Fez esta segunda-feira um mês que entrou em vigor o novo Regulamento Geral sobre a Proteção de Dados (RGPD). As pessoas receberam chuvas de emails durante semanas a fio a pedir os mais variados consentimentos para o uso dos seus dados. Mas será que as próprias empresas e entidades sabem efetivamente como aplicar a nova legislação?
De acordo com Alexandre Sousa Pinheiro, professor da Faculdade de Direito da Universidade de Lisboa, “durante muito tempo houve muito pouca informação” no que toca à proteção de dados. “Houve situações verdadeiramente difíceis que punham em causa a privacidade das pessoas e direitos fundamentais que não foram tomadas em consideração”, acrescenta o especialista em Proteção de Dados ao Observador.
E agora, que já há legislação? “O que está a acontecer é que existe um enorme equívoco sobre em que situações se aplica a legislação e há muita gente que está a ocultar informações que são pertinentes a coberto da proteção de dados sem qualquer justificação e sem estar a falar de um direito fundamental.”
Proteção de Dados. 10 perguntas para perceber o que está a acontecer
Daniel Reis, advogado da sociedade PLMJ, considera que existe efetivamente alguma “ignorância” em relação ao documento e assume que vai preciso tempo para as empresas e entidades públicas se adaptarem a esta nova realidade. “O que vai acontecer e já está a acontecer é, que aos poucos, vai haver mais conhecimento, maior sensibilidade e empresas melhor preparadas”, afirma o também especialista em Proteção de Dados. “Não se passa da situação atual para o perfeito. Melhoria continua é um conceito que faz muito sentido na área da privacidade.”
Mas enquanto isso não acontece as situações (no mínimo) inusitadas vão acontecendo e mesmo aquelas que estão de acordo com o regulamento, levantam dúvidas a alguns cidadãos. O Observador compilou alguns casos e consultou especialistas para perceber o que se passa.
Proteção de Dados não permite fazer queixas em nome próprio?
Maria estava cansada de ver o mato do relvado e as ervas daninhas do passeio da sua rua por cortar e decidiu apresentar queixa à Junta de Freguesia Algueirão-Mem Martins, em Sintra (Lisboa). Qual não foi o seu espanto quando, uma das funcionárias que lhe atendeu o telefone, lhe disse que não podia fazer uma queixa em nome próprio. Porquê? Por causa do novo regulamento sobre a Proteção de Dados. A moradora ainda insistiu que queria dar o seu nome e a sua morada, mas sem sucesso.
Contactada pelo Observador, a coordenadora técnica da junta de freguesia não “consegue perceber” esta situação. “Se aconteceu, é muito estranho”, diz Isabel Santos ao Observador. A coordenadora adiantou que a junta de freguesia tem estado a implementar o RGPD e a “adaptá-lo” à realidade da junta, esclarecendo que os cidadãos que pretendam fazer uma queixa podem fazê-lo através do site, por email ou até presencialmente, dirigindo-se ao balcão da junta.
“Todas as situações que nos chegam, advertimos que os dados das pessoas vão ser utilizados para aqueles fins. Na própria plataforma tem de dar o consentimento”, diz Isabel Santos, acrescentando que a junta dá seguimento mesmo às queixas que são feitas em anónimo. “Damos seguimento à situação em nome da junta.”
▲ Os cidadãos que pretendam fazer uma queixa podem fazê-lo através do site, por email ou até presencialmente, dirigindo-se ao balcão da junta, adiantou Isabel Santos
LUSA
Alexandre Sousa Pinheiro considera que esta situação não faz sentido “absolutamente nenhum”. “Senão uma pessoa que quisesse fazer queixa na polícia não podia.”
Tudo isto, considera o professor ao Observador, parte de um “tremendo equívoco” que tem por base “esta convicção que se está a formar de que como se está perante dados pessoais existe limitação de transmissão”. “Quando é o próprio que pretende apresentar uma queixa, uma posição, um requerimento perante a administração pública, a questão nem é de consentimento, é de identificação. A pessoa não está a consentir em nada, está a identificar.”
“Não faz sentido nenhum”, afirma o advogado Daniel Reis. O especialista em Proteção de Dados explica que “uma das consequências” do novo Regulamento Geral sobre Proteção de Dados é “o princípio da responsabilidade”, isto é, “quem tem de proteger a privacidade das pessoas são entidades que tratam os dados”. Neste caso concreto, cabe à junta de freguesia decidir “qual é a melhor forma de proteger a privacidade das pessoas”. “É evidente que a junta de freguesia tem fundamento jurídico para tratar dados de alguém que more na sua jurisdição”.
