18 autoridades da privacidade de todo o mundo, incluindo o Gabinete para a Protecção de Dados Pessoais (doravante designado por GPDP), participaram, em Setembro de 2018, na 6.ª edição da “Acção Conjunta de Privacy Sweep”desenvolvida pela“Global Privacy Enforcement Network, GPEN”, com vista a tomar conhecimento se o responsável pelo tratamento toma medidas específicas para atender aos requisitos legais relativos à protecção de dados pessoais.
O tema desta acção conjunta é a “responsabilização de privacidade”, é reconhecido como um princípio de protecção de dados pessoais e exige geralmente que o responsável pelo tratamento tome medidas específicas (incluindo operações de actividades, enquadramento interno da privacidade e especificações, formação e consciência da protecção da privacidade, transparência de instituições, gerenciamento de incidentes de emergência, trilhas de auditoria de dados, entre outros) para atender aos requisitos legais relativos à protecção de dados pessoais e para implementar e concretizar os principais princípios de protecção de dados pessoais através de políticas internas.
Para realizar a acção conjunta, o GPDP mandou, em Setembro de 2018, questionários de pesquisa a 13 instituições de exploração em regime de exclusivo ou de concessão para exploração, que envolvem o tratamento de dados pessoais em larga escala, para estas realizar avaliações sobre o seu estado de tratamento de dados pessoais a partir dos indicadores estabelecidos. O GPDP recebeu em total 8 questionários de pesquisa preenchidos.
Nos termos das regras adoptadas na GPEN, o GPDP fez a avaliação dos seguintes cinco indicadores:
- Políticas internas, procedimentos e normas;
- Monitorização, formação e consciência de protecção de dados pessoais;
- Transparência;
- Gestão e resposta a situações de emergência;
- Gestão de riscos e circulação de dados.
A avaliação desta acção demonstrou que as instituições avaliadas aumentaram geralmente a sua consciência sobre a protecção de dados pessoais, incluindo nomeação espontânea de pessoal responsável pelo tratamento de dados pessoais, implementação de medidas e procedimentos para responder a incidentes de fuga de dados e conservação de informações sobre tendências de dados pessoais, podendo conectar com os padrões internacionais na área de protecção de dados pessoais, mas ainda há espaços para melhorias, por exemplo, as instituições devem incorporar a ética nas políticas internas e no processamento de dados pessoais para atender às necessidades do desenvolvimento social.
Com o desenvolvimento rápido da sociedade, as exigências da protecção de dados pessoais são cada vez mais elevadas. Antigamente, só se focava a legitimidade de tratamento de dados, mas, hoje em dia, as perspectivas gerais da comunidade internacional consideram que o responsável pelo tratamento deve respeitar e seguir a ética no tratamento de dados pessoais. Por isso, para além do cumprimento da Lei da Protecção de Dados Pessoais, o responsável pelo tratamento deve pensar mais na perspectiva dos utilizadores para definir políticas segundo o princípio de boa-fé.
Através deste relatório, o GPDP espera fornecer alguns valores de referência relativos a “responsabilização de privacidade” às instituições e orientá-las a melhorar ou optimizar o processo e a consciência de protecção de dados pessoais a partir dos cinco indicadores definidos pela GPEN e fornecer algumas práticas dignas de referência.
O relatório sobre a “Acção Conjunta de Privacy Sweep” de 2018 já se encontra disponível ao público na página electrónica do GPDP (www.gpdp.gov.mo).