Comemorou-se a 28 de Janeiro o Dia da Protecção de Dados e este ano completam-se também 40 anos da Convenção n.º 108 do Conselho da Europa, marco histórico na construção do Direito europeu da protecção de dados.

A temática da protecção de dados conduz-nos inevitavelmente ao famigerado Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, comumente conhecido como RGPD.

Este instrumento jurídico alterou de modo substancial o paradigma em matéria de protecção de dados pessoais e, passados quase cinco anos após a sua entrada em vigor, há ainda muito caminho a percorrer em Portugal no que concerne à implementação do diploma, tanto no sector público como no sector privado.

Efectivamente, restringindo a análise ao ordenamento jurídico português, a realidade mostra-nos ainda uma falta de maturidade e sensibilidade das organizações em sede de compliance com o Regulamento.

PUB • CONTINUE A LER A SEGUIR

Também o legislador português demonstrou alguma inércia na aprovação da legislação interna, o que, em certa medida, promoveu a relutância das organizações portuguesas em assegurar a conformidade com a legislação europeia.

Com efeito, após um complexo e demorado procedimento legislativo, fora aprovada em Agosto de 2019 a Lei n.º 58/2019 por forma a assegurar a execução do Regulamento em Portugal.

Contudo, a aprovação do diploma não trouxe, como era expectável, maior clareza e segurança jurídicas às organizações. Neste sentido, logo após a sua aprovação, a Comissão Nacional de Protecção de Dados deliberou pela não aplicação de uma parte significativa das normas aí previstas, por considerar que as mesmas desrespeitam o Regulamento, numa clara violação do Princípio do Primado do Direito da União Europeia.

Em acréscimo, comparativamente com a actividade desenvolvida por outras autoridades de controlo, destacamos também a falta de acções de auditoria e de fiscalização da Comissão Nacional de Protecção de Dados, bem como a falta de promoção e disponibilização de ferramentas e meios que auxiliem e esclareçam as organizações quanto aos mais variados temas em matéria de privacidade e protecção de dados.

Em contrapartida, a realidade noutros Estados-membros é notoriamente distinta. A título de exemplo, refira-se o caso de Espanha, onde, por um lado, a Agencia Española de Protección de Datos (AEPD) tem disponibilizado variados instrumentos com o objectivo de auxiliar as organizações no cumprimento do Regulamento. Por outro lado, é também de salientar as inúmeras acções inspectivas levadas a cabo por esta autoridade de controlo, que têm culminado na aplicação de avultadas coimas às entidades que se encontrem em incumprimento. A título de exemplo, no início do presente mês, a AEPD aplicou uma coima de seis milhões de euros ao Caixabank S.A, com fundamento na inexistência de base de licitude para o tratamento de dados pessoais.

No que concerne ao Direito da União Europeia, a privacidade, protecção de dados e a digitalização do mercado único mantêm-se uma preocupação premente, tendo sido divulgado no final do ano de 2020 a Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à governação de dados (Data Act Governance).

Em traços gerais, este instrumento pretende regular a reutilização de dados no sector público e a partilha de dados entre empresas, incentivando e reforçando a interoperabilidade e criação de mecanismos de partilhas de dados em sectores como a saúde e energia. Prevê-se, ainda, a regulamentação da utilização de dados pessoais através de “intermediários de partilha de dados pessoais”, que deverão ter um papel facilitador junto dos titulares quanto ao exercício dos seus direitos previstos no Regulamento (EU) 2016/679.

De notar, que a proposta legislativa não se circunscreve aos dados pessoais na acepção oferecida pela Regulamento, definindo-se como dados “qualquer representação digital de actos, factos ou informações e qualquer compilação desses actos, factos ou informações, nomeadamente sob a forma de gravação sonora, visual ou audiovisual”.

Ainda no final de 2020, a Comissão Europeia divulgou um pacote de medidas legislativas – o Digital Services Act e o Digital Market Act – dando mais um passo na construção e regulamentação do mercado único digital europeu.

O Digital Markets Act estabelece um conjunto de obrigações e limitações a observar pelas core plataform services, isto é, pelas empresas que controlam serviços essenciais oferecidos digitalmente (designadas de gatekeepers), como motores de busca, redes sociais ou empresas de serviços de cloud computing.

Já o Digital Services Act prevê obrigações para os prestadores intermediários de serviços e para os prestadores de serviços de hosting, das quais se destaca a obrigatoriedade de implementação de mecanismos de reporte de conteúdos ilegais para estes últimos. Propõe-se ainda, a criação de um novo meio alternativo de resolução de litígios entre os utilizadores e as plataformas.

Se no que respeita à digitalização do mercado e às inerentes preocupações em matéria de privacidade e protecção de dados pessoais, podemos concluir que o caminho a percorrer em Portugal é longo e conturbado, o mesmo não se pode afirmar no âmbito do Direito da União Europeia. Com efeito, o legislador europeu tem procurado encurtar este caminho através da preparação e divulgação de um pacote de medidas legislativas como as que enunciamos, tendo em vista a valorização do direito à privacidade e protecção de dados e a promoção e construção do mercado único digital.

Não pode descurar-se que a transição para o mercado único digital, apesar de necessária, tem de assegurar, em primeiro plano, o respeito pelos direitos fundamentais dos cidadãos.