1. O que é o Regulamento Geral sobre a Proteção de Dados?

  2. Esta nova legislação foi criada em abril de 2016, mas só é aplicada na totalidade a todos os países da União Europeia a 25 de maio. Por ser um regulamento, e não uma diretiva, a aplicação é automática, não sendo necessária a transposição para a lei nacional.

    O objetivo é criar um enquadramento jurídico europeu que seja aplicado de forma transversal e que reforce os direitos dos cidadãos no que à proteção de dados diz respeito.

    O longo período até à aplicação plena das novas regras deveu-se à “complexidade” da legislação e à necessidade de proceder a várias alterações que o regulamento criou, explicou ao Observador Daniel Reis, advogado da PLMJ especialista em Proteção de Dados.

    Apesar de o regime revogar a atual lei portuguesa da proteção de dados pessoais (a Lei n.º 67/98), que transpôs a Directiva 95/46/EC, há matérias como o consentimento de menores no acesso a redes sociais que são determinadas por cada um dos Estados-membros.

    Para isso, a Assembleia da República ainda terá de aprovar lei que regulamente a execução do regulamento, que legislará nestas matérias em que os países da União têm maior flexibilidade.

    No entanto, mesmo com aplicação plena da legislação europeia a fazer-se a partir de 25 de maio, o Parlamento ainda não aprovou a legislação necessária para regulamentar as questões que estão no domínio nacional. Há uma proposta em discussão, mas os deputados pediram mais tempo para a apreciar. Isto quer dizer que o regulamento não vai ser aplicável? Não, nos casos em que o RGPD não se aplique, a Lei n.º 67/98 continua a ser aplicável.

  3. Foi por isto que andei a receber mais e-mails esta semana?

  4. A resposta simples é: sim… e porque agora há multas bem pesadas — até 20 milhões de euros ou 4% do volume de negócios — para as empresas que não cumprirem a lei. A resposta mais longa, vai no mesmo sentido, mas justifica-se com o que a nova lei pretende.

    Portugal tem uma lei para a proteção de dados desde 1991. “Costumo brincar nas apresentações que sou o nerd que trabalha na cave e, agora, toda a gente quer falar comigo”, explica Daniel Reis, que trabalha há 20 anos na área, sobre a “histeria” que o RGPD criou.

    Resultado disso têm sido os inúmeros e-mails de empresas — na semana que antecedeu a entrada em vigor do RGPD — a pedir para as pessoas darem consentimento para continuarem a enviar emails. Parece paradoxal, não é? E-mails a pedir para se enviar mais e-mails. Mas foi a opção de inúmeras empresas para não arriscarem não cumprir a nova lei.

    O RGPD impõe que o consentimento para tratar os dados pessoais seja livre, informado, específico e inequívoco. Ou seja, a ideia é também acabar com os pedidos de consentimento que os utilizadores nem perceberam que deram. Para evitar o incumprimento do regulamento, muitas entidades têm optado por pedir a renovação do consentimento, que pode ter sido conseguido através dos longos formulários na Internet que “ninguém lê” e apenas aceita para, agora, terem um consentimento claro que possam demonstrar à autoridade reguladora se forem fiscalizados.

    Além disso, para cada contacto, as entidades têm demonstrar qual o propósito de terem armazenado esse dado pessoal. Daí estes pedidos de empresas a pedirem a renovação do consentimento dos dados pessoais.

  5. Mas porque há toda esta "histeria" com dados pessoais?

  6. Os dados pessoais podem ser utilizados para os mais diversos fins. O caso mais recente em que se viu o poder que pode ter a informação pessoal na época digital é o caso Cambridge Analytica. Esta empresa de análise de dados copiou a informação de mais de 80 milhões perfis do Facebook em 2014, sem o seu consentimento, e utilizou a informação para vender publicidade a campanhas eleitorais e para dados estatísticos de entidades terceiras.

    [Se o tema da proteção de dados lhe parece enfadonho, veja este vídeo da Comissão Europeia que, em tom cómico, explica por que deve ter cuidado com o que partilha online]

    Se foi por isso que Donald Trump ganhou as eleições ou os britânicos disseram que sim ao Brexit, ainda é tema de debate intenso. No entanto, o caso demonstrou de forma clara que os dados pessoais têm bastante valor.

    O percurso que insere no GPS ou os gostos que tem numa rede social são o suficiente para se definirem padrões de como é o seu dia a dia e, assim, saber mais sobre os seus hábitos pessoais. Com isso é possível incentivar uma pessoa a comprar produtos ou alterar comportamentos, o que é bastante valioso para empresas gerarem receitas. Isto através dos seus dados pessoais que, muitas vezes, nem sabe que as empresas têm.

    Os dados pessoais são “qualquer informação relacionada com uma pessoa identificada ou identificável”. Sendo uma definição ampla, o RGPD é aplicável desde “pequenos cabeleireiros aos grandes bancos”, como explica Daniel Reis. No entanto, um dos pontos principais é o risco a que estão sujeitos os dados. Se alguém aceder ao seu extrato bancário poderá utilizar os dados para fins com efeitos bem mais nefastos do que se souber apenas as últimas vezes que cortou o cabelo.

