de notificação de violação de dados

Os artigos 33.oe 34.o estabelecem um regime rigoroso de notificação de violações. As violações de dados pessoais devem ser comunicadas à autoridade de controlo sem demora injustificada e, sempre que possível, no prazo de 72 horas após o conhecimento da violação. Se a violação for suscetível de implicar um risco elevado para as pessoas, estas devem também ser notificadas diretamente.

Muitas autoridades de controlo consideram a notificação tardia como um fator agravante na determinação das coimas. Tanto a DPA (Autoriteit Persoonsgegevens) neerlandesa como a DPC irlandesa impuseram sanções especificamente por atrasos na comunicação de violações, independentemente de qualquer sanção pela falha de segurança subjacente.

• Estabeleça um procedimento interno de deteção e encaminhamento de violações
• Defina funções e responsabilidades para a avaliação e notificação de violações
• Crie modelos de notificações para as autoridades de controlo (requisitos de conteúdo do n.º 3 do artigo 33.º)
• Implemente um registo de violações que documente todas as violações de dados pessoais, incluindo as não comunicadas
• Efectue análises após a violação para evitar a recorrência

7. Transferências transfronteiriças de dados

O capítulo V do RGPD (artigos 44.º a 49.º) restringe as transferências de dados pessoais para países fora do EEE, exceto se existirem garantias adequadas. Na sequência do acórdão Schrems II (C-311/18), as organizações devem efetuar avaliações de impacto das transferências (AIT) para as transferências que se baseiem em cláusulas contratuais-tipo (CCP).

O Comité Europeu para a Proteção de Dados (CEPD) publicou orientações pormenorizadas sobre medidas suplementares para transferências internacionais. Quando a sua organização utiliza serviços em nuvem ou plataformas SaaS com servidores fora do EEE, cada transferência deve ser documentada e avaliada.

• Identifique todas as transferências internacionais de dados no seu mapa de dados
• Verificar as decisões de adequação ao abrigo do artigo 45º para cada país de destino
• Aplicar as SCC (n.º 2, alínea c), do artigo 46.º) com avaliações do impacto das transferências quando não existe uma decisão de adequação
• Documentar medidas técnicas e organizativas suplementares de acordo com as Recomendações 01/2020 do CEPD
• Acompanhe as alterações nas decisões de adequação (por exemplo, a evolução do quadro de privacidade de dados UE-EUA)

8. Acordos com os transformadores

O artigo 28º exige um contrato vinculativo entre os responsáveis pelo tratamento e os subcontratantes que regule o tratamento de dados pessoais. Este contrato deve incluir cláusulas obrigatórias específicas que abranjam o objeto, a duração, a natureza e a finalidade do tratamento, os tipos de dados pessoais e as obrigações do subcontratante.

As autoridades de controlo têm vindo a analisar cada vez mais as relações entre o responsável pelo tratamento e o subcontratante. O Comissário Federal Alemão para a Proteção de Dados (BfDI) sublinhou que a utilização de um subcontratante sem salvaguardas contratuais adequadas constitui uma violação autónoma do RGPD, independentemente da ocorrência de qualquer violação de dados.

• Audite todas as relações existentes com os processadores para verificar a conformidade com o artigo 28.
• Inclua cláusulas obrigatórias: instruções de tratamento, confidencialidade, medidas de segurança, aprovações de subcontratantes, direitos de auditoria, obrigações de eliminação
• Manter um registo de todos os processadores e subprocessadores
• Efectue auditorias periódicas ao processador ou solicite certificações SOC 2 / ISO 27001

9. Avisos de privacidade e transparência

Os artigos 13.oe 14.o exigem que os responsáveis pelo tratamento forneçam informações completas às pessoas em causa no momento da recolha dos dados (ou dentro de um prazo razoável para os dados não obtidos diretamente). As informações devem ser fornecidas de forma concisa, transparente, inteligível e facilmente acessível, utilizando uma linguagem clara e simples.

Os avisos de privacidade devem incluir a identidade e os dados de contacto do responsável pelo tratamento e do RPD, as finalidades e a base jurídica do tratamento, os destinatários dos dados, as garantias de transferência internacional, os períodos de conservação, os direitos da pessoa em causa, o direito de apresentar uma queixa e a eventual utilização de decisões automatizadas (artigo 22.º).

