A 25 de maio de 2018 entrava em efeito o Regulamento Geral de Proteção de Dados (RGPD), que tinha sido adotado em 2016 e que previa dois anos de período de adaptação para a organizações, que na maioria dos cados deixaram para a última hora os preparativos. A mudança de algumas regras, sobretudo relacionadas com a obrigação das empresas e entidades que tratam dados pessoais fazerem avaliações prévias de impactos e de terem dentro de casa um Encarregado de Proteção de Dados (ou DPO na sigla em inglês), estavam entre as principais mudanças, com a ameaça de multas pesadas para quem não cumprisse, podendo chegar a 20 milhões de euros ou 4% do volume de negócios por violação da proteção de dados nas empresas

Este é o regulamento mais severo de sempre adotado na Europa, estabelecendo uma nova era na proteção de direitos fundamentais dos cidadãos à proteção dos seus dados e ao direito de acesso, numa visão que dá a cada utilizador mais controle sobre a informação pessoal. E a capacidade de influência deste nível de proteção teve impacto também noutras regiões do mundo, com vários países a olhar para o RGPD como uma referência a adotar, incluindo os Estados Unidos.

Só que os primeiros três anos de aplicação do RGPD, que hoje assinala o 3º aniversário, acabaram por não ter um impacto tão assustador como tinha sido antecipado, e apesar de algumas coimas de valores mais elevados o número de sanções aplicadas é baixo, o que introduz alguma sensação de “relaxamento” ou desvalorização que é reconhecida de forma global.

RGPD: As 5 maiores multas aplicadas na Europa valem mais de 150 milhões de euros
RGPD: As 5 maiores multas aplicadas na Europa valem mais de 150 milhões de euros
Ver artigo

A avaliação é semelhante à que foi feita no primeiro ano, onde o SAPO TEK escrevia que o “bicho papão” se tinha revelado um gatinho manso , ou à do segundo ano, onde se admitia que havia muito caminho a percorrer . Três anos depois, e como uma pandemia de COVID-19 pelo meio que criou muitos entraves a procedimentos legais, a Europa não está satisfeita com os resultados obtidos e o próprio “pai” do RGPD, Axel Voss, pede uma reformulação urgente. Em Portugal a Comissão Nacional de Proteção de Dados admite que há “lutas inglórias” e que as organizações não estão claramente preparadas para cumprir o regulamento, uma análise que também o jurista Diogo Duarte apoia.

Um regulamento “coxo” ou sem meios de aplicação?

Não é a primeira vez que Axel Voss, eurodeputado que liderou o processo de aprovação do RGPD no Parlamento Europeu e que é muitas vezes apontado como o “pai” da legislação, pede uma modernização das regras, e hoje, no balanço dos 3 anos de entrada em efeito, volta a sublinhar que é necessária uma revisão para que a Europa possa ser líder na economia de dados.

Há falhas conceptuais, vazios legais e problemas práticos que se registaram na aplicação do RGPD, que o eurodeputado identificou numa consulta pública que decidiu promover e onde recebeu mais de 180 respostas, e que descreve no documento que hoje publicou. E embora continue a defender que o regulamento é um elemento fundamental no sistema democrático quer ver alterações.

Mas há quem não esteja de acordo com esta visão, e mesmo o supervisor europeu de proteção de dados (European Data Protection Supervisor), Wojciech Wiewiórowski, avisa que embora o regulamento esteja ainda a dar os primeiros passos “é essencial que o papel que o RGPD desempenha no sistema jurídico da UE não seja diminuído pelas novas propostas, especialmente aquelas que têm impacto sobre a governação de dados”.

A ideia é também defendida por Diogo Duarte, jurista e especialista em proteção de dados, que ao SAPO TEK explica que, ainda que compreenda os argumentos apresentados por Alex Voss, nomeadamente a necessidade do RGPD se adaptar à novas tecnológicas e às novas dinâmicas trazidas pela pandemia, como é exemplo o teletrabalho, “creio que seja bastante prematuro encetar novas alterações ao regulamento, sobretudo, quando existe ainda uma grande dificuldade em cumprir com as atuais normas legais”. Além disso lembra que “o RGPD posiciona-se como um regulamento tecnologicamente neutro, e tal posicionamento visa permitir exatamente a capacidade do regulamento se adaptar à evolução tecnológica e ao surgimento de novas tecnologias”, não vendo este como um argumento suficiente para que se proceda a qualquer alteração.

“Parece-me irrazoável e precipitado procurar introduzir alterações ao RGPD que atinjam os direitos e liberdades dos titulares de dados, sob um pretexto de adaptação às novas tecnológicas”, defende Diogo Duarte.

