Introdução
O princípio da responsabilização, também conhecido como responsabilidade proativa, é a obrigação prevista no Regulamento Geral sobre a Proteção de Dados (RGPD), segundo a qual o responsável pelo tratamento não só tem de cumprir a legislação em matéria de proteção de dados, como também tem de ser capaz de demonstrar esse cumprimento através de documentação e de medidas técnicas e organizativas verificáveis.
Em muitos casos, a origem das sanções reside no incumprimento formal da regulamentação em vigor em matéria de proteção de dados, por exemplo, na falta de legitimidade para o tratamento de dados. Noutros casos, a origem está em erros na gestão dos dados, que comprometem seriamente os direitos dos utilizadores do ponto de vista da privacidade. Por exemplo, ao fornecer informações a terceiros sem autorização.
Hoje, na nossa nova série de conteúdos sobre o RGPD, vamos falar sobre o princípio da responsabilidade.
Protege a reputação e os ativos financeiros da tua organização, implementando protocolos automatizados que minimizam qualquer risco legal ou sanção na gestão de dados, graças às nossas soluções de conformidade regulamentar.
A importância do princípio da responsabilidade
É verdade que hoje em dia, com o desenvolvimento do cibercrime e a sua especialização tecnológica, é difícil evitar que uma falha de segurança se transforme numa fuga ou roubo de dados de clientes. Por este motivo, o Regulamento Geral sobre a Proteção de Dados (RGPD) obriga o responsável pelo tratamento de dados a pôr em prática todos os meios possíveis para minimizar o seu impacto na organização. Assim, quando ocorre uma violação, é obrigatório notificar as autoridades de controlo num prazo máximo de 72 horas. Isto faz parte do princípio da responsabilização, também conhecido como responsabilidade proactiva.
A responsabilidade é entendida como a capacidade do responsável pelo tratamento de dados de cumprir (e demonstrar que o faz) os regulamentos de proteção de dados. Algumas das empresas recentemente sancionadas pela AEPD, de acordo com o pronunciamento da própria agência, não respeitaram esse princípio. Por exemplo, uma das multas aplicadas a uma empresa deveu-se à não atualização dos dados de um cliente, o que resultou na sua inclusão num ficheiro de não-pagamentos. Noutros casos de empresas sancionadas, o motivo foi a falta de uma base de dados que permitisse o tratamento dos seus dados com garantias. Ou, ainda, a incapacidade de provar que o cliente ou utilizador do serviço deu o seu consentimento. Nestes casos, o resultado foi uma violação do artigo 7.º, n.º 1, do RGPD:
1) Se o tratamento se basear no consentimento da pessoa em causa, o responsável pelo tratamento deve poder provar que a pessoa em causa deu o seu consentimento para o tratamento dos seus dados pessoais.
Em qualquer dos casos acima mencionados, é detectada uma falta de cumprimento do princípio da responsabilidade proactiva por parte do responsável pelo tratamento de dados, o que mostra que a gestão de dados não cumpre os requisitos do regulamento.
| Obrigação de prestação de contas | Descrição prática | Base jurídica: RGPD |
|---|---|---|
| Registo das atividades de tratamento | Documentar todos os tratamentos de dados realizados pela organização | Art. 30.º |
| Avaliação de impacto (EIPD) | Fazer uma análise de risco prévia em tratamentos de alto risco | Art. 35.º |
| Privacidade desde a conceção e por predefinição | Incorporar a proteção de dados desde a conceção dos processos e sistemas | Art. 25.º |
| Contratos com subcontratantes | Documentar as relações com os prestadores de serviços que tratam dados em nome do responsável | Art. 28.º |
| Notificação de falhas de segurança | Comunicar à AEPD, no prazo de 72 horas, qualquer violação que afete os direitos das pessoas | Art. 33.º |
| Comprovação do consentimento | Comprovar que o titular dos dados deu o seu consentimento válido e informado | Art. 7.1 |
| Nomeação do DPO (quando for o caso) | Nomear um Encarregado da Proteção de Dados nas organizações obrigadas | Art. 37.º |
Seleção de ferramentas eficazes para a gestão de dados
É justo reconhecer que a gestão de dados não é simples devido ao seu volume e complexidade. Em muitos casos, dependerá também de outros factores como, por exemplo, o investimento necessário (financeiro e humano) para a tratar em conformidade com a lei.
