No passado dia 25 de maio, dia em que o já famoso Regulamento Geral de Proteção de Dados (RGPD) começou a produzir efeitos em todos o Espaço Económico Europeu, cerca de 85% das empresas nacionais ainda nem tinham começado a implementar medidas efetivas para garantir a conformidade com o RGPD. Mais atrasado se revelou o sector público (embora se questione: se o exemplo não vem de cima, de onde poderá vir?). Passados quase dois meses, aquele número pouco desceu.
Por um lado, os dois anos que mediaram entre a publicação do RGPD e sua aplicação efetiva não foram suficientes para que as organizações públicas e privadas se adaptassem. Por outro lado, constantes foram as declarações da Dra. Filipa Calvão, Presidente da Comissão Nacional de Proteção de Dados (CNPD), no sentido de estar bastante deficitária de meios para garantir o cumprimento do novo paradigma de autorregulação e autorresponsabilização. Por conseguinte, contribuiu, em certa medida, para um certo relaxamento por parte das empresas, embora se perceba o intuito de pressão ao atual Governo.
Porém, este relaxamento, principalmente no sector privado, poderá traduzir-se, claramente, em consequências negativas.
Em primeiro lugar, em eventuais coimas e multas, pois são as empresas que se sujeitam verdadeiramente a elas, dada a intenção do Governo, prevista na proposta de lei n.º 120/XIII, em isentar durante pelo menos três anos as autoridades e organismos públicos, o que é mais um exemplo caracteristicamente lusitano do “faz o que eu digo, não faças o que eu faço”. Todavia, apesar da tardia fiscalização da CNPD, a verdade é que o RGPD já produz efeitos desde o passado dia 25 de maio e a CNPD não irá fazer “vista grossa” até porque parte da sua receita irá provir destas sanções pecuniárias.
Em segundo lugar, há que ter atenção aos eventuais pedidos de indemnização dos titulares dos dados pessoais por danos materiais ou imateriais que tenham sofrido devido a uma violação dos seus direitos de personalidade e de autodeterminação informacional protegidos pelo referido RGPD e demais legislação aplicável. O RGPD consagra uma regra de solidariedade obrigacional entre os corresponsáveis, isto é, cada um é responsável pela totalidade dos danos, prevendo-se a possibilidade de regresso, ao mesmo tempo que parece inverter o ónus da prova sobre estes, a partir do momento em que se constata a violação das obrigações por ele impostas. O que é, notoriamente, um reflexo do cunho protetivo do titular dos dados pessoais.
Em terceiro lugar, várias são as empresas que são subcontratantes/subcontratadas, isto é, tratam os dados pessoais "por conta" de outros organismos, nacionais ou internacionais, responsáveis pelo tratamento daqueles dados e que já começam a exigir a demonstração de que aquelas cumprem, de facto e de direito, com o RGPD. Logo, este atraso na implementação poderá levar ao corte de relações comerciais, inclusive algumas consideradas duradouras.
Por último, e não menos importante, não nos podemos esquecer da obrigação de notificação quando há violação de dados pessoais, desde logo à CNPD e aos titulares, o que tem um peso considerável. Relembra-mos que a aplicação do RGPD não diz respeito apenas à proteção de dados: trata-se da reputação da sua empresa.
No entanto, aquilo que pode ser visto como uma desvantagem concorrencial – sujeição a maiores obrigações e custos – deve ser encarado como uma vantagem, já que o consumidor, cada vez mais consciente da sua privacidade, e as empresas, cada vez mais conscientes das suas obrigações e do impacto que o tratamento de informação pessoal pode causar naquele consumidor, tenderão a evitar a utilização de serviços que não oferecem garantias de proteção, e a abandonar aqueles relativamente aos quais são sistematicamente reportados comportamentos lesivos.
Em suma, urge a necessidade de sensibilizar quem lida com dados pessoais, dada a, ainda, ignorância em relação ao RGPD e à obrigação de registo do tratamento de dados quando as empresas estejam, pelo menos neste casos, legalmente obrigadas.
Carlos Costa, José Miguel Pinto e Jorge Artur Costa
(CCIC Advogados )