O Regulamento Geral sobre a Proteção de Dados (RGPD) apresenta desafios únicos para as plataformas de tecnologia jurídica. Os documentos legais contêm habitualmente dados pessoais sensíveis — nomes, moradas, dados financeiros e por vezes informações de saúde ou de registo criminal — tornando a conformidade com o RGPD não apenas uma obrigação legal, mas um requisito fundamental de confiança.
Para os fornecedores de tecnologia jurídica, a distinção entre responsável pelo tratamento e subcontratante é crucial. Quando um escritório de advogados utiliza a sua plataforma para analisar contratos de clientes, atua tipicamente como subcontratante. Isto significa que deve implementar medidas técnicas e organizativas adequadas, manter registos de tratamento e assegurar que os dados são utilizados apenas para os fins especificados pelo responsável pelo tratamento. Os Acordos de Tratamento de Dados devem estar em vigor com cada cliente, definindo claramente o âmbito e a natureza do tratamento.
O direito ao apagamento coloca desafios particulares no contexto da tecnologia jurídica. Embora os indivíduos possam solicitar a eliminação dos seus dados pessoais, os documentos legais servem frequentemente como provas ou registos que devem ser conservados ao abrigo de outras obrigações regulamentares. Navegar nesta tensão requer uma análise jurídica cuidadosa e políticas claras de conservação de dados que equilibrem os requisitos do RGPD com as obrigações profissionais e as normas de preservação de documentos.
A implementação prática começa pelo mapeamento de dados: compreender exatamente que dados pessoais transitam pelo seu sistema, onde são armazenados, quem tem acesso e durante quanto tempo são conservados. A partir daí, implemente a privacidade desde a conceção — cifragem em repouso e em trânsito, controlos de acesso baseados no princípio do menor privilégio, aplicação automatizada da retenção de dados e registo de auditoria abrangente. As Avaliações de Impacto sobre a Proteção de Dados (AIPD) devem ser realizadas regularmente quando se introduzem novas funcionalidades que processem dados pessoais de formas inovadoras.
Perguntas frequentes
- Quem deve cumprir o GDPR?
- Qualquer organização que trate dados pessoais de residentes na UE ou no EEE, independentemente de onde a organização esteja sediada. Um escritório norte-americano que atende um cliente da UE precisa cumprir. Um fornecedor de SaaS japonês com usuários na UE precisa cumprir.
- Qual é a diferença entre controlador e operador de dados?
- Um controlador decide por que e como os dados pessoais são tratados — tipicamente o escritório. Um operador age segundo as instruções do controlador — tipicamente a plataforma de tecnologia. Controladores têm a responsabilidade principal; operadores implementam segurança e seguem instruções.
- O direito ao apagamento prevalece sobre obrigações de retenção de documentos jurídicos?
- Não de forma absoluta. O artigo 17(3) do GDPR exclui tratamentos necessários ao exercício ou defesa de direitos em processo e os exigidos por obrigação legal. Escritórios precisam documentar prazos de retenção e efetivamente apagar ao seu término.
Leitura adicional
Um Acordo de Tratamento de Dados (DPA) é um contrato entre um responsável pelo tratamento e um subcontratante que define como os dados pessoais podem ser tratados em nome do responsável. Conforme o artigo 28 do RGPD, um DPA é obrigatório sempre que um responsável utiliza um subcontratante e deve abranger objeto, duração, âmbito e obrigações do subcontratante.
→Um Acordo de Confidencialidade (NDA) é um contrato pelo qual uma ou ambas as partes se comprometem a não divulgar certas informações a terceiros. Define o que é considerado confidencial, quanto tempo dura a obrigação, com quem a informação pode ser partilhada e o que acontece se vazar.
→A indenização é uma promessa contratual pela qual uma parte (indenizante) se compromete a cobrir as perdas sofridas por outra parte (indenizado) em decorrência de eventos específicos — tipicamente reclamações de terceiros, violação de declarações ou danos definidos. A cláusula define quais perdas são cobertas, gatilhos, limites e eventuais exclusões.
→