O RGPD (Regulamento Geral sobre a Proteção de Dados) é um regulamento da UE (n.º 2016/679, de 27 de abril de 2016), adotado pelo Parlamento e pelo Conselho, que constitui uma das principais ferramentas da Europa digital. Consiste, basicamente, no tratamento, por uma organização ou pessoa singular, dos dados pessoais de outros indivíduos. Aplica-se, essencialmente, em atividades profissionais, comerciais, financeiras, culturais ou sociais, de natureza ora coletiva ora pública.
Por dado pessoal, considera-se toda a informação relativa a uma pessoa, dotada de direitos e deveres, identificada através de referência direta ou indireta, com contacto telefónico ou quaisquer outros dados que se cruzem e que ao indivíduo digam respeito.
O tratamento desses dados pessoais, baseia-se em qualquer operação que incida sobre os mesmos, devendo ter uma finalidade concreta e legal, respeitando a atividade profissional de quem os gere. Um exemplo concreto deste tratamento de dados são as bases de dados como ficheiros de clientes ou listas de fornecedores.
O RGPD deve ser tido em conta por qualquer pessoa ou entidade, pública ou privada, principalmente atuantes e residentes na UE. Para que seja seguido na íntegra, as organizações ou pessoas singulares devem adotar políticas de privacidade e segurança da informação; avaliar o impacto da proteção dos dados; obter consentimento não só no tratamento como na recolha dos dados dos titulares; efetuar e manter registos; garantir direitos de acesso; eliminação ou oposição destas ações; notificar acidentes; assegurar boas práticas de segurança.
Com apenas 4 anos de existência, o RGPD respeita o caminho europeu destacado pela Comissão Europeia, de um “caminho europeu para a Década Digital”. O objetivo, segundo a reconhecida instituição é “prosseguir políticas digitais que deem poder a pessoas e negócios para consolidar um futuro digital mais próspero, centrado no humano e sustentável”.
O caminho europeu para o desenvolvimento digital tem seguido com nova legislação que inclui normas como garantir a confiança dos cidadãos e consumidores, a privacidade e a cibersegurança, assegurar um fluxo livre, mas seguro, de informação e de opinião. Resumidamente, um sistema centrado nas pessoas.
Apesar deste regulamento não ser estritamente europeu, na Europa compreende um vasto conjunto de medidas que visam a proteção das pessoas no caminho para um futuro digital europeu mais forte, seguro e inclusivo. Para além disso, está integrada nas políticas europeias específicas, com particular relevância para a natureza dos dados pessoais, como telecomunicações, saúde pública, inteligência artificial, transportes, energia, concorrência (autoridades de concorrência devem cooperar para o efeito, na interseção das competências), contextos eleitorais ou aplicação da lei.
Nos últimos tempos, tem-se assistido a um aumento de infrações e de coimas adjudicadas, sendo, portanto, importante reforçar a prevenção. Como tal, aconselha-se que as entidades se assegurem que os dados recolhidos e tratados são, de facto, necessários para atingir objetivos legítimos e bem determinados; garantam que os indivíduos permanecem os titulares dos seus próprios dados, com total transparência sobre a sua utilização; afiancem a segurança física ou informática dos dados; conheçam, identifiquem e previnam os riscos; verifiquem regularmente a conformidade das medidas, procedimentos e circuitos existentes com as regras do RGPD, entre outras medidas.
No seu quarto ano de aplicação, e em vigor desde 2016, há ainda muito a percorrer a fim de evitar o agravamento das coimas no processo de violação das suas normas. Elevada precaução e noção da importância da prevenção são os conselhos mais recomendados por parte dos especialistas.
Adicionalmente, ainda se denota algum ceticismo em relação ao RGPD, uma vez que muitos afirmam que apresenta um entrave à inovação e ao desenvolvimento tecnológico, não sendo claro e objetivo sobre a sua aplicação.