Daniel Reis justifica mesmo algumas das atitudes a quem tem assistido relativamente aos RGPD com “medo”: “Estou a ver muito comportamento fundamentalista, mas na minha opinião é medo de tomar decisões. Alguém que está com medo do regulamento e acha que resolve o problema não tendo os dados das pessoas.”
O advogado refere que tem assistido a algumas situações em que é pedido um consentimento para o tratamento de dados desnecessariamente e dá um exemplo: “Numa relação entre um cliente e um fornecedor, em que as empresas têm de tratar dos dados uma da outra, tenho visto empresas a apresentarem declarações a pedir o consentimento para tratar os dados. Para o tratamento de dados pessoais, é preciso que exista um fundamento legal e perceber qual é [esse fundamento]. Não faz sentido, numa relação cliente/fornecedor, pedir o consentimento [para o tratamento de dados, porque] o fundamento jurídico é o contrato. Eu para pagar a um fornecedor, preciso do IBAN da empresa, não é preciso pedir o consentimento para ter o IBAN.”
“O que o regulamento quer de facto é proteger a privacidade das pessoas, não é criar complicações ou limitar a atividades das empresas”, acrescenta Daniel Reis.
O Governo tem vindo a dar formação sobre o RGPD desde o ano passado. O Ministério da Modernização e da Administração Interna avançou ao Observador que o INA – Direção-Geral da Qualificação dos Trabalhadores em Funções Públicas já deu formação a 1106 funcionários públicos entre 2017 e 2018, através de 36 cursos (14 026 horas).
O Ministério tem várias formações para a administração pública: há um curso de 35 horas específico para encarregados de proteção de dados. Os dirigentes, técnicos superiores e especialistas têm um curso de 21 horas intitulado “O impacto do RGPD na Administração Pública” — ao qual técnicos de informática e assistentes técnicos podem aceder –, um de sete horas sobre “O Impacto tecnológico do RGDP”, uma formação de 14 horas de nome “RGPD: uma abordagem jurídica” — também acessível a juristas — e um “Projeto de implementação do RGP”, com a duração de sete horas. O INA irá ainda disponibilizar, a partir de setembro, uma formação à distância na plataforma online NAU.
Ainda que os cursos tenham sido feitos apenas em Lisboa, o Ministério refere que a ideia é expandir para outros locais do país. Além disto, há diversos documentos sobre a aplicação do RGPD como “Orientações Práticas para a Administração Pública sobre o Regulamento Geral de Proteção de Dados (RGPD)” e “RGPD – Proposta de plano de ação em 5 fases”.
A coordenadora técnica da junta de freguesia Algueirão-Mem Martins, por sua vez, explicou que as formações que estavam agendadas para serem dadas à junta foram “adiadas”, mas que a implementação do regulamento tem sido feito com o acompanhamento de um jurista, contratado pela junta, que lhes tem prestado apoio, além de terem empresas de consultoria a quem podem recorrer.
Fim das tabelas e fotografias das atividades
O colégio Parkids, em Oeiras, começou há cerca de um ano e meio a preparar-se para a nova lei. “Percebemos que iria ter um grande impacto na escola”, explicou a diretora, Cristina Dagge Ribeiro, ao Observador, acrescentando que têm de “lidar com dados” — alguns deles “considerados sensíveis” — tanto de alunos como dos respetivos encarregados de educação e familiares.
Não foi fácil perceber como iria funcionar o regulamento e o que seria necessário o colégio fazer. A responsável diz que se deparou com algumas “dificuldades”, uma vez que as formações que encontrou estavam “muito viradas para empresas” e não tanto “para a área da educação”. A diretora decidiu então ser ela própria a consultar o regulamento e proceder às alterações que lhe pareceram mais adequadas. “São alterações que ainda estamos a fazer ao nível do regulamento interno e dos procedimentos internos.”
Uma delas foi deixar de ter, à entrada das salas de aula, um registo diário daquilo que se tinha passado com as crianças daquela turma — os xixis, os cocós, se vomitaram, se fizeram febre, entre outro tipo de informações. Isto é, tudo o que estava acessível a todos os pais dos alunos e a quem quer que olhasse para a folha. Tendo em conta o RGPD, a escola passou a ter estes registos “fechados num dossiê ou em armários” apenas acessíveis aos professores da turma e à direção. “Por outro lado, criámos uma plataforma online onde cada encarregado de educação tem acesso ao registo do seu educando ou dos seus educandos.” E apenas a esses e não aos dos coleguinhas. Os alertas para certo tipo de surtos, seja uma doença ou piolhos, por exemplo, é feito de forma generalizada.
