O Regulamento Geral sobre a Proteção de Dados (RGPD) foi aprovado a 25 de maio de 2018. Há um ano, houve caixas de e-mails cheias com pedido de consentimento para o tratamento de dados pessoais e até memes. Pelo caminho houve de multas multimilionárias à Google às de centenas de milhar ao Hospital do Barreiro. O RGPD foi sendo falado, mas o tema não voltou a fazer grandes manchetes. No dia do primeiro aniversário da legislação europeia, fomos perceber se os dados pessoais dos portugueses estão agora mais protegidos. A resposta parece ser unânime: sim, mas ainda há falhas. A lei nacional referente às normas europeias ainda está a ser discutida no Parlamento e para o órgão regulador, a Comissão Nacional de Proteção de Dados (CNPD), uma queixa persiste: não há meios suficientes para fiscalizar.

“Falta a lei nacional que vem dar o imprescindível enquadramento a certo tipo de tratamentos de dados pessoais. Continua ainda a situação de manifesta insuficiência de recursos humanos da CNPD, que se arrasta há vários anos”, diz Clara Guerra, consultora coordenadora na CNPD.

Um ano depois, o Observador fez três perguntas a quatro especialistas: à CNPD — que respondeu através de Clara Guerra, consultora coordenadora no serviço de informação e relações internacionais da autoridade –; a Alexandre Sousa Pinheiro, professor e investigador especializado em proteção de dados na Faculdade de Direito da Universidade de Lisboa; ao advogado Daniel Reis, sócio na área de Tecnologia e Privacidade na PLMJ;  e a Paulo Miranda, responsável pela gestão digital da Axians, consultora de tecnologias de informação e comunicação.

Um ano depois do RGPD, podemos afirmar que os dados pessoais dos portugueses estão mais protegidos?

Segundo Clara Guerra “pode afirmar-se que as pessoas estão em geral mais conscientes dos direitos de que são titulares e as organizações também estão mais sensibilizadas para a necessidade de cumprir o regime jurídico de proteção de dados”. “Só por isso, este primeiro ano de aplicação do RGPD já valeu a pena”, diz ainda.

Daniel Reis, é ainda mais otimista e direto na resposta: “Sem dúvida, o regime legal aplicável desde 25 de maio de 2018 protege melhor os direitos dos cidadãos”.

Já o jurista Alexandre Sousa Pinheiro refere que, com a legislação anterior, já “existia um conjunto forte de direitos protetores de dados pessoais”. O que o RGPD fez foi acrescentar “o direito a ser esquecido e o direito à portabilidade dos dados”, o que “fortaleceu estes direitos”. Contudo, o “novo modelo de supervisão” que a lei criou, que “retira à autoridade de controlo (CNPD) o controlo prévio dos tratamentos de dados, e obriga as empresas e as entidades públicas a implementar processos de garantia”, trouxe problemas, afirma.

Paulo Miranda, da Axians, reforça que o país já tinha uma lei de proteção de dados que se propunha a fazer a defesa dos diretos dos titulares, mas acredita “que o atual enquadramento sancionatório (20 milhões ou 4% dos resultados globais da organização sancionada, o que for mais alto, no pior cenário) ajudou” a reforçar a preocupação das empresas em cumprir com a lei. “Agora, no contexto português, diria que ainda está muito por fazer, basta olharmos para os organismos públicos, onde em muitas destas organizações praticamente ainda não foram iniciados os seus programas de conformidade com RGPD. Em muitas delas, o único passo que foi dado, foi a nomeação de um EPC (Encarregado de Proteção de Dados), que é um dos requisitos (obrigatório para organismos públicos) de apenas um domínio específico do RGPD”, explica.

O responsável remata, afirmando que “os dados pessoais dos titulares da UE não estão a ser eficazmente protegidos, conforme é exigido pelo RGPD na generalidade da organizações públicas e privadas portuguesas. É uma conclusão de generalidade, porque existem também muitos bons exemplos em Portugal de algumas destas organizações (públicas e privadas) que estão a fazer um excelente trabalho neste domínio”.

Que dificuldades existem ainda para a eficiente aplicação do RGPD (para que proteja os portugueses e obrigue as empresas a cumprir com todos os requisitos)?

Aqui, as queixas parecem ser as mesmas que existiam em 2018. “Falta a lei nacional”, diz Clara Guerra. Esta lei está atualmente a ser discutida na Assembleia da República, mas a discussão e aprovação final tem sido adiada. Há um ano, a resposta quanto aos recursos da CNPD era semelhante à atual — “não temos sequer os mínimos” — apesar de agora a resposta ser mais contida: “Há uma manifesta insuficiência de recursos humanos na CNPD”.

Proteção de Dados. 10 perguntas para perceber o que está a acontecer

Alexandre Sousa Pinheiro segue os comentários e refere que a “fraca preparação da maioria dos encarregados de proteção de dados e o papel diminuto da CNPD, atendendo à sua escassez de recursos” são “obstáculos” à aplicação do RGPD. Além disso, mantém a crítica unânime a todos: “A ausência, até à data, de legislação nacional tem sido, provavelmente, a maior dificuldade à aplicação do RGPD. Matérias relacionadas com a saúde ou os seguros têm sido as mais afetadas com a ausência de lei nacional”.