  7. O que muda para as empresas?

  8. Com a nova legislação, as empresas, das maiores às mais pequenas, passam a ter maiores responsabilidades no tratamento de dados pessoais, tendo obrigatoriamente de explicar, em linguagem simples e clara, os fundamentos legais para tratarem informação pessoal. Além disso, têm ainda de dizer durante quanto tempo vão conservar essa informação.

    Princípio da Responsabilidade estabelece que são as próprias entidades que passam a ter que ter preparadas medidas para disponibilizar a informação pessoal de que dispõe caso os titulares ou as autoridades de fiscalização o exijam.

    No caso de estarem em situação de risco, as empresas passam também a estar obrigadas a comunicar à autoridade competente. Para Daniel Reis, esta é “a grande revolução do regulamento”. O sistema passa a ser de auto-regulação, como explica o jurista: “A CNPD não precisa de dar autorização para nada, as próprias empresas têm de analisar o impacto e comunicar” à Comissão. As entidades públicas e privadas passaram a ter de estar em plenas condições de demonstrar às autoridades competentes porque é que têm determinada informação armazenada. Ou seja, um cabeleireiro, por exemplo, tem de justificar porque é que guarda os dados de marcações com o nome do cliente.

    Para isso, antes de 25 de maio, todas as empresas tiveram de se informar sobre que tipo de dados pessoais podem ter e perceber se os deviam continuar a ter armazenados. Segundo a nova legislação, para se tratar de informação pessoal, há seis fundamentos:

    • Consentimento: a razão de se terem enviados tantos e-mail.
    • Cumprimento da lei: se a lei o exigir, é motivo para tratar de dados pessoais.
    • Cumprimento de um contrato: por exemplo, no caso do contrato de trabalho é necessário a entidade empregadora guardar dados pessoais do trabalhador como, por exemplo, o IBAN. Ou uma empresa ter a sua morada para lhe entregar um móvel que comprou.
    • Interesses legítimos: encomendou um móvel e não estava em casa quando o foram entregar. Como explica Daniel Reis, neste caso há um interesse legítimo em utilizar-se um contato telefónico pessoal “desde que prevaleça a legítima expectativa de privacidade das pessoas”. 
    • Exercício de funções de interesse público.
    • Proteger os interesses vitais do utilizador: alguém desmaia e tem de ligar para o 112? É este princípio que permite abrir a carteira para ver os dados pessoais.
  9. As empresas estão preparadas?

  10. A resposta é “nim”. Há empresas que sim, e há empresas que não, mas só entrando em vigor e percebendo-se como o Estado vai aplicar a lei, é que se vai perceber se as empresas vão cumprir os requisitos.

    Houve dois anos para os Estados-membros se adaptarem mas, apesar de o regulamento já estar publicado, o quadro legal final em Portugal ainda não é conhecido. Como explicou ao Observador Clara Guerra, da Comissão Nacional de Proteção de dados: “Teria sido necessário e bom para toda a gente saber qual o quadro legal necessário. Não se podem tomar algumas decisões do ponto de vista organizativo.”

    Em maio, apenas 8% das PME revelaram estarem preparadas para a plena aplicação da lei, revelou o Negócios.

    Houve responsáveis de empresas, ao Observador, que descreveram o processo de adaptação ao RGPD como “um pesadelo”. Uma das principais questões passa pelo Encarregado de Proteção de Dados, uma nova figura que não é obrigatória para todas as entidades, mas que levantou dúvidas a algumas empresas sobre a necessidade de ter esta figura.

  11. O que é o encarregado de proteção de dados?

  12. As entidades públicas, as empresas que tratem de dados pessoais sensíveis (como um hospital) e as que tenham como atividade principal, em grande escala, monitorizar o comportamento dos seus utilizadores, passam a ser obrigados a ter uma pessoa responsável pela proteção de dados pessoais, o encarregado de proteção de dados (DPO, em inglês). Daniel Reis explica: “É uma espécie de provedor. É o ponto de contacto de todos os titulares dos dados”.

    Esta figura, apesar de não ser obrigatória para todas as entidades, tem sido uma opção para garantir o cumprimento da nova lei por várias empresas. Segundo a lei, o DPO tem de ser independente nas suas decisões. Numa empresa grande pode ser uma equipa de pessoas, mas numa empresa pequena pode ser alguém que não trabalha a tempo inteiro.

    A Comissão Nacional de Proteção de Dados ainda não certifica estas figuras, mas o encarregado tem demonstrado o que o RGPD também é: uma oportunidade de negócio. Para garantir a independência deste cargo, várias empresas, em outsourcing, têm oferecido estes serviço.

    “Como é que alguém ligado à empresa pode ser DPO com independência?”, afirma a CNPD. Um DPO não precisa de ser jurista, apenas alguém com experiência prática no tratamento de dados pessoais.

    Mesmo com DPO, a entidade nunca está isenta de responsabilidade se os dados pessoais que tenha sejam comprometidos.