No entanto, existem hoje ferramentas ágeis que permitem centralizar e armazenar os consentimentos dos utilizadores ao longo de todo o ciclo de vida da sua relação contratual, incluindo a possibilidade de o titular dos dados retirar a sua autorização a qualquer momento e com garantias.
Além disso, estas ferramentas cumprem os princípios da privacidade desde a conceção e por defeito, que incorporam as mais elevadas medidas de segurança e normas de privacidade para os dados dos clientes. Ajudam também a provar, se for caso disso, que o responsável pelo tratamento dos dados os obteve legitimamente.
Na prática, uma plataforma de gestão de consentimento (CMP) integrada com os canais de comunicação — e-mail, SMS, WhatsApp — permite centralizar os registos de consentimento, gerir a sua validade, registar as revogações e gerar provas auditáveis em tempo real. Quando essa plataforma é operada por um Prestador de Serviços de Confiança Qualificado (PSCC) ao abrigo do eIDAS, as provas geradas têm presunção legal de validade em toda a UE, o que reforça significativamente a posição do responsável perante a AEPD.
Evita multas dispendiosas e auditorias de dados nas tuas campanhas e comunicações, garantindo uma recolha de autorizações 100% auditável e transparente, de acordo com as normas do RGPD e a gestão do consentimento.
Como é que um prestador de serviços de confiança qualificado te ajuda?
Muitos dos erros cometidos no tratamento de dados devem-se à não obtenção do consentimento das pessoas em causa ou à sua incapacidade de os manter sob a devida custódia e de os poder demonstrar em conformidade.
Neste sentido, um fornecedor de serviços de confiança qualificado, como o MailComms Group, certifica que a comunicação do consentimento ocorreu corretamente e pode fornecer toda a rastreabilidade do envio e receção do consentimento através de qualquer canal: e-mail, SMS, WhatsApp, etc. Desta forma, o responsável pelo tratamento de dados terá a oportunidade de provar que o consentimento foi obtido corretamente. Desta forma, poderá apresentá-lo como prova em caso de reclamação do cliente ou mesmo no processo de alegações em caso de reclamação da AEPD.
O MailComms Group também facilita o cumprimento dos regulamentos por parte dos responsáveis pela responsabilização, sendo um fornecedor certificado da ISO 27001 (Sistema de gestão da segurança da informação) e da ISO 27701 (Sistema de gestão da privacidade da informação).
Esta última norma é uma extensão das normas ISO 27001 e 27002, que abordam requisitos específicos que garantirão que as organizações têm uma governação de dados abrangente e universalmente aplicável, diretamente alinhada com os requisitos legislativos das suas jurisdições. Daí a importância de selecionar soluções e fornecedores que garantam uma segurança de 360° em torno destas ISO e dos seus conceitos abrangentes: segurança e privacidade da informação.
Melhora a navegação nos teus sites e otimiza a interação de todos os teus utilizadores, independentemente das suas capacidades, antecipando-te aos requisitos de design inclusivo estabelecidos pela Nova Lei Europeia de Acessibilidade.
