Cinco meses depois da data em que o RGPD se tornou aplicável é um bom momento para refletir um pouco sobre o que se passou e onde estamos agora.
Depois do pânico hoje vivemos um período de relativa acalmia. Como acontece, aliás, com a maioria das revoluções, constato que o impacto do Regulamento Geral de Proteção de Dados (RGPD) o curto prazo não foi tão grande como se vaticinava, e prevejo que o impacto no longo prazo será maior do que o antecipado.
Ofereço-vos a minha visão, a visão de alguém que trabalha com temas relacionados com dados pessoais há quase 20 anos, em 9 pontos.
1. Portugal acordou muito tarde. A proposta da Comissão Europeia é de 2012 e o RGPD entrou em vigor em 2016, prevendo um período de 2 anos de adaptação. O legislador europeu entendeu que seria necessário conceder a todas as entidades afetadas um prazo alargado para se prepararem. Não obstante, com algumas exceções, sobretudo empresas multinacionais e empresas que atuam em setores regulados, Portugal apenas acordou para o assunto em janeiro de 2018. O que para muitas entidades se revelou ser manifestamente tarde demais. A maioria das empresas e entidades do setor público não estavam preparadas a 25 de maio.
2. Febre dos consentimentos. Assistimos – e continuamos a assistir – a uma verdadeira febre na recolha de consentimentos. Fruto, sobretudo, de ignorância sobre quais são os fundamentos que legitimam o tratamento de dados pessoais, tenho verificado a utilização do consentimento como uma espécie de OMO lava-tudo: com a assinatura de um formulário de consentimento resolve-se o “tema do RGPD”. Continuamos a ser confrontados com inúmeros pedidos de assinatura de formulários, normalmente acompanhados de uma expressão constrangida a pedir desculpa pelo incómodo. O que me preocupa sobretudo é o que as empresas não fizeram, além de gastar papel em formulários.
3. Spam antes de 25 de maio. Não deixa de ser irónico que legislação que pretende proteger a privacidade dos cidadãos tenha gerado a maior onda de spam dos últimos anos. Na semana antes de 25 de maio passei muitas horas a dizer a clientes para não enviarem um e-mail a solicitar a renovação do consentimento, por não ser necessário para o seu caso concreto. Vários enviaram o e-mail contra o meu conselho, inebriados pela histeria coletiva que assolou o país. Resultado: as taxas de resposta foram muito baixas, como era previsível, e muitas empresas perderam uma parte
muito substancial das suas bases de dados.
4. Estado em negação. O Estado português esteve e continua em negação. Se Portugal tem de forma geral um nível de maturidade relativamente ao tema dos dados pessoais muito baixo quando comparado com alguns Estados Membros (por exemplo Espanha e Alemanha), o setor público tem um nível de maturidade marcadamente inferior ao do setor privado. Não sei se a causa é o aspeto financeiro – sem dúvida que alterar procedimentos na máquina do Estado para garantir o cumprimento do RGPD requererá investimento – ou por considerar ser este um tema menor. Em todo o caso, a realidade é que o Governo apenas em março de 2018 apresentou uma proposta de lei, que na primeira versão incluía uma disposição claramente ilegal a conceder um prazo mais alargado para o setor público, e que o diploma está a marinar na Assembleia da República. O número de Encarregados da Proteção de Dados nomeados e projetos de preparação para o RGPD são escassos. A sensação que tenho é que o setor está à espera de um sinal do Governo, sinal esse que tarda em aparecer.
5. Dificuldade em assinar contratos de tratamento de dados. O RGPD exige que a relação entre um responsável pelo tratamento e os seus subcontratantes seja regulada por um contrato escrito. Eu julgava que esta tarefa seria uma das mais fáceis de cumprir; enganei-me por completo. As empresas não estão a assinar os contratos, por várias razões. Algumas, com receio da responsabilidade inerente à qualidade de subcontratante, pretendem ser qualificadas como responsáveis. Outras parecem estar em negação e empurram com a barriga. Nalguns casos, não é fácil perceber se existe uma relação de subcontratação ou não; noutros, o fornecedor atua como responsável e como subcontratante e as partes não chegam a acordo sobre como regular esta realidade.
6. Onde estão os EPD? O RGPD exige a nomeação de muitos Encarregados de Proteção de Dados, um cargo criado pelo Regulamento. O perfil definido no RGPD é de um perito na legislação e na prática do tratamento de dados pessoais. Não há pessoas suficientes em Portugal com este perfil. Têm surgido inúmeros cursos e formações – alguns com preços extraordinários – para suprir esta necessidade sentida pelo mercado, incluindo iniciativas de várias Universidades. A maioria dos cursos sofre do mesmo problema: os formadores não têm qualquer experiência prática relativamente a proteção de dados pessoais.
7. Rodopio de empresas a tentar vender serviços. Um fator que muito contribuiu para a ignorância generalizada e insuficiente grau de maturidade das organizações foi o verdadeiro frenesim gerado por empresas a promoverem produtos e serviços que iriam resolver o problema do RGPD. Participei em inúmeras reuniões com empresas que queriam explorar parcerias comigo com vista a vender serviços. A enorme maioria destas empresas de consultoria, na área das tecnologias de informação, não vendeu nada (porque na realidade não tinha nada para vender) mas lançou enorme confusão no mercado. Afirmações sobre a obrigatoriedade de nomear um EPD ou de encriptar os dados, por exemplo, banalizaram-se ao ponto de eu ser confrontado com regularidade com resistência em compreender que essas obrigações não resultam de forma automática do RGPD.
8. Limbo regulatório e a CNPD. O RGPD é aplicável desde 25 de maio de 2018, mas o regime sancionatório, mormente a definição dos tipos das contra-ordenações, precisa de ser definida localmente, o que ainda não sucedeu. Adicionalmente, a CNPD deixou de ter receitas, porque já não é necessário realizar notificações (e pagar a taxa administrativa associada). Não obstante, a lei
orgânica da CNPD ainda não foi alterada. Neste sentido, vivemos um momento peculiar onde existem regras muito restritivas, mas não temos fiscalização ou sanções para o seu incumprimento.
9. Os temas difíceis não foram abordados. O caminho a percorrer para muitas empresas e entidades do setor público ainda será longo. Quando os levantamentos dos tratamentos de dados ainda não foram feitos, e ainda não foram adaptados os procedimentos e políticas para cumprir as obrigações previstas no RGPD, não é possível realizar as tarefas importantes. Aplicar medidas de segurança e – de facto – proteger a privacidade dos cidadãos: é esse o grande desafio que a maioria ainda não começou a abordar.
Daniel Reis é sócio coordenador da equipa de telecomunicações, media e tecnologias de informação (TMT) da firma de advogados PLMJ