As instituições de Macau avaliadas no relatório da Global Privacy Enforcement Network “aumentaram geralmente a sua consciência sobre a protecção de dados pessoais”, refere uma nota divulgada ontem pelo Gabinete para a Protecção de Dados Pessoais. O relatório indica ainda que todas as instituições têm pessoal responsável no tratamento de dados pessoais.

Um inquérito feito pelo Gabinete para a Protecção de Dados Pessoais (GPDP) no âmbito da 6.ª Acção Conjunta de Privacy Sweep, organizada pela Global Privacy Enforcement Network em Setembro do ano passado, revela que as instituições de Macau avaliadas “aumentaram geralmente a sua consciência sobre a protecção de dados pessoais”. O GPDP avaliou oito instituições de tratamento de dados pessoais “em larga escala”, não detalhando quais.

O tema desta acção conjunta, que envolveu, além do GPDP, outras 17 autoridades de privacidade de todo o mundo, teve como tema a “responsabilização de privacidade”. No âmbito do evento, o GPDP enviou, também no passado mês de Setembro, questionários de pesquisa a 13 “instituições de exploração em regime de exclusivo ou de concessão para exploração, que envolvem o tratamento de dados pessoais em larga escala”, sem detalhar quais foram estas instituições. Dos 13 inquéritos enviados, o GPDP recebeu oito respostas.

O primeiro item avaliado neste inquérito foram as políticas internas e os procedimentos e normas das instituições. Neste ponto, o relatório revela que todas as instituições avaliadas contemplam políticas internas de protecção de dados. “Além disso, todas as instituições nomearam pessoas responsáveis pelo tratamento de dados pessoais, que têm geralmente experiências suficientes e competência de gestão, alguns dos quais são directores de ética, outros são assessores jurídicos experientes”, lê-se no relatório. Esta situação permite que o pessoal responsável possa relatar as vulnerabilidades descobertas à administração da instituição “de maneira oportuna e directa, ou fornecer recomendações para optimizar políticas internas, procedimentos e normas”.

Ainda assim, uma das instituições de Macau avaliadas tem políticas internas que têm de ser revistas e aprovadas pela administração, o que, diz o relatório, faz com que o nível de protecção de dados pessoais seja insuficiente para os seus clientes.

No que toca à monitorização, formação e consciência de protecção de dados pessoais, é dito que todas as instituições avaliadas fornecem regularmente formação sobre o tratamento de dados pessoais e “até mesmo fornecem plataformas de aprendizagem electrónica online”. Por outro lado, a maioria das instituições também realiza auto-avaliação ou auditorias internas.

A transparência, ou seja, o facto de a instituição facilitar o acesso de clientes à política de privacidade e explicar claramente como trata os dados pessoais, também foi avaliado. Também neste campo a avaliação foi positiva: “A avaliação constatou que quase todas as instituições avaliadas forneceram a sua política de privacidade no site, a política de algumas instituições também é incluída no aplicativo móvel e está disponível mediante solicitação na recepção”.

Este relatório também avaliou a gestão e a resposta a situações de emergência. “Todas as instituições avaliadas têm procedimento de resposta a emergências”, lê-se no relatório, que acrescenta que “quando ocorreu um incidente, a maioria das instituições notificou o titular dos dados e informou a autoridade de competência”. Algumas destas instituições relataram ainda ao grupo interno de protecção de dados e implementaram uma linha aberta individual para consultas.

Por último, foi ainda avaliada a gestão de riscos e circulação de dados por parte das instituições de Macau. Este indicador, explica o relatório, serve principalmente para verificar se a instituição realizou uma avaliação de riscos no tratamento de dados pessoais e registou tendências de dados na promoção de novos produtos, serviços ou tecnologia. Segundo a avaliação, “a maioria das instituições adoptou medidas correspondentes e até desenvolveu directrizes de avaliação de riscos e segurança. O relatório destaca um exemplo “digno de referência”: uma das instituições, além de exigir que o departamento de execução conserve os registos de tendências de dados, requer também que o departamento informático conserve os registos correspondentes.

O inquérito conclui que, apesar da maior consciencialização por parte das instituições de Macau para as questões da protecção de dados pessoais, “ainda há espaço para melhorias” e que “as instituições devem incorporar a ética nas políticas internas e no processamento de dados pessoais para atender às necessidades do desenvolvimento social”.

Através deste relatório, o GPDP diz esperar vir a fornecer valores de referência relativos à responsabilização de privacidade às instituições e “orientá-las a melhorar ou optimizar o processo e a consciência de protecção de dados pessoais”.