Para Daniel Reis, esta solução “faz sentido” na medida que “protege melhor a privacidade das crianças do que a solução anterior”, mas sublinha que não há nada no regulamento que obrigue a escola a tomar esta atitude. “Foi uma decisão da escola que entendeu que esta seria uma melhor forma de proteger a privacidade das crianças, mas isso não significa que era obrigatório fazê-lo.”
Também Alexandre Sousa Pinheiro diz que a escola fez uma “interpretação correta do regulamento”. “Não vejo que houvesse qualquer legitimidade para o acesso por parte de um progenitor ou encarregado de educação a informações sobre uma outra criança que não estivesse à sua responsabilidade.”
Ainda assim, o professor de Direito defende que pode haver situações em que se justifique o acesso a determinada informação. “Temos de saber se há interesse legítimo. É uma ponderação que se faz entre os interesses de terceiros ou o interesse do responsável do tratamento de dados — no limite, a escola — e o titular dos dados e infere-se se a informação relativa a uma criança deve ser apenas do conhecimento dos seus responsáveis pelo educando ou do conhecimento de terceiros”, explica Alexandre Sousa Pinheiro, acrescentando que a análise tem de ser feita “caso a caso”.
E esta não foi a única restrição a escola Parkids decidiu fizer. “Tínhamos muita coisa afixada nos corredores, como fotografias das atividades, que passaram a estar mais nas salas”, conta Cristina Dagge Ribeiro.
O advogado da PLMJ já classifica esta situação como um “exagero”, não só porque não é qualquer pessoa que pode circular nos corredores de uma escola — são espaços de acesso limitado — mas também porque as salas de aulas não estão sempre “fechadas à chave”. “Isto protege ou melhora a privacidade das crianças? Tenho dúvidas, não vejo em que é que isso melhore a privacidade, mas não quer dizer que seja ilegal.”
▲ Para Daniel Reis, esta solução da escola Parkinds “faz sentido” na medida que “protege melhor a privacidade das crianças do que a solução anterior”
MÁRIO CRUZ/LUSA
Aliás, a exposição destas fotografias passou a implicar um consentimento por parte dos encarregados de educação. Nas fichas de inscrição, explica a diretora, o colégio Parkids passou a integrar “um consentimento” para tratar os dados dos alunos e dos familiares, explicando ao certo o que irão fazer com os mesmos.
Mas a escola, que acompanha crianças dos quatro meses aos 10 anos, não tem apenas de se preocupar com os dados dos seus alunos. “Também temos de proteger os dados dos funcionários e também fizemos um consentimento [para tratar] os dados deles.”
Todo este processo tem sido complexo: “Todos os dias surgem-nos dúvidas novas”, afirma Cristina Dagge Ribeiro. Dúvidas que acabam por não ser esclarecidas pelas entidades públicas. “Procurámos colaboração junto da Comissão Nacional de Proteção de Dados que emitiu esclarecimentos, mas não era muito claro.”
A diretora da escola diz ainda ter procurado “esclarecimentos” junto do Ministério da Educação e do Ministério da Segurança Social — que tutela as creches –, uma vez que algumas das exigências dos ministérios “vão contra o regulamento” de proteção de dados. “O Ministério da Segurança Social obriga a que tenhamos afixado, à entrada da escola, um quadro de pessoal com o nome do funcionário, cargo e horário de trabalho. São dados que o regulamento considera como pessoais e que nós, enquanto entidade patronal, temos de proteger, portanto deixou de poder estar afixado.”
Efetivamente, um diploma publicado em 2011 que refere que as creches devem ter afixado “em local visível e de fácil acesso” a “identificação da direção técnica” e “mapa do pessoal e respetivos horários de acordo com a legislação em vigor”, entre outras informações.
Em resposta às perguntas do Observador, o Instituto da Segurança Social considera que “não existe qualquer contradição com o regulamento do RGPD”. “A Portaria em causa prevê que nas creches deve estar afixado o quadro de pessoal e os respetivos horários, sendo que esta matéria em nada contraria o definido no RGPD, visando permitir aos pais das crianças ter informação quanto às pessoas que efetivamente estão afetas ao equipamento, e em que períodos de horário.”
