Os dados de investigação, mais propriamente a gestão de dados de investigação, ainda representam um papel apreensivo nesta área, por necessitar de evoluir e ser realmente regrada face ao ciclo de vida dos dados como um todo. Por isso mesmo é que consciencializar os investigadores sobre as duas perspetivas aqui em causa, quer a dos dados de investigação, quer a dos dados pessoais envolvidos nas investigações é e ainda representa um papel tão importante. Assim, com o findar do trabalho prático proposto
104
foi posta em prática a análise dos resultados, tendo em vista orientações para o tratamento dos dados de investigação.
Ao longo do trabalho foi notável a envolvência dos investigadores relativamente aos dois aspetos mencionados. As suas inquietações demonstraram quais os pontos prioritários, orientando o trabalho nesse sentido, muito embora seguindo uma perspetiva mais técnica, tendo em conta a base em Ciência da Informação.
Foi possível observar nos investigadores uma progressão quanto às suas preocupações no decurso das suas tarefas, passando a questionar os processos que executavam, demonstrando espírito crítico relativamente aos mesmos.
O trabalho realizado nesta dissertação pretendia orientar os dados inerentes aos projetos que inseriam o caso de estudo, por intermédio de ferramentas que se focavam na identificação, análise, organização e apreciação dos dados, não só ao nível da investigação, mas também ao nível dos dados que possibilitavam a identificação de um indivíduo. Rapidamente se compreendeu a importância de mapear e categorizar os conteúdos para os investigadores, para os projetos em si e para contactos com investigações futuras.
Quanto à gestão do risco foi percetível o seu valor antes de se proceder à realização de AIPD. A gestão do risco cria e protege o valor, auxilia na tomada de decisões, considera explicitamente a incerteza através de uma metodologia sistemática e estruturada, pois tem como direção principal que os objetivos, previamente estipulados, sejam alcançados colocando em cima da mesa os cenários que podiam contribuir ou impedir que as metas fossem atingidas. Neste caso, somente os cenários negativos é que foram alvo de atenção.
Depois de introduzir os documentos com a planificação da gestão dos riscos, usando uma metodologia muito própria e exclusiva, aos investigadores surgiram algumas dificuldades relativamente à compreensão dos mesmos, dado abordarem temáticas muito específicas. No entanto, numa perspetiva futura, o envolvimento dos investigadores é fundamental e deve ser parte integrante do processo de comunicação entre os demais. A própria gestão do risco deve ser integrada a todos os processos, neste caso específico, nos projetos. No que respeita à metodologia que permitiu medir a verosimilhança (V) e a consequência (C), deparamo-nos com algumas dificuldades devido à ausência de dados que permitissem identificar a probabilidade. No futuro, é de extrema importância referir que o reporte e o registo de acontecimentos relacionados com os riscos e com a segurança de informação que decorram ao longo da investigação, independentemente do motivo ou do ator principal, devem ser sempre anotados para permitir a avaliação do panorama, aspirando que possam ocorrer melhorias nesse sentido.
105
A avaliação final, por parte dos investigadores, realizada às medidas de controlo que visavam mitigar os riscos foi crucial para demonstrar o potencial das mesmas nas perspetivas das pessoas que lidam diariamente com os dados, pois, além de ser importante o seu planeamento, é imprescindível aplicá-las quer no presente quer no futuro.
Relativamente ao processo de desenvolvimento das AIPD, além de servirem de evidência da conformidade com o Regulamento, o que é extremamente importante nestes contextos, estas descrevem as várias operações de tratamento de dados, avaliam a necessidade do tratamento e auxiliam na gestão dos riscos, pois, assim como a análise de risco, determinam medidas fundamentais aquando do tratamento de dados pessoais.
No caso em específico, o tratamento era relativo de implicar um risco para os titulares por inúmeros pontos de vista, considerando na mesma importante a sua realização, uma vez que nos casos em que não é exata a necessidade da realização da avaliação, a sua efetiva concretização demonstra preocupação não só ao nível da privacidade, mas também da segurança. Tal facto perspetivou a mitigação dos riscos identificados, inerentes do direito dos titulares dos dados, também a antecipação e adoção de medidas de segurança, procedimentos que assegurem a proteção dos dados, bem como recomendações de melhoria.
Os projetos do i3S, a nível de tempo e das fases em que decorriam as investigações, não se encontravam na fase inicial, momento em que devem ser iniciadas as AIPD. Porém, é importante salientar que o Novo Regulamento ainda não havia entrado em vigor quando estes projetos se iniciaram. Contudo, notou-se uma grande preocupação por parte dos investigadores, a posteriori.
A não realização da AIPD poderia conduzir à imposição de coimas pela autoridade de controlo competente. A mais-valia da realização das AIPD recai na segurança de averiguarem a conformidade com o RGPD, proteger o bom-nome dos projetos e do instituto e, ainda, transparece precaução. Por questões relacionadas com as boas práticas, as AIPD devem ser revistas e reavaliadas regularmente. Relativamente aos dados pessoais e como consequência de os projetos estarem ao abrigo dos consentimentos informados, foi percetível no caso do P1, P2 (no caso da instituição X) e P3 que os titulares dos dados consentiram com o tratamento dos mesmos, de acordo com as finalidades mencionadas. No caso do P1, verificou-se o uso dos contactos das escolas de treino que foram tornados públicos pelos próprios titulares. Relativamente ao P3, verificou-se que a ligação a dados pessoais era intrínseca às necessidades, de interesse público, no domínio da saúde pública. O P2 é um caso que, embora com acesso a dados
106
pessoais, não precisa do tratamento de dados pessoais para os fins da sua investigação científica, aliada a dados históricos e estatísticos.