• Forneça avisos de privacidade em camadas que abranjam todos os requisitos dos artigos 13º e 14
• Torne os avisos acessíveis em todos os pontos de recolha de dados (sítio Web, formulários, aplicações, na loja)
• Utilize uma linguagem simples e adequada ao seu público
• Reveja e actualize os avisos sempre que as actividades de tratamento forem alteradas

10. Direitos das pessoas em causa

O capítulo III do RGPD (artigos 15.º a 22.º) concede às pessoas em causa um conjunto de direitos: acesso, retificação, apagamento (o direito a ser esquecido), restrição, portabilidade dos dados, objeção e direitos relacionados com a tomada de decisões automatizadas e a definição de perfis. As organizações devem responder a pedidos válidos no prazo de um mês, prorrogável por mais dois meses para pedidos complexos.

O Garante italiano aplicou várias coimas por não ter respondido aos pedidos de acesso dos titulares dos dados dentro do prazo legal. A sua organização deve ter procedimentos documentados para verificar a identidade, localizar dados relevantes e fornecer respostas no formato exigido.

• Estabeleça procedimentos documentados para cada direito do titular dos dados
• Implemente processos de verificação de identidade para impedir o acesso não autorizado
• Defina fluxos de trabalho de acompanhamento e escalonamento para cumprir o prazo de um mês
• Formar o pessoal de atendimento ao cliente para reconhecer e encaminhar os pedidos dos titulares dos dados
• Mantenha registos de todos os pedidos recebidos e das respostas dadas

11. Medidas técnicas e organizativas de segurança

O artigo 32.º exige que os responsáveis pelo tratamento e os subcontratantes apliquem medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco. Tal inclui, se for caso disso, a pseudonimização e a cifragem, a capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas de tratamento, a capacidade de restaurar os dados em tempo útil e a realização de testes regulares.

As medidas de segurança devem ser proporcionais ao risco. Uma clínica médica que processa dados relativos à saúde exige controlos mais rigorosos do que um retalhista que processa apenas nomes e endereços de entrega. A AEPD espanhola emitiu numerosas multas por medidas de segurança inadequadas, sobretudo quando as organizações não implementaram controlos básicos como a gestão do acesso e a cifragem.

• Implemente a encriptação em repouso e em trânsito para os dados pessoais
• Aplique controlos de acesso baseados em funções com o princípio do menor privilégio
• Implemente a autenticação multi-fator para acesso administrativo e remoto
• Efectue regularmente avaliações de vulnerabilidade e testes de penetração
• Manter e testar a continuidade das actividades e os planos de recuperação de desastres

12. Formação e sensibilização do pessoal

O artigo 39.º, n.º 1, alínea b), identifica a sensibilização e a formação do pessoal como uma tarefa fundamental do RPD. Para além do requisito legal, o pessoal sem formação é a maior fonte de incidentes relacionados com a proteção de dados. O phishing, os e-mails mal direcionados e o tratamento inadequado dos dados são responsáveis por uma proporção significativa das violações comunicadas.

O seu programa de formação deve ser específico para cada função. Os agentes de serviço ao cliente precisam de formação diferente dos administradores de TI ou do pessoal de marketing. A formação deve ser documentada, repetida pelo menos uma vez por ano e actualizada para refletir novas ameaças e desenvolvimentos regulamentares.

• Ministrar formação de sensibilização para o RGPD a todos os funcionários aquando da contratação e, posteriormente, todos os anos
• Forneça formação específica para cada função (por exemplo, comunicação de violações para TI, gestão de consentimentos para marketing)
• Documentar a conclusão da formação e manter registos de presença
• Realize simulações de phishing e exercícios de sensibilização para a engenharia social
• Actualize o conteúdo da formação para refletir as novas tendências e orientações em matéria de aplicação da lei

Criar uma cultura de conformidade

Estes 12 controlos constituem a base da conformidade com o RGPD, mas não são uma lista de verificação única. A proteção de dados é um processo contínuo que requer monitorização permanente, revisões periódicas e adaptação à evolução das expectativas regulamentares. O princípio da responsabilidade, nos termos do n.º 2 do artigo 5.º, exige que possa demonstrar a conformidade em qualquer altura e não apenas uma vez.

Comece com uma análise das lacunas em relação a estes 12 controlos. Dê prioridade à correção com base no risco e crie um roteiro de conformidade com marcos trimestrais. Para as PME sem conhecimentos internos sobre proteção de dados, a contratação de uma consultoria especializada pode acelerar o seu caminho para a conformidade, reduzindo simultaneamente o risco de acções coercivas dispendiosas.

O custo do incumprimento (até 20 milhões de euros ou 4% do volume de negócios anual global nos termos do n.º 5 do artigo 83.º) excede em muito o investimento necessário para criar um programa sólido de proteção de dados. Comece hoje a sua jornada de conformidade.