Portugal, ao nível do plano da proteção de dados, destaca-se negativamente. Primeiramente, temos implementada a Lei de Execução do RGPD (Lei n.º 58/2019, de 8 de agosto), que viola o princípio do Primado do Direito da UE, contrariando muitas das normas contidas no próprio RGPD. Ainda, Portugal é o único estado-membro cuja autoridade de controlo deliberou a não aplicação de algumas das normas estabelecidas na Lei de Execução do RGPD. Esta lei de execução concedeu, às entidades públicas, a requisição de dispensa da aplicação de coimas e, de igual forma, estimula as mesmas a não tomar diligências para assegurar um nível satisfatório de conformidade com o RGPD.
Do mesmo modo, Portugal foi o único país, em toda a União Europeia a reduzir o orçamento da sua autoridade de controlo, contrariamente ao verificado pelos outros estados-membros. Face a isto, foi apresentado à Comissão Europeia uma proposta que prevê a abertura de processos por infração, contra os estados-membros não cumpridores das suas obrigações ao abrigo do RGPD, nos quais Portugal está incluído.
A Comissão Nacional de Proteção de Dados (CNPD) tem contribuído, positivamente, para a perceção generalizada de que o RGPD não alcançou os efeitos desejados e que existe, de facto, uma incapacidade de o tornar efetivo.
Conclui-se, então, que quatro anos depois da sua implementação, o balanço é insatisfatório. Para além do reduzido número de profissionais e da baixa qualificação e especialização em assuntos como a proteção de dados, as empresas portuguesas são obrigadas a demonstrar que dispõem de um nível adequado de conformidade com o RGPD, sem que o tenham efetivamente, levando a atrasos competitivos e, por vezes, perdas de oportunidades de negócio.
Vários estudos demonstraram que, por todo o mundo, muitas entidades não estão em conformidade com as medidas dos regulamentos de privacidade de dados ou dos Estados Unidos ou da UE. Cada potencial multa pode atingir, no máximo, 20 milhões de euros ou 4% do volume de negócios global anual.
No entanto, o futuro prevê-se risonho neste âmbito. Para isso, contribuem três fatores: o fim do privilégio das entidades públicas para a requisição da dispensa de aplicação de coimas, sujeitando-as à plenitude dos poderes de correção da CNPD. Seguidamente, os selos de maturidade digital, que têm como intuito o impulsionamento e o aumento do nível de maturidade das organizações. Finalmente, a consolidação do quadro de supervisão para a proteção de dados, assim como a atuação mais presente e constante do próprio CNPD.
Jakub Lewandowski, diretor jurídico e responsável global de dados da Commvault, explicou que “Qualquer aumento no cumprimento e nas obrigações regulamentares aumenta os custos de desenvolvimento para as empresas digitais. Existe um bom equilíbrio entre a proteção de dados e a asfixia da inovação, mas em última análise o factor mais importante tem de ser a criação de confiança na nossa economia e relações digitais“.
Para atingir a vantagem competitiva neste campo, é essencial encontrar o equilíbrio entre proteção significativa (ética digital, privacidade, cibersegurança) e maximização do valor económico e social (cloud, transformação digital, inovação).
É, então, de extrema importância que sejam aplicadas sanções por não cumprimento das normas estabelecidas e que as regras sejam destinadas não só às chamadas Big Tech como às pequenas e médias empresas. Complementarmente, com indivíduos capazes de denunciar o uso indevido de dados antes dos incidentes ocorrerem, a lei é seguida nas devidas normas.
Por outro lado, se o objetivo for a maximização do valor económico e social, é preciso minimizar o custo de conformidade e as barreiras à inovação. Isto só pode ser alcançado com um nível de harmonização regulatória.
Compreende-se, então, que há, definitivamente espaço para melhorias. Acreditamos que, com consciência, o RGPD siga o caminho inicialmente pretendido e que os dados pessoais sejam, efetivamente, protegidos de toda e qualquer ameaça.