Falta de maturidade, autoridades com poucos meios e “lutas inglórias”

O SAPO TEK procurou também um balanço dos três anos de aplicação do RPGD em Portugal, e a perspetiva geral é que a situação evoluiu, mas devagarinho. No último ano a crise provocada pela pandemia de COVID-19 contribuiu para aumentar o tratamento de dados, ou generalizar esse tratamento por parte das empresas e organizações, mas também para atrasar processos, e Filipa Calvão, presidente da Comissão Nacional de Proteção de Dados (CNPD) admite mesmo que isso tem prejudicado os direitos fundamentais dos cidadãos.

Do lado da CNPD há uma falta de meios que tem sido reconhecida desde o início do processo, o que torna a tomada de decisões mais lenta, um problema a que se somou a suspensão de prazos devido ao Estado de Emergência, que dificultaram a ação inspetiva e as notificações. Ainda assim foram feitas inspeções, foi aplicada uma coima em 2020 e medidas corretivas, para além de um trabalho intenso nos casos transfronteiriços, que têm crescido em número e complexidade e que exigem a colaboração de várias autoridades nos mesmos processos.

Violação de dados do Facebook é um dos casos transfronteiriços em que a CNPD está envolvida
Violação de dados do Facebook é um dos casos transfronteiriços em que a CNPD está envolvida
Ver artigo

Lembrando que vivemos em temos excecionais mais de dois terços do último ano, Clara Guerra, consultora coordenadora no Serviço de Informação e Relações Internacionais da CNPD, diz que não é possível fazer um balanço fidedigno. "A crise sanitária veio trazer desafios específicos em termos de tratamentos de dados pessoais, seja no que diz respeito a dados relativos à saúde, seja no incremento da utilização do ambiente online. Por isso, a atenção da CNPD no último ano foi muito focada na emissão de orientações e na apreciação de avaliações de impacto relacionadas com a pandemia", justifica.

Para Diogo Duarte, por diversas razões, nem todas passíveis de ser imputáveis à CNPD, esta "é uma autoridade de controlo que muitas vezes se inibe de atuar e de fazer o devido uso das suas competências, atribuições e poderes". E defende que "o efeito é negativo na forma como o RGPD é percecionado, levando a que muitas entidades optem por uma abordagem muito mais leviana em relação às suas obrigações jurídicas".

Mesmo assim lembra que "em abono da verdade, é importante referir que ao longo destes três anos, Portugal destacou-se também como caso único, por ter sido o único Estado-membro em toda a União Europeia (a 28), que entre 2018 e 2020 reduziu orçamento anual da sua autoridade de controlo, neste caso, da CNPD".

A presidente da CNPD também admite que depois das dificuldades impostas pela pandemia de COVID-19, em que as organizações não tiveram muitas vezes condições de trabalho, com a colaboração à distância e contenção financeira, "não tem sido fácil voltar a lembrar quais são as obrigações e as regras", explicou hoje Filipa Calvão durante uma intervenção numa conferência organizada pelo Conselho Regional de Lisboa  da Ordem dos Advogados, em parceria com a CNPD.

A responsável pela Autoridade de proteção de dados referiu também que muitas vezes se assistiu no último ano a uma legitimação dos tratamentos de dados por parte do poder normativo, e afirmou que "tivemos algumas lutas inglórias de chamar a atenção para alguns tratamentos de dados pessoais que manifestamente não estavam a cumprir as regras e depois o nosso poder normativo a legitimar ex post esses comportamentos".

Sinais positivos para o futuro

Depois de uma primeira fase em que as organizações não estavam claramente preparadas para responder às exigência do regulamento, a presidente da CNPD vê sinais positivos na consciencialização da obrigação de notificações dentro dos prazos, mas tem ainda preocupações em relação à escolha dos Encarregados de Proteção de Dados e à forma como estão a ser feitas as avaliações prévias de impacto.

Para Filipa Calvão as entidades estão a fazer um trabalho de "ajustar" a avaliação de impacto aos seus objetivos iniciais para os produtos e serviços e isso não serve. "Tem de ser um trabalho sério de eventual levantamento dos riscos dos dados pessoais [...] Não estão a fazer e isso prejudica-as que em termos práticos, se não são acautelados os direitos não cumpre a sua função e por isso estamos claramente em situação de ilicitude", afirma.

Diogo Duarte faz também uma avaliação positiva da sensibilidade e conhecimento geral sobre os direitos relativos à proteção de dados. "Existe na sociedade civil uma maior perceção de quais os direitos que assistem aos titulares de dados e como exercê-los. Este é um factor bastante positