RGPD: Começou a nova era da proteção de dados na Europa. Saiba o que mudou

A União Europeia passa a ter das mais apertadas regras em termos de proteção de dados dos cidadãos a partir desta sexta-feira, 25 de maio. É a data em que entra em vigor o novo Regulamento Geral de Proteção de Dados (RGPD), para o qual muitas empresas já se estão a preparar há anos e outras ainda nem sequer começaram a olhar para ele. Se está mais ou menos a par do tema, já deve saber isto de trás para a frente: estão em causa multas que podem chegar aos 20 milhões de euros ou 4% do volume de negócios anual da empresa. Toda a atenção é pouca.

O que muda daqui para a frente? Depende. Se representa uma organização, vai ter de conseguir provar que cumpre o regulamento caso a entidade fiscalizadora, que é a Comissão Nacional de Proteção de Dados (CNPD), o aborde para esse efeito. Já enquanto cidadão europeu, passa a ter mais direitos enquanto titular de dados pessoais. Desde logo, só podem ser recolhidos dados seus com o seu consentimento — e mesmo essa autorização é revogável. Em teoria, passa também a haver mais transparência quanto ao tratamento que as empresas dão às suas informações.

Enquanto não houver uma primeira sanção pesada para uma organização, vamos cair aqui nalgum marasmo. Depois, voltará uma nova fúria de preocupação.

Mas vamos por partes. A grande novidade acaba por ser o modelo de regulação. Enquanto, até aqui, as empresas que precisavam de recolher e tratar dados tinham de pedir autorização à CNPD, agora o caso muda de figura. Não é precisa autorização, mas existem regras. E é preciso ter-se a capacidade, enquanto organização, de provar que se está em conformidade. Chama-se a isso um modelo de “autorregulação”. Cada companhia tem de ser capaz de identificar os fluxos de dados que existem internamente, quer dos clientes, quer dos funcionários, quer dos fornecedores. Depois, tem de garantir que tem consentimento de todos para recolher, armazenar e usar esses dados.

Para o efeito, esse consentimento tem de ser expresso. Do género: “Precisamos dos seus dados para este fim específico. Vamos usá-los durante este período de tempo. Autoriza? Sim ou não?”. Ou seja, deixa de ser legal a via seguida por muitos até aqui, que era a de partir do pressuposto de que há consentimento, ou facilitar este processo. Deixam também de ser legais aquelas indicações de que “se está a usar o nosso site, é porque aceita que nós usemos os seus dados”, ou outras coisas do género. Agora, tem de haver um mecanismo mais apertado. Algo como “Podemos usar os seus dados? Sim? Não?”. E tem de ser o utilizador a marcar a caixa do “sim” e a dar, de forma efetiva e expressa, esse mesmo consentimento.

Depois, as empresas também devem garantir formas de encriptação dos dados no processo de armazenamento, para aumentar o nível de segurança, e adaptar os seus sistemas internos para que tudo esteja em conformidade. Recomenda-se, por isso, a leitura atenta do documento — algo que, por esta altura, já devia ter sido feito.

Outro ponto importante é o facto de algumas empresas passarem a estar obrigadas a ter uma pessoa responsável pela proteção de dados. Essa figura chama-se “Encarregado de Proteção de Dados”, ou DPO (de Data Protection Officer), que pode ser nomeado internamente ou contratado. Não é obrigatória formação especializada, mas recomenda-se. Deve ainda ser alguém capaz de entender a parte legal do regulamento e a parte técnica que o mesmo envolve. Além de ter a missão de garantir a conformidade no seio da empresa, deve ter espaço para escalar até à administração os problemas que vier a identificar, sugerindo formas de os resolver e envolvendo-se também na sua resolução.

De acordo com o texto do RGPD, as empresas obrigadas a ter um Encarregado de Proteção de Dados são todas aquelas que tratem dados sensíveis em grande escala como atividade principal, todos os organismos públicos “exceto tribunais no exercício da sua função jurisdicional” e empresas que façam o “controlo regular e sistemático” dos titulares dos dados, como é o caso do Facebook, por exemplo. O que são “dados sensíveis”? São informações como, por exemplo, a orientação sexual do titular, as crenças religiosas, os dados biométricos (marca da retina ou da impressão digital, por exemplo), e por aí em diante.

Além disso, as organizações são obrigadas a reportar brechas e falhas de segurança que comprometam os dados. Basta perder uma pen drive ou um computador da empresa para que esta fique obrigada a informar a CNPD desse facto. O objetivo é que as empresas não escondam esses problemas do público, algo que aconteceu reiteradamente no passado, como foi o caso da Uber. Isto com todos os danos reputacionais que um caso deste género possa trazer, e que para os quais as empresas devem ter planos de contingência sob pena de serem apanhadas desprevenidas (na verdade, ninguém está 100% seguro).

