«A urgência da sensibilização de uma cultura de proteção de dados pessoais»
Enquanto algumas empresas e organismos públicos (pouquíssimos!), já têm tudo, ou quase tudo, de acordo com o já famoso Regulamento Geral de Proteção de Dados (RGPD), outros só agora começam a tratar ou a preocupar-se com o assunto.
No passado dia 25 de maio, dia em que o RGPD começou a produzir efeitos em todos o Espaço Económico Europeu, cerca de 85% das empresas nacionais ainda nem tinham começado a implementar medidas efetivas para garantir a conformidade com o RGPD. Mais atrasado se revelou o sector público (embora se questione: se o exemplo não vem de cima, de onde poderá vir?). Passados quase dois meses, aquele número pouco desceu. O que, na realidade, se compreende...
Por um lado, os dois anos que mediaram entre a publicação do RGPD e sua aplicação efetiva não foram suficientes para que as organizações públicas e privadas se adaptassem. Nem poderiam ser. A começar pelo atraso legislativo em aprovar e publicar a nova lei nacional de proteção de dados pessoais, que virá concretizar o RGPD em aspetos autorizados por este diploma europeu, o que, inevitavelmente, gera uma incerteza insustentável, nomeadamente sobre o regime jurídico e sancionatório.
Por outro lado, constantes foram as declarações da Dra. Filipa Calvão, Presidente da Comissão Nacional de Proteção de Dados (CNPD), no sentido de estar bastante deficitária de meios para garantir o cumprimento do novo paradigma de autorregulação e autorresponsabilização.
Por conseguinte, contribuiu, em certa medida, para um certo relaxamento por parte das empresas, embora se perceba o intuito de pressão ao atual Governo.
O controlo é feito: com base em ações de fiscalização da autoridade de controlo e obrigações de registo das operações de tratamento de dados pessoais por parte dos responsáveis pelo tratamento, em vez de funcionar com autorizações ou notificações à CNPD prévias ao tratamento dos dados (para clarificar, note-se que anteriormente ao RGPD, existiam isenções a esta obrigação legal de notificação de tratamento de dados pessoais à CNPD, por exemplo, em relação a dados pessoais necessários para efeitos de faturação e gestão de clientes/fornecedores e por isso é que a maioria das empresas nem sabia da existência de uma obrigação de notificação, nem de isenções emitidas pela CNPD, muito menos da existência da Lei nº. 67/98, de 26 de outubro, de Proteção de Dados Pessoais); conjugado com um princípio de responsabilidade pelo cumprimento das normas aplicáveis, com coimas e multas, potencialmente, muito elevadas e outros “dissabores” para os infratores que poderão até ser obrigados a adoptar certos actos impostos coercivamente pela CNPD.
Não obstante, e embora o ritmo não seja igual para todos, já começa a haver uma certa noção de que é preciso implementar medidas efetivas para garantir a conformidade com o RGPD. Pois, este relaxamento, principalmente no sector privado, poderá traduzir-se, claramente, em consequências negativas.
Em primeiro lugar, em eventuais coimas e multas, pois são as empresas que se sujeitam verdadeiramente a elas, dada a intenção do Governo, prevista na proposta de lei n.º 120/XIII, em isentar durante pelo menos três anos as autoridades e organismos públicos, o que é mais um exemplo caracteristicamente lusitano do “faz o que eu digo, não faças o que eu faço”. Todavia, apesar da tardia fiscalização da CNPD, a verdade é que o RGPD já produz efeitos desde o passado dia 25 de maio e a CNPD não irá fazer “vista grossa” até porque parte da sua receita irá provir destas sanções pecuniárias.
Em segundo lugar, há que ter atenção aos eventuais pedidos de indemnização dos titulares dos dados pessoais por danos materiais ou imateriais que tenham sofrido devido a uma violação dos seus direitos de personalidade e de autodeterminação informacional protegidos pelo referido RGPD e demais legislação aplicável. O RGPD consagra uma regra de solidariedade obrigacional entre os corresponsáveis, isto é, cada um é responsável pela totalidade dos danos, prevendo-se a possibilidade de regresso, ao mesmo tempo que parece inverter o ónus da prova sobre estes, a partir do momento em que se constata a violação das obrigações por ele impostas. O que é, notoriamente, um reflexo do cunho protetivo do titular dos dados pessoais.
Em terceiro lugar, várias são as empresas que são subcontratantes/subcontratadas, isto é, tratam os dados pessoais "por conta" de outros organismos, nacionais ou internacionais, responsáveis pelo tratamento daqueles dados e que já começam a exigir a demonstração de que aquelas cumprem, de facto e de direito, com o RGPD. Logo, este atraso na implementação poderá levar ao corte de relações comerciais, inclusive algumas consideradas duradouras.
Por último, e não menos importante, não nos podemos esquecer da obrigação de notificação quando há violação de dados pessoais, desde logo à CNPD e aos titulares, o que tem um peso considerável. Relembra-mos que a aplicação do RGPD não diz respeito apenas à proteção de dados: trata-se da reputação da sua empresa.
Na prática, aquilo que se exige hoje, materialmente, a nível de proteção de dados já era o que se exigia nos últimos 20 anos.O que existe é um conjunto de obrigações complementares que as entidades têm de cumprir, o que concretiza a atitude pró-ativa e preventiva que corresponde à principal marca imposta pelo RGPD.
Porém, a confusão com a proteção de dados é muita. Não é verdade que seja necessário consentimento dos titulares para tudo o que se faça com os seus dados pessoais e não é sequer verdade que tenha de se obter consentimento dos clientes para lhes enviar comunicações de marketing no âmbito de uma relação contratutal/comercial. Aliás, este excesso de zelo pode levar mesmo à perda de clientes e negócio, como foi a epidemia ao longo das caixas de correio e até nas mensagens de telemóvel, muitas delas, senão a grande maioria, desnecessárias, bastando a alteração das suas políticas de privacidade e limitando-se a informar todos os clientes. Por muito interesse que as pessoas tenham no assunto, a verdade é que a grande maioria protelaram a sua resposta, ou até mesmo ignoraram as comunicações.
É preciso entender que os compromissos essenciais de proteção de dados pessoais se alcançam, essencialmente, com transparência perante as pessoas e ponderação no tratamento da informação pessoal que lhes respeita, com a adoção de medidas de segurança proporcionais aos meios económicos disponíveis e aos riscos associados ao tratamento dessa informação que pode ter impacto nos consumidores.
O consumidor, cada vez mais consciente da sua privacidade, tende a evitar a utilização de serviços que não oferecem garantias de proteção, e a abandonar aqueles relativamente aos quais são sistematicamente reportados comportamentos lesivos.
Assim, aquilo que pode ser visto como uma desvantagem concorrencial – sujeição a maiores obrigações e custos – deve, afinal, ser encarado como uma vantagem, já que o consumidor tenderá a escolher quem lhe oferece garantias de cumprimento do RGPD: a confiança dos consumidores em matéria de dados pessoais é, reconhecidamente, fator de desenvolvimento e potencia novos serviços.
Todavia, ainda existe alguma ignorância em relação ao RGPD e indefinição quanto à legislação nacional nesta área jurídica, o que revela que será preciso tempo para as empresas e entidades públicas se adaptarem a esta nova realidade.
Urge a necessidade de sensibilizar quem lida com dados pessoais, pois, em Portugal, não há propriamente uma cultura de proteger os dados pessoais e de respeitar a privacidade das pessoas.
No entanto, não se passa da situação atual diretamente para o perfeito. A implementação do RGPD deve ser feita de forma contínua: regularmente atualizada.
Em suma, será preciso bom senso. Bom senso do legislador, do Estado, das empresas, da CNPD e dos próprios tribunais. O que o RGPD quer é proteger a privacidade das pessoas e não criar complicações ou limitar a atividade das empresas.
Mesmo na aplicação de sanções, pretende-se que estas sejam razoáveis, suficientemente dissuasoras da repetição do comportamento ilícito, mas que não arruínem a atividade ou existência de determinada organização social ou empresa.
Carlos Costa, José Miguel Pinto e Jorge Artur Costa
(CCIC Advogados )