  13. Mas o que muda para mim?

  14. O regulamento vem tornar mais claros e abrangentes os direitos dos cidadãos na União Europeia. O melhor exemplo é o direito ao “apagamento”. Se pedir a uma empresa para apagar os seus dados pessoais, esta tem de cumprir o pedido no prazo de um mês.  O mesmo acontece se pedir os seus dados pessoais.

    O caso Cambridge Analytica tornou mais conhecida a ferramenta do Facebook em que se pode pedir um ficheiro com todos os dados pessoais que a plataforma tenha seus. Antes já podia fazer este pedido a qualquer empresa que tivesse dados pessoais seus e esta teria de os mostrar. Com as avultadas multas passa a existir um incentivo acrescido para garantir estes direitos.

    Para as empresas grandes, que já estavam preparadas para esta realidade, a efetivação destes direitos é tecnicamente fácil. Contudo, para as empresas que não tenham mecanismos suficientemente ágeis para cumprir este prazo, poderá ser mais difícil exigir o cumprimento célere destes direitos.

    Os utilizadores têm também direito à portabilidade. Como explica a CNPD, este direito à portabilidade permite que todos os dados pessoais que estejam armazenados por uma entidade tenham de ser entregues em formato informático ao titular, para que este os utilize noutros serviços. Com este direito, por exemplo, mudar de banco ou operadora telefónica passa a ser mais fácil.

  15. Porque é que o Parlamento ainda não decidiu as matérias de competência nacional?

  16. Segundo a Comissão Nacional de Proteção de Dados a culpa “é do Governo”. Questionada por e-mail pelo Observador, a ministra da Presidência e Modernização Administrativa, Maria Manuel Leitão Marques, explicou que o regulamento é aplicado de forma automática em Portugal e que os direitos dos cidadãos não ficam desprotegidos, apesar de o Parlamento ainda não ter legislado nas matérias que são da competência dos países.

    “O RGPD é direta e automaticamente aplicável em Portugal a partir de 25 de Maio. Ou seja, os direitos, liberdades e garantias dos cidadãos não ficam desprotegidos, uma vez que as regras substantivas de proteção de dados pessoais resultam do próprio Regulamento. Apesar de a Proposta de Lei não estar ainda aprovada, o Governo avançou com um conjunto de iniciativas que ajudam as entidades públicas a aplicar as novas normas. Exemplo disso são as ações de formação já realizadas ou previstas.”

    Tanto a CNPD, como o Governo, explicaram ao Observador que há mais Estados-membros que ainda não aprovaram legislação nacional para os pontos em que o RGPD dá alguma liberdade de aplicação. A lei de execução do Regulamento está neste momento em discussão na Assembleia da República. Contudo, também é preciso ter em conta a agenda do governo e dos partidos políticos.

    Só em fevereiro é que se conheceu a proposta de lei do Governo, que foi a discussão na Assembleia da República só no início de maio. Devido às dúvidas que levantou, os deputados pediram mais 45 dias para analisarem o documento. Um dos pontos que criou maior discordância na proposta de lei foi que as elevadas coimas estipuladas no regulamento não se aplicariam ao setor público.

  17. O setor público está isento das coimas?

  18. A resposta é: ainda não. Nada foi aprovado e o documento legal final alterado, que irá novamente a discussão, ainda não foi concluído. No parecer à proposta de lei, a Comissão Nacional de Proteção de Dados criticou esta decisão, argumentando que esta viola o regulamento.

    Sobre esta questão, a ministra Maria Manuel Leitão Marques, diz que “não faz sentido sugerir que a proposta de isenção de coimas à Administração Pública viole o RGPD”. “O Regulamento admite, expressamente, que os Estados-Membros façam tal opção, o que significa que o legislador europeu ponderou de forma diferente o que é público e o que é privado. O nº7 do artigo 83 do RGPD estipula que ‘os Estados-Membros pode prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território'”.

    Caso esta medida venha a ser aprovada, esta terá de ser revista daqui a três anos. Por não haver o incentivo sancionatório para o Estado cumprir os requisitos do regulamento, Clara Guerra, da Comissão Nacional de Proteção de Dados diz que “não é agora que as coimas são maiores que se vai criar um regime de exceção”. Contudo, a ministra defende que “além das coimas há um poder de fiscalização e correção por parte da Autoridade de  Controlo e custos reputacionais que resultam de qualquer incumprimento.”

  19. Está a CNPD preparada para executar o RGPD?

  20. Resposta rápida, não. “Não temos sequer os mínimos”, diz Clara Guerra. Quais seriam os mínimos? “Seria duplicar o pessoal. Temos 20 pessoas de pessoal completo, incluindo serviços administrativos. Quatro técnicos nos serviços jurídicos e três técnicos nos serviços informáticos.”

    Quanto a esse ponto, o Ministério da Presidência e Modernização Administrativa justifica que é competência da “Assembleia da República aprovar o novo Estatuto da CNPD e indicar quais os meios necessários para a CNPD poder exercer funções”.