| Necessidade de responsabilização | Como é que uma PSCC como a MailComms lida com isso? |
|---|---|
| Comprovar que o consentimento foi obtido corretamente | Certificação do envio, da receção e do conteúdo do consentimento, com rastreabilidade completa por canal (e-mail, SMS, WhatsApp) |
| Comprovar a validade do consentimento junto da AEPD | O PSCC gera provas eletrónicas com valor probatório ao abrigo da eIDAS, com presunção legal de autenticidade |
| Gestão da revogação do consentimento | Registo certificado da retirada, com data, canal e conteúdo exato da comunicação |
| Cumprimento da notificação de falhas de segurança em 72 horas | Rastreabilidade dos acessos e das comunicações, o que facilita a identificação e a localização da falha |
| Demonstrar segurança da informação (ISO 27001) | O MailComms Group tem certificação ISO 27001 (segurança) e ISO 27701 (privacidade), o que comprova que cumpre as normas de gestão exigidas |
Se a tua organização atua em setores como a banca, os seguros, os serviços públicos ou as telecomunicações, demonstrar a responsabilização não é uma tarefa pontual, mas sim um processo contínuo que tem de ser apoiado por provas certificadas. No MailComms Group, enquanto Prestador de Serviços de Confiança Qualificado (PSCC) certificado pelas normas ISO 27001 e ISO 27701, ajudamos-te a gerir todo o ciclo do consentimento — obtenção, conservação, revogação e comprovação — com total validade jurídica ao abrigo do eIDAS e rastreabilidade auditável pela AEPD a qualquer momento.
Perguntas mais frequentes
O que é o princípio da responsabilização no RGPD?
O princípio da responsabilização, ou responsabilidade proativa, é a obrigação estabelecida no artigo 5.º, n.º 2, do RGPD, segundo a qual o responsável pelo tratamento não só deve cumprir os princípios de proteção de dados, como também deve ser capaz de demonstrar esse cumprimento através de documentação e medidas verificáveis. Isso implica uma abordagem ativa: não basta não infringir as regras, é preciso conseguir provar que as cumpre.
Que obrigações concretas é que a responsabilização implica para uma empresa?
Entre as principais obrigações: manter um registo das atividades de tratamento (art. 30), realizar avaliações de impacto em tratamentos de alto risco (art. 35), aplicar a privacidade desde a conceção e por predefinição (art. 25), documentar contratos com os subcontratantes (art. 28), notificar as falhas de segurança à AEPD no prazo de 72 horas (art. 33) e poder comprovar, a qualquer momento, que o consentimento do titular dos dados foi obtido de forma válida (art. 7.1).
Que sanções pode a AEPD aplicar por incumprimento do princípio da responsabilização?
As sanções podem ir até 10 milhões de euros ou 2% do volume de negócios global anual, no caso de infrações graves, e até 20 milhões de euros ou 4%, no caso de infrações muito graves. A AEPD aplicou recentemente sanções a empresas dos setores bancário, dos seguros, das telecomunicações e dos serviços públicos por incumprimentos relacionados com a falta de base legal para o tratamento de dados, inclusão indevida em ficheiros de devedores e ausência de comprovação do consentimento.
Como é que uma empresa pode provar que obteve o consentimento da forma correta?
Através de prova eletrónica certificada que comprove o envio, a receção e o conteúdo da comunicação de consentimento, com marca de tempo e rastreabilidade do canal utilizado. Quando esta prova é gerada por um Prestador de Serviços de Confiança Qualificado (PSCC) ao abrigo do eIDAS, tem presunção legal de validade em toda a UE, o que coloca o responsável numa posição de vantagem probatória face a qualquer reclamação ou procedimento da AEPD.
Qual é a diferença entre a ISO 27001 e a ISO 27701 no contexto do RGPD?
A norma ISO 27001 certifica o Sistema de Gestão da Segurança da Informação (SGSI) de uma organização, atestando que esta dispõe de controlos técnicos e organizacionais para proteger a informação. A norma ISO 27701 é uma extensão específica da ISO 27001 centrada na privacidade: alarga o SGSI para incluir a governação dos dados pessoais e os requisitos do RGPD, facilitando a demonstração do cumprimento do princípio da responsabilização.