Chegados aqui, e embora não haja um modelo padrão para a aplicação do regulamento, é possível definir cinco grandes fases que envolvem a adaptação de uma organização ao RGPD. Como o ECO já tinha avançado com base nos testemunhos de três especialistas, essas fases são a de diagnóstico (identificar os dados e o tratamento que lhes é dado), a de revisão (rever se há consentimento dos titulares e alterar políticas de privacidade), a do DPO (perceber se a empresa é obrigada a ter um Encarregado de Proteção de Dados e nomear um, se necessário), a de implementação (desenhar um plano de implementação, adotar os sistemas novos que forem precisos e executar as novas medidas) e a de compliance (garantir a contínua conformidade com o regulamento). A preparação pode envolver custos, que variam muito dependendo da empresa.

Se não nos dotarem de meios, não conseguiremos estar à altura da função [de fiscalizar o cumprimento do RGPD].

Importa perceber que, quando aqui falamos de “empresas”, falamos de organizações públicas e privadas. No limite, até um simples blogue é obrigado a estar em conformidade com o novo regulamento, pois pode guardar dados dos leitores que acedem, comentam, e por aí em diante. O próprio Estado português tem vindo a fazer um caminho no sentido de estar em conformidade, mas a margem de erro é bem maior. Até porque o Governo aprovou uma lei que vai isentar os organismos públicos das multas do RGPD por três anos. Não quer dizer que não cumpram, mas a pressão é significativamente menor.

E que multas são essas? Como resumiu a PHC Software, foram fixadas coimas mínimas na lei portuguesa. No caso de contraordenação grave, começam nos 1.000 euros para pequenas e médias empresas (PME), 2.500 euros para grandes empresas e 500 euros para pessoas singulares. No caso de contraordenação muito grave, os valores mínimos são de 2.000 euros para PME, 5.000 euros para grandes empresas e 1.000 euros para pessoas singulares. Cabe à CNPD definir o valor, com base em critérios como as receitas da empresa, a dimensão da infração, o seu caráter continuado, e por aí em diante.

No meio empresarial, por vezes, tem circulado a ideia de que a CNPD não vai ser capaz de fiscalizar o regulamento de forma eficaz, o que, de certo modo, tem dado algum alívio a gestores e empresários. Não surpreende, até porque isso foi admitido pela própria presidente da comissão, Filipa Calvão, numa audição na Assembleia da República (AR) que decorreu este mês, a dez dias da entrada em vigor da lei. O problema é que a CNPD está sem dinheiro. E já nem tem orçamento para pagar os vencimentos de junho aos trabalhadores, quanto mais para fiscalizar o RGPD. Depois de ter dado o mesmo alerta em janeiro, Filipa Calvão voltou ao Parlamento e disse: “Não é possível, com os recursos que temos, fazer o que quer que seja, no âmbito do regulamento, que seja efetivamente uma tutela eficaz dos direitos fundamentais. Se não nos dotarem de meios, não conseguiremos estar à altura da função.”

Ainda assim, a incapacidade assumida do “regulador” não é motivo para baixar as defesas. O alerta foi deixado ao ECO pelo advogado João Costa Quinta, especializado no RGPD, da DLA Piper ABBC. Foi perentório: “Enquanto não houver uma primeira sanção pesada para uma organização, vamos cair aqui nalgum marasmo. Depois, voltará uma nova fúria de preocupação.” Porque a verdade é que ninguém quer ser o alvo dessa primeira “sanção pesada”. E não há como esquecer que, de acordo com alguns especialistas, o RGPD traz um risco acrescido de litigância, na medida em que há mais abertura para que um titular de dados possam fazer uma queixa ou avançar para a Justiça para ver os seus direitos serem repostos.

Mas passemos para o outro lado da barricada. Quais os direitos do cidadão enquanto titular de dados pessoais? Segundo a SGS, de uma forma geral, são sete esses direitos. Um é o direito de acesso (pode pedir o acesso aos dados que uma organização tenha sobre si). Outro é o direito de retificação (pode solicitar que os seus dados sejam retificados ou completados). Há ainda o direito a ser esquecido (ou seja, pode pedir que os seus dados sejam apagados), o direito à limitação do tratamento (pode pedir que o tratamento dos seus dados seja limitado, mediante algumas situações excecionais), direito de portabilidade dos dados (pode pedir que esses dados sejam transmitidos a outro responsável pelo tratamento), o direito à oposição (pode opor-se, a qualquer momento, a que os seus dados sejam tratados para um determinado fim) e, por fim, o direito a que não sejam tomadas “decisões individuais automatizadas”. Em relação a este último, o titular “tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento” automático dos seus dados pessoais.

É este o cenário daqui para a frente. O novo paradigma que promete trazer mais segurança aos utilizadores, depois de escândalos como o da Cambridge Analytica, que usou indevidamente dados pessoais de 87 milhões de utilizadores do Facebook para ajudar a eleger Donald Trump como Presidente dos Estados Unidos. Se ainda tem dúvidas quanto ao RGPD, podemos garantir-lhe que está no sítio certo. O ECO firmou uma parceria com a consultora EY e com a sociedade RRP Advogados, que estão a responder às perguntas dos leitores, que podem ser enviadas para rgpd@eco.pt. As respostas vão ser publicadas aqui.

Bom trabalho.