O Gabinete para a Protecção de Dados Pessoais (GPDP) atendeu às recentes discussões, dentre vários sectores da comunidade local, sobre protecção de dados pessoais, activadas por um programa de subsídio, intitulado de “Amor pelo lar e pela Pátria ——— Celebrações de 60.º aniversário da RPC e 10.º aniversário da RAEM”, promovido pela Fundação Macau. O GPDP lembra todos os cidadãos de que a “Lei da Protecção de Dados Pessoais” entrou já em vigor em Fevereiro de 2006, todas as entidades públicas ou privadas e pessoas singulares têm a obrigação de cumprir esta lei. As condutas que violam a “Lei da Protecção de Dados Pessoais” constituem infracções administrativas, cuja sanção pode chegar no máximo a multa de duzentas mil patacas, ou crimes, cuja sanção máxima está prevista para prisão de quatro anos ou multa de 480 dias, sendo susceptível de ser acrescentada pena acessória. O GPDP é a autoridade pública a que se refere a “Lei da Protecção de Dados Pessoais”; de acordo com o artigo 28.º da citada lei, qualquer cidadão pode nos termos da lei recorrer a meios administrativos ou jurisdicionais para garantir o cumprimento das disposições legais e regulamentares em matéria de protecção de dados pessoais e tem direito de apresentar queixa ao GPDP. Em termos gerais, as entidades responsáveis pelo tratamento e recolha de dados pessoais devem respeitar os seguintes:
I. De acordo com o disposto nos artigos 2.º e 5.º da “Lei da Protecção de Dados Pessoais”, 1. Devem processar de forma transparente e no respeito pela reserva da vida privada e pelos direitos, liberdades e garantias fundamentais estabelecidos na legislação vigente;
2. Devem tratar e recolher os dados de forma lícita; 3. Devem respeitar o princípio da boa fé; 4. Devem proceder à recolha para finalidades determinadas, explícitas, legítimas e directamente relacionadas com o exercício da actividade das respectivas entidades, não podendo posteriormente tratar os dados de forma incompatível com essas finalidades; 5. Devem respeitar o princípio da proporcionalidade, não podendo tratar e recolher dados pessoais de modo excessivo; 6. Devem manter tanto quanto possível a exactidão dos dados; 7. Conservam os dados apenas durante o período necessário para a prossecução das finalidades da recolha. II. Nos termos do artigo 10.º da mesma lei, os titulares dos dados gozam do direito de informação, as entidades responsáveis pelo tratamento e recolha têm a obrigação de prestar-lhes uma série de informações, incluindo : 1. A identidade da(s) entidade(s); 2. As finalidades do tratamento e recolha; 3. As categorias de destinatários dos dados; 4. O direito de acesso e de rectificação dos titulares, etc. Se houver documentos que sirvam de base à recolha de dados pessoais, estes documentos devem conter as informações acima referidas. No caso de recolha de dados em redes abertas, os titulares dos dados devem ser informados do respectivo risco de uso. III. Em conformidade com o disposto no Capítulo IV da mesma lei, as entidades responsáveis pelo tratamento e recolha de dados pessoais ficam obrigadas a sigilo profissional e devem assegurar a segurança e confidencialidade dos dados. Devem, ainda, pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais, as quais têm que assegurar um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger. Em caso de incumbir a um terceiro tratamento e recolha de dados pessoais, a entidade responsável deve escolher uma organização ou pessoa credível, estipular instruções concretas de tratamento e ter cautela com os riscos legais, em regime de responsabilidade solidária, provenientes de eventual acto ilícito do terceiro incumbido. Além do supramencionado, o GPDP aconselha as associações ou entidades, requerentes do programa de subsídio às celebrações, promovido pela Fundação Macau, a prestar especial atenção, no âmbito de segurança dos dados pessoais, aos seguintes : 1. Devem elaborar política de segurança da informação, exigir o pleno implementação da mesma por todo o pessoal (incluindo responsáveis de associação ou entidade, empregados ou empregados a tempo parcial, voluntariados ou outros incumbidos de tarefas, etc.) e fixar as respectivas medidas sancionatórias para eventual incumprimento de disciplina;
2. Devem conservar os papeis que registam os números de BIR e telefones de contacto dos participantes nas celebrações, num local apropriado (por exemplo, secretaria ou com guarda vigilante, ou com medidas de segurança suficientes), ou guardar os papeis num local com fechadura, impedindo o acesso de pessoa sem devida autorização;
3. Devem proteger os documentos electrónicos que registam os números de BIR e telefones de contacto dos participantes nas celebrações, permitindo apenas pessoal condicionado a processar, aceder, rectificar, duplicar e apagar dados e armazenando-os num suporte com medidas de segurança suficientes (por exemplo, computador com software de segurança), ou encriptando-os quando necessário. Aliás, devem ainda evitar transmitir os supramencionados dados através de redes abertas.
4. Devem lembrar o pessoal de que será aplicada a quem violar a “Lei da Protecção de Dados Pessoais” pelo acesso, rectificação, destruição não autorizados dos dados pessoais ou pelo incumprimento de obrigações relativas a protecção de dados, a pena de prisão até 4 anos e multa até 480 dias. O GPDP apela a todas as entidades públicas ou privadas e pessoas singulares para que cumpram rigorosamente a “Lei da Protecção de Dados Pessoais”, tratando e recolhendo os dados pessoais em conformidade com as normas legais.