Retratando aspetos futuros, recomenda-se que aquando do planeamento de futuras investigações, se comece, coincidentemente, a preparar o trajeto dos riscos relativamente às várias fases. Quando é clara a necessidade de uma AIPD é importante que ambas as fases decorram ao mesmo nível com a possibilidade de um efetivo e apropriado acompanhamento, ou seja, conciliando a evolução das duas etapas.
Por último, relativamente às AIPD, serve destacar, devido ao escasso tempo, a ausência do parecer do Data Protection Officer (DPO) - em Portugal denominado Encarregado Proteção de Dados -, bem como do último ponto da Validação respetivamente aos documentos em si, detalhado nos Anexos N, O e P, onde são consideradas as opiniões do DPO e das partes interessadas, subentendendo-se os titulares dos dados.
No que se refere aos dois documentos - Gestão do Risco e AIPD -, de um modo geral, a monitorização e revisão dos riscos deve ser realizada frequentemente e adaptada a projetos futuros, pois espera-se que os profissionais do i3S fiquem mais capacitados para trabalhar estas questões noutros projetos, ficando mais conscientes e alertados para a execução destas práticas.
Relativamente aos PGD, foi clara, logo numa primeira fase de contacto com os investigadores, a ausência dos mesmos, porém era necessário apoiar a gestão de dados de investigação e os PGD são exemplos no que toca à análise, organização, descrição e publicação dos dados par a par com a GDI.
Uma das preocupações relativamente a esta questão é a geral falta de informação no que respeita à gestão de dados e, muitas vezes, a ausência de meios e serviços que apoiem a preparação dos dados para futuros depósitos e publicações. Assim como, é importante as ferramentas auxiliarem na integração da gestão de dados aquando do processo de investigação, traduzindo-se em mais dados alcançarem a fase de depósito.
Ao longo dos contactos com os investigadores, uma vez mais, foi notória a sua envolvência e preocupação neste campo, mas serve de alerta a importância dos investigadores face à organização e descrição dos dados, uma vez que são os criadores diretos dos mesmos, possuindo a vantagem de conseguirem fornecer detalhes sobre as investigações de uma forma exclusiva e única e permitindo que no futuro os dados desse domínio possam ser reutilizados.
Com isto, o pretendido é evidenciar que o sucesso dos grupos de investigação na gestão dos seus dados permitirá que retirem benefícios dos dados quando publicados,
107
pesquisáveis e citados. No entanto, as dificuldades que os investigadores sentem neste sentido, relativo às ferramentas e modelos que possibilitem o tratamento, armazenamento, disseminação e preservação a longo prazo, é um dos entraves para a partilha de dados de investigação. Numa perspetiva futura, talvez se repense a existência de organizações e indivíduos responsáveis pela realização da curadoria. Por este motivo é que a relação entre os investigadores, as comunidades científicas, os financiadores, as instituições e os envolvidos na gestão de dados de investigação pode resultar num benefício ao nível da interpretação e reutilização dos dados a longo prazo.
Finalmente, é necessário destacar que os pontos abordados anteriormente se inserem no método inovador que resultou desta dissertação. A metodologia seguida no decurso deste trabalho permitiu o alcance das tarefas e objetivos previamente propostos. Foi o fluxograma representado na Figura 10 que orientou a consecução das tarefas agregando as demais questões relacionadas com o RGPD que precisavam de ser averiguadas e trabalhadas, assim como as preocupações inerentes à GDI. Esta metodologia não só foi capaz de corresponder aos objetivos deste projeto de dissertação, como se revelou útil para ser utilizada e adaptada por diferentes sujeitos em diferentes projetos não só do i3S, mas também de qualquer organização que procure solucionar e dar resposta a estas questões. Na perspetiva do trabalho realizado e da sua importância face às temáticas que este compreende foi percetível o seguinte:
- Realizar a modelação de processos exige uma certa envolvência com os projetos que permite a compreensão em detalhe dos diferentes trajetos que a informação e os dados seguem, exigindo, intrinsecamente, um enquadramento dos temas significativo para dar continuidade às tarefas,
- A gestão e análise do risco deve ser iniciada numa fase preliminar dos projetos, uma vez que lhe compete averiguar se os riscos podem ter impactos no alcance dos objetivos ou, por outro lado e tendo em conta as AIPD, avaliar o nível dos riscos refletindo se se pode ou não iniciar o tratamento dos dados quando se tratam de dados pessoais,
- A gestão do risco deve ser realizada independentemente de se prever a necessidade de uma AIPD, uma vez que o seu intuito é propiciar segurança conveniente ao alcance dos objetivos dos projetos. A gestão do risco aplicada de forma sistemática, oportuna e estruturada gera benefícios que impactam as partes interessadas, permitindo o suporte às decisões, o uso apropriado dos recursos, o aumento do grau de eficiência e eficácia do processo, otimizando o desempenho e os resultados dos projetos,
108
- O uso de normas é imprescindível durante a realização da gestão do risco, fornecendo linhas de orientação para a mesma e, deste modo, impregnando valor, - Nos casos em que é evidente a indispensabilidade de uma AIPD é, consequentemente, imposta a realização de uma análise de risco antes de se proceder à avaliação,
- As ferramentas e os métodos usados para a elaboração das AIPD e dos PGD são determinantes para corresponderem ao seu propósito, devendo seguir orientações valorizadas por entidades reconhecidas.