Para o professor da Faculdade de Direito, da Universidade de Lisboa, é importante saber-se qual o horário de funcionamento da instituição, mas não lhe “parece necessário” saber “quem vai estar em funções, qual o horário da pessoa que está em função dentro da instituição”. “Colocar os horários de toda a gente numa zona pública é um tratamento excessivo de informação, de acordo com o regulamento.”
Ainda assim, continua Alexandre Sousa Pinheiro, “pode haver casos em que tal se justifique”: “Ainda que a posição da responsável pela escola me pareça que parte de uma leitura adequada do regulamento, admito que haja situações em que seja necessário saber quem está e a que horas”, como por exemplo em “casos de especialidade” em que é necessário saber “quem é o profissional que vai estar destacado”.
“Se há uma imposição do Ministério, [a escola] vai ter de cumprir. Tendo que cumprir, o que pode fazer é comunicar que há uma situação em que existe um excesso de tratamento de informação por parte daquela determinação.” Daniel Reis sublinha que, efetivamente, existem por vezes estes choques entre as “obrigações legais” e a proteção da privacidade das pessoas. E dá um exemplo: “As empresas têm de afixar os mapas de férias dos trabalhadores num sítio visível e isso choca com alguns princípios da proteção da privacidade. Porque é que todos os trabalhadores têm de saber quando os outros vão de férias?”
A solução? “Se é uma obrigação legal, as empresas devem cumprir, mas na medida em que seja possível, devem aplicar alguns dos princípios [da proteção da privacidade]”, considera o especialista. Isto é, arranjar “estratégias” para proteger a privacidade das pessoas. “Se tem de publicar os horários, não têm de escolher o sítio onde passam mais pessoas.”
Pautas com as notas do alunos: afinal, o que diz o regulamento?
A questão das pautas com as notas dos alunos tem também levantado várias dúvidas nos últimos dias. No passado dia 11 de junho, a Rádio Renascença dava conta de que a Universidade de Lisboa iria deixar de ter as notas dos alunos afixadas devido ao RGPD. Cerca de uma semana depois, a universidade veio esclarecer que não existiam “diretivas na Universidade de Lisboa relativas à não publicação das classificações dos estudantes”.
“É entendimento da Universidade de Lisboa que, não obstante a entrada em vigor do novo Regulamento de Proteção de Dados Pessoais, as pautas dos estudantes podem ser afixadas em suporte papel nos locais habituais das Escolas, mas também na intranet das Escolas em áreas de acesso reservado aos estudantes e docentes envolvidos”, lê-se no comunicado da universidade, que considera ainda “a publicação das classificações dos seus estudantes é um mecanismo essencial para garantir a transparência dos processos de avaliação de competências e conhecimentos na universidade”.
▲ Para a Universidade de Lisboa, a publicação das notas "é um mecanismo essencial para garantir a transparência dos processos de avaliação"
MIGUEL A. LOPES/LUSA
Daniel Reis faz uma comparação entre este caso e o registo diário da ParKids. “Não há interesse juridicamente relevante para se saber o que fazem as outras crianças. Nas notas, existe um interesse juridicamente relevante. Por razões de transparência, os alunos têm interesse em saber as notas dos outros.”
O advogado refere ainda que a importância da “divulgação de todas as notas” prende-se não só com a possibilidade dos alunos contestarem as avaliações, pedirem recursos e discutirem as notas mas também para perceber “como são dadas as notas” na universidade.
“Uma nota de um aluno é um dado pessoal, mas a proibição da publicação de pautas parece-me uma decisão estranha porque não me parece que exista uma expectativa [de privacidade] em relação a este dado”, afirma Daniel Reis, falando em “senso comum”. “O aluno tem expectativa que nenhum dos seus colegas conheça as suas notas? As coisas não acontecem assim. Se estivermos a falar [por exemplo] de análises clínicas de um trabalhador, este tem toda a [legitimidade de] expectativa de privacidade em relação a esta informação.”
Para o especialista em Proteção de Dados, cabe à universidade decidir se as notas devem ou não ser afixadas e estar acessíveis a todos e “qual a forma mais adequada de proteger a privacidade dos seus alunos”. Uma decisão que pode passar por “colocar as pautas dentro da universidade e não fora”, evitando assim que as pessoas fora da universidade vejam as notas, exemplifica Daniel Reis.
Já Alexandre Sousa Pinheiro faz uma distinção entre o “princípio da transparência” e o “princípio da proteção da informação pessoal”. “Numa plataforma em que as pessoas acedem através de uma password ou através de qualquer outra forma de acesso, penso que todas as pessoas que fizeram a prova da disciplina devem poder ter acesso à classificação de quem fez a prova”, considera o professor da Faculdade de Direito da Universidade de Lisboa.
