Legal Alert | Aplicação do direito de acesso aos dados pessoais - Novo relatório do CEPD

O Comité Europeu de Proteção de Dados (CEPD) e as autoridades de supervisão da União Europeia (UE) publicaram, no mês passado, no âmbito da iniciativa do Quadro Coordenado de Execução, um Relatório sobre o estado de arte da aplicação do direito de acesso pelos responsáveis pelo tratamento dos dados pessoais na UE. O Relatório envolveu a análise de um total de 1185 responsáveis pelo tratamento, dos setores público e privado.

Este direito, consagrado no artigo 15.º do Regulamento Geral sobre a Proteção de Dados (RGPD), permite aos titulares de dados pessoais aceder a informação suficiente e transparente para verificar a licitude do tratamento, facilitando o exercício dos restantes direitos dos titulares (por exemplo, o direito ao apagamento dos dados).

Na sequência de investigações e inquéritos sobre a aplicação do direito de acesso e sobre o conhecimento das Orientações do CEPD 1/2022, o CEPD identificou alguns problemas e propôs recomendações específicas para mitigação ou resolução de tais problemas, dirigidas aos responsáveis pelo tratamento dos dados, das quais se destacam as seguintes:

• Desconhecimento do âmbito do acesso a ser concedido: o responsável pelo tratamento deve realizar uma análise prévia do tipo de informações que pode ser abrangida por conter dados pessoais, e a identificação prévia dos locais de armazenamento das mesmas. Para tal, os responsáveis podem recorrer ao Registo de Atividades de Tratamento, o qual deve estar atualizado;
• Abordagem inconsistente, pelos responsáveis pelo tratamento, quanto ao período de conservação de pedidos de acesso: não se deve recorrer, por defeito, a períodos de conservação legais para outros tipos de documentos ou registos. O período de conservação destes pedidos deve ser definido com base em critérios objetivos e o raciocínio deve ser documentado. Estes pedidos e respetivas comunicações devem ser armazenados separadamente de outras informações sobre o titular dos dados, que podem estar sujeitas a outros períodos de conservação;
• Ausência de procedimentos internos: devem ser estabelecidos canais para qualificar e filtrar pedidos de acesso, envolvendo os atores internos relevantes e implicando também a formação dos colaboradores. Se os responsáveis tiverem dúvidas sobre se uma comunicação configura um pedido de acesso nos termos do artigo 15.º do RGPD, devem confirmá-lo junto do requerente. Os responsáveis devem orientar os titulares sobre os diferentes tipos de pedidos, por exemplo estabelecendo um formulário com questões preliminares;
• Obstáculos à facilitação do direito de acesso: os responsáveis devem assegurar que estão preparados para responder a estes pedidos de acesso (mesmo se submetidos por outros canais). Devem proceder a uma análise casuística para determinar se é necessária mais informação sobre a identidade do requerente e, nesse caso, o responsável deve demonstrar essa necessidade;
• Interpretações inconsistentes e excessivas dos limites do direito de acesso: o CEPD relembra que, nos casos em que é restringido este direito, os responsáveis devem demonstrar as razões subjacentes. Relembra ainda que o direito de obter uma cópia nos termos do artigo 15.º, n.os 3 e 4, do RGPD deve ser examinado caso a caso;
• Informação fornecida aos titulares insuficientemente detalhada ou adaptada: uma vez que os responsáveis pelo tratamento devem registar o nome e a localização dos destinatários dos dados para os identificar junto do titular, o CEPD sublinha, ainda, a utilidade de manter um registo exaustivo de atividades de tratamento.

Não obstante não configurarem recomendações vinculativas, as sugestões do CEPD são úteis e devem ser tidas em consideração pelos responsáveis pelo tratamento. São esperados novos desenvolvimentos em matéria de exercício de direitos e um exercício semelhante para 2025, focado na aplicação do direito ao apagamento de dados.