A proteção de dados pessoais passou a ser um tema com muito relevo na ordem do dia.
O que mudou?
O Regulamento de Proteção de Dados Pessoais (RGPD), que entrou em vigor em 2016, e passou a produzir efeitos plenos desde 28 de maio de 2018, não fundou a proteção de dados na Europa.
Antes disso vigorava a Diretiva 95/46/CE, de 24 de outubro, transposta para o direito português pela Lei n.º 67/98, de 26 de outubro (hoje revogada) e a proteção de dados pessoais já fazia parte dos direitos constantes da Carta de Direitos Fundamentais da União Europeia (artigo 8.º).
A principal razão que trouxe a proteção de dados para luz do dia foi o quadro sancionatório (muito inspirado na legislação europeia sobre concorrência) que prevê a possibilidade de as autoridades de proteção de dados aplicarem coimas até € 20 000 000 ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado (n.º 5 do artigo 83.º do RGPD).
Em torno desta disposição criou-se um ciclone de pânico público que aterrorizou muitos responsáveis nas empresas e na Administração Pública. A este temor não se seguiu, na maioria dos casos, um trabalho de compatibilização das regras de funcionamento e dos procedimentos das empresas e entidades públicas com o RGPD.
Hoje, no final de 2019, existem ainda muitas situações em que não se verificaram as adaptações necessárias para o cumprimento do RGPD ou, tendo existido algum esforço por parte das empresas ou dos entes públicos, ele foi manifestamente insuficiente.
Outra mudança fundamental consistiu na alteração das competências da Comissão Nacional de Proteção de Dados (CNPD) – autoridade de controlo portuguesa – que passa a desenvolver uma tarefa mais ativa nas áreas da fiscalização e controlo, quase que desaparecendo a vertente preventiva.
Apesar de o RGPD ter a natureza de regulamento da União Europeia, a sua completa execução depende de legislação interna.
No caso português tal aconteceu – tardiamente – com a Lei n.º 58/2019, de 8 de agosto que estará na base da Conferência organizada pelo ECO e pela B.Law para dia 26 e pelo curso intensivo, que será anunciado em breve, a organizar pelo ECO pela B.Law e pela ASP.
E a lei executa adequadamente o Regulamento?
Resolve alguns problemas de aplicação, mas deixa muitos outros sem cobertura legal ou com regulação deficitária.
Por exemplo, o setor segurador não está tratado na lei e existiam fortes razões para que estivesse, atendendo a que, por exemplo, na área da saúde estamos perante categorias especiais de dados (os chamados dados sensíveis, artigo 9.º do RGPD) e a matéria relativa às decisões individuais automatizadas (artigo 22.º do RGPD), tema relacionado com a inteligência artificial, não tem expressão na lei.
A matéria sancionatória apresenta um excesso de crimes, alguns deles deveriam subsumir-se a contraordenações; o direito à portabilidade (artigo 18.º da Lei) reduz o âmbito de aplicação previsto no RGPD; as contraordenações não estão suficientemente tipificadas; ao contrário do que dispõe o RGPD, a lei prevê contraordenações graves a aplicar aos encarregados de proteção de dados (alínea p) do n.º 1 do artigo 39.º da Lei). É um curto conjunto de exemplos que aprofundaremos na Conferência de dia 26 de setembro e no curso intensivo posterior.
Um dos principais problemas para as empresas está no montante das coimas. Pensa que o tecido empresarial português está preparado para cumprir o RGPD sem sofrer sanções?
O tecido empresarial português é reconhecidamente frágil, particularmente em áreas como a restauração, em que é frequente o empresário garantir a sua subsistência pessoal e familiar e por vezes de um limitado conjunto de colaboradores, o que torna difícil cumprir sanções severas.
De qualquer forma, a aplicação de coimas obriga a tomar em consideração a situação económica do agente e as empresas devem desenvolver o esforço necessário para cumprirem o Regulamento e a Lei n.º 58/2019.
Esta prevê molduras mais reduzidas da aplicação de coimas para PME nos artigos 37.º e 38.º.
As empresas de maior dimensão, disporão, na maior parte dos casos de um encarregado de proteção de dados e a matéria do Regulamento e da lei, quer na vertente jurídica, quer na relativa à segurança da informação, constituirá uma preocupação permanente.
Em Portugal existem empresas certificadas como “cumpridoras do RGPD”?
Vale a pena esclarecer essa situação.
São pertinentes para a matéria os artigos 43.º do RGPD e 14.º da Lei n.º 58/2019. Segundo esta, a acreditação dos organismos de certificação em matéria de proteção de dados é realizada pelo IPAC, IP, tomando em consideração requisitos adicionais estabelecidos pela CNPD.
Esta matéria ainda não está tratada em Portugal.
Daí que as múltiplas certificações que aparecem promovidas pelas mais diversas entidades nacionais têm um caráter privado e não oficial.
O mesmo vale para credenciações de encarregados de proteção de dados. É uma figura que a lei não contempla.
As empresas são obrigadas a designar um encarregado de proteção de dados?
Não todas, e a tendência tem sido a de serem designados encarregados de proteção de dados para empresas – responsáveis pelo tratamento e subcontratados – que deles não carecem de acordo com o RGPD (artigos 37.º a 39.º) e a Lei n.º 58/2019.
A Lei, no seu artigo 13.º, determina que devem designar encarregado de proteção de dados, empresas que desenvolvam operações de tratamento de dados em grande escala, de forma regular e sistemática, ou que desenvolvam tratamento em grande escala de categorias especiais de dados (artigo 9.º do RGPD) ou que tratem dados relacionados com a prática de contraordenações ou de crimes (artigo 10.º do RGPD).
Ao contrário do que ocorre relativamente a entidades públicas, que devem sempre dispor de encarregados de proteção de dados, nas empresas existem requisitos específicos que a tal obrigam.
A atividade da CNPD transformou-se com o RGPD e com a lei interna?
A transformação é muito evidente para quem conheceu a CNPD ao abrigo da Diretiva 95/46/CE e se relaciona agora com a autoridade de controlo.
Sempre existiu uma atividade sancionatória por parte da CNPD, mas até à produção completa de efeitos pelo RGPD a atividade regular da Comissão consistia em assegurar o registo público das entidades que procediam a tratamentos de dados pessoais e a autorizar os tratamentos carentes de intervenção administrativa prévia, nos termos da Diretiva e da lei portuguesa.
Para além do capítulo sancionatório, a CNPD é competente para aprovar regulamentos – nomeadamente disciplinando a matéria da avaliação de impacto sobre proteção de dados pessoais – e para fornecer elementos necessários para cumprir o RGPD, como por exemplo o formulário para o preenchimento das exigências do artigo 30.º do RGPD.
Como antevê o futuro da proteção de dados em Portugal. É uma moda ou algo que veio para ficar?
É uma ilusão pensar que a matéria da proteção de dados, particularmente no universo digital, tem um prazo limitado de impacto junto da comunidade, passando rapidamente a ocupar um espaço discreto no mundo do Direito.
Não é assim, porque as exigências de interpretação do RGPD obrigarão a uma desenvolvida atividade jurisprudencial nos tribunais nacionais e no Tribunal de Justiça da União Europeia que não se prevê que tenha um fim traçado.
Por outro lado, o RGPD é apenas um dos instrumentos legislativos de Direito Europeu, ter-se-á que articular, por exemplo, com o Regulamento dos dados não pessoais e com o futuro Regulamento da E-privacy, relativo às comunicações eletrónicas.
São realidades em constante mutação e que vieram para ficar.
Entrevista publicada no Advocatus do Jornal Digital ECO. 11 setembro de 2019