Para Daniel Reis, a crítica é igual: “Portugal ainda não publicou a lei de implementação, o que causa incerteza em algumas áreas e afeta a capacidade da CNPD de fiscalizar o cumprimento do RGPD”. Apesar de a lei estar a ser discutida e poder ser aprovada no final do mês, o Jornal de Negócios revelou recentemente que podem ser dados às empresas mais seis meses para “adaptação”. Entre 2016 e 2018 o RGPD já previa este prazo, tanto para os países como para as empresas.

Os maiores obstáculos, segundo Paulo Miranda, estão naquela que é a cultura empresarial portuguesa, que “potencia a lógica da visão a curto prazo com resultados a muito curto prazo, com o mínimo custo possível, ou, o mais baratinho possível, e esta cultura, pela falta de investimento ou visão a médio, longo prazo vai ter o efeito borboleta, com impactos significativos para as organizações, um maior potencial de danos reputacionais e no final de tudo, financeiros”.

Para o especialista, há três grandes desafios: “A falta de cultura e muito baixo nível de maturidade das práticas de gestão de risco ou gestão de segurança; a falta de capacidade e competência de recursos humanos para a assegurar uma aplicação, operação e melhoria contínua do RGPD (…); os modelos de gestão das organizações atuais estão sustentados em gestão reativa ao invés de pró-ativa, como resultado também da já referida falta de cultura e de práticas orientadas a uma gestão de risco eficaz por processo”.

Mesmo com falhas, o RGPD está em pleno vigor há um ano. Quais foram as maiores vulnerabilidades detetadas na execução do regulamento?

Alexandre Pinheiro conta que as empresas e entidades públicas ficaram “mais centrada na fuga à coima, do que propriamente na correta execução das exigências do RGPD”. Além disso, refere “o desconhecimento, na maior parte das entidades, de medidas básicas de segurança da informação no plano tecnológico”.

No mesmo sentido da dificuldade, o advogado Daniel Reis acrescenta que a maior dificuldade detetada tem sido a de “as empresas alterarem de forma substancial os seus procedimentos e sistemas de informação, implicando investimentos financeiros e de recursos humanos muito relevantes”.

Já a CNPD assume que se “têm verificado vários equívocos na interpretação e aplicação”, e dá o exemplo: “Como sucedeu quanto à necessidade de ter consentimento dos titulares para tratamentos que estão legitimados diretamente pelo RGPD”. Ou seja, houve entidades que foram pedir o consentimento para guardar e utilizar dados pessoais quando não precisavam de o ter feito.

Entre 25 de maio 2018 e 30 de abril 2019, “a CNPD abriu 864 processos de averiguação”. Até ao final de abril, apenas foram aplicadas quatro multas, como contou ao Eco Filipa Calvão, presidente da CNPD: uma ao hospital do Barreiro (que recorreu da decisão) e três a empresas privadas (que não foram divulgadas). Só em casos que envolvem vários Estados da União Europeia e da Noruega, Islândia e Liechtenstein, a CNPD estava a dois de maio envolvida em cerca de 300 dos 416.

Um ano depois, escritórios de advogados como a PLMJ assumem que o RGPD “gerou um aumento significativo na procura de serviços jurídicos relacionados sobretudo com a alteração de procedimentos nas empresas” e dizem ainda que “os próximos tempos serão seguramente interessantes”, porque com a aprovação da lei nacional a “atenção das empresas vai ser recuperada”. Além disso, finalmente vai colocar-se “um ponto final (esperamos) em várias dúvidas que ainda subsistem”, referem ainda a sociedade de advogados. Algumas dessas questões têm a ver com o Estado: ainda não é certo de que tenha de pagar as coimas pela violação de dados pessoais.

Paulo Miranda conta que, em maio, a Axians fez um estudo de mercado junto das várias organizações e que encontrou “um nível médio de adesão aos requisitos do RGPD, de cerca de 30%”. Nesse mesmo estudo, a consultora também concluiu quais eram as três principais ameaças à privacidade dos dados pessoais e a primeira diz respeito à retenção “desnecessariamente prolongada” dos dados: “Não estão estabelecidas nas organizações regras para a retenção mínima e máxima por tipo de informação”, explica, acrescentando que é urgente as organizações estabeleceram políticas de retenção”.

A segunda ameaça está relacionada com o acesso não autorizado: “O controlo de acessos (seja físico ou lógico), é um dos
controlos críticos que garante a confidencialidade, integridade e disponibilidade dos dados. A falta deste controlo, representa um dos maiores riscos de segurança para as organizações”. E a terceira diz respeito às recolhas “excessivas”: “O RGPD tem o princípio da minimização de dados, que indica que apenas devem ser recolhidos os dados que efetivamente são necessários para as finalidades para as quais são tratados. Em muitas organizações, este requisito representa uma mudança de paradigma, que ainda há pouco tempo ouvíamos muito, que é “informação é poder”.