Declaração não foi enviada por email, mas chegou por correio
Joana (nome fictício) só se apercebeu que se tinha esquecido de pedir uma declaração de presença, documento que dava conta de que tinha ido, naquele dia, a uma consulta no Hospital da Luz, em Lisboa, e faltado ao trabalho já horas depois de ter saído do estabelecimento hospitalar.
Decidiu então ligar para o hospital e pedir para lhe enviarem a justificação por email, mas a funcionária com quem estava ao telefone disse que não o podia fazer por causa “da nova lei da proteção de dados” e que teria de ser a própria a levantar o documento, o que acabou por fazer, quando voltou a uma nova consulta ao hospital dias mais tarde. Joana até nem tinha dado importância ao assunto a não ser quando recebeu, cerca de uma semana e meia depois, a justificação que não pôde ser enviada por email na sua caixa de correio.
O Observador entrou em contacto com o Hospital da Luz para tentar perceber por que motivo não foi possível enviar a declaração por email e, dias mais tarde, o cliente ter recebido o mesmo documento por correio, mas o hospital respondeu que “sem ter a identificação do cliente” não era possível avaliar a situação. Ainda assim, esclareceu que “o procedimento em vigor no Hospital da Luz Lisboa é pedir aos clientes que se dirijam ao próprio Hospital para fazer este pedido”, algo “anterior ao RGPD”.
O professor da Faculdade de Direito, da Universidade de Lisboa, diz que uma vez que o endereço de email foi dado pelo próprio, não há justificação para não se enviar o documento. “Não estou a ver por que não se possa enviar [a justificação] por correio eletrónico. A única coisa que pode haver é alguma dúvida sobre com quem é que se está a falar, mas se há elementos que permitem saber tanto quanto possível que se trata daquela pessoa, se a pessoa deu um contacto de correio eletrónico e é o próprio a pedir para enviar, não vejo razão para não ser transmitida [a informação].”
Alexandre Sousa Pinheiro destaca ainda que o documento que iria ser enviado por email é uma justificação e não, por exemplo, análises clínicas do utente. “Se a pessoa andasse a pedir que lhe enviassem informação clínica por via administrativa através de um email sem qualquer proteção, aí diria que o hospital fez muito bem em não transmitir a informação. Agora o que estamos a falar é justificar que a pessoa esteve no hospital naquele dia. Não é uma informação que tenha uma natureza clínica, é de natureza administrativa.”
E nem o facto de o endereço de email ter sido fornecido pelo utente antes da entrada em vigor do RGPD serve de justificação. “Isto do consentimento não vale tudo, há regras para o consentimento. O acesso a informação clínica está limitado a quem participa na atividade clínica. Se tivermos o setor administrativo a consultar análises isso não é aceitável nem com consentimento.”
É possível uma pessoa recusar identificar-se?
E se no consentimento “não vale tudo”, o mesmo se aplica para uma pessoa que recusa identificar-se. Foi precisamente isso que aconteceu com uma cliente da marca Pull&Bear. A mulher em causa publicou uma reclamação, no Portal da Queixa, relativamente aos “procedimentos da empresa” e nessa queixa, relata que uma “assistente” com quem estava ao telefone se “recusou” identificar-se “dizendo que estava protegida pela lei de proteção de dados e que podia recusar a sua identificação, apenas acedendo a identificar-se como Maria”.
“Isso não faz qualquer sentido, o senso comum diz-nos que não poderia fazer qualquer sentido”, adianta Daniel Reis, considerando que este tipo de afirmações é estar a “utilizar este tema como desculpa”. “Essa afirmação seria dizer: ‘esta lei dá-me o direito de me comportar de forma anónima na sociedade’.”
Alexandre Sousa Pinheiro não consegue encontrar motivo para esta funcionária não se ter identificado. “Não estou a ver porque é que uma pessoa não se identifica quando está a exercer uma função profissional. Não está a dizer onde mora”, diz o professor de Direito.
O Observador contactou a Inditex, a quem pertence a marca Pull&Bear, mas não obteve resposta até ao momento.
Outras confusões houve até com o pedido de números de responsáveis de comunicação de empresas públicas e privadas, e até mesmo ministérios. Mas essas foram rapidamente desfeitas…
Artigo atualizado a 3 de julho de 2018 com as respostas do Instituto da Segurança Social.
