O Gabinete para a Protecção de Dados Pessoais de Macau (doravante designado por GPDP) participou na 7.ª edição da “Acção Conjunta de Privacy Sweep” com cerca de 20 autoridades da privacidade de todo o mundo, avaliou preliminarmente, através de um questionário, os riscos de tratamento de dados pessoais de algumas entidades privadas de Macau. O GPDP espera orientar, através desta acção, as entidades a melhorar e optimizar os processos e a conscientização relativos à protecção de dados pessoais, a partir dos cinco indicadores estabelecidos pela “Global Privacy Enforcement Network” (GPEN), e fornecer alguns métodos de referência.
Actualmente, a “Responsabilização de Privacidade” (Privacy Accountability) é enfatizada a nível internacional, promovendo a elevação da conscientização das entidades sobre a protecção de dados pessoais, para conhecer as suas responsabilidades desempenhadas e entender as consequências negativas resultantes da violação da lei. Sendo organização internacional, a GPEN realizou a “Acção Conjunta de Privacy Sweep” com o tema de “Comunicação sobre a fuga de dados” para responder ao dever de comunicação obrigatório de acidente de fuga de dados contido no Regulamento Geral sobre a Protecção de Dados Pessoais da União Europeia.
Embora não exista uma disposição relevante na Lei n.º 8/2005, Lei da Protecção de Dados Pessoais, em resposta à entrada em vigor da Lei n.º 13/2019, Lei da Cibersegurança, os operadores privados de infra-estruturas críticas têm deveres de dar conhecimento do facto à respectiva entidade de supervisão na ocorrência de incidentes de cibersegurança, bem como submeter anualmente um relatório de cibersegurança à respectiva entidade de supervisão. Considerando que o sistema relevante corresponde ao tema desta acção, sob a premissa de considerar a natureza de entidades e a quantidade de dados tratados, entre outros factores, o GPDP escolheu actividade bancária e seguradora dos “operadores privados de infra-estruturas críticas” definidos na lei referida como destinatário de avaliação.
Nos termos das regras adoptadas na GPEN, o GPDP fez a avaliação dos vários indicadores, tais como a consciência sobre o enquadramento legal relativo à regulamentação da fuga de dados, o procedimento interno do tratamento da fuga de dados, como impedir que incidentes semelhantes ocorram novamente, entre outros.
Segundo os resultados da avaliação, mais de 80% das entidades obtêm a pontuação “Muito bom” ou “Satisfeito” na auto-avaliação de cada indicador, isso reflecte que as entidades avaliadas têm confiança em lidar com acidentes de fuga de dados. Apesar disso, o GPDP ainda enfatiza que, com o rápido desenvolvimento da ciência e tecnologia, as entidades devem estar sempre vigilantes para melhorar e optimizar constantemente o sistema de dados e as políticas relacionadas, especialmente evitar a ocorrência de fuga de dados no tratamento de dados pessoais de uma grande quantidade de clientes, caso contrário, pode causar danos irreversíveis aos interessados e desempenhar as respectivas responsabilidades devido à violação de disposições.
O GPDP espera orientar, através desta acção, as entidades a melhorar e optimizar os processos e a conscientização relativos à protecção de dados pessoais, a partir dos cinco indicadores estabelecidos pela GPEN, e fornecer alguns métodos de referência, a título de exemplo, algumas entidades exigem que, em caso da ocorrência da fuga de dados grave, lhes seja comunicada dentro do prazo determinado e que se realize regularmente auto-avaliação de riscos; Quanto ao procedimento interno do tratamento da fuga de dados, implementam-se as orientações adequadas e regras de execução, entre outros; Disponibiliza-se pessoal ou grupo responsável exclusivo pela protecção de dados pessoais para tratar incidentes de fuga de dados; Relativamente à implementação de um gerenciamento eficaz, conservam-se registos ou diários sobre a fuga de dados ou possíveis incidentes de fuga, e fiscalizam-se, de forma contínua, as entidades para alcançarem os padrões de protecção de dados. A par disso, o GPDP publicou algumas definições de “acidente por violação/acidente grave” na política da privacidade de algumas entidades e os processos viáveis em geral para evitar que acidentes de fuga de dados ocorram novamente, para serem referências ao público.
O relatório sobre a “Acção Conjunta de Privacy Sweep” de 2019 já se encontra disponível em “download” da página electrónica do GPDP (www.gpdp.gov.mo) para os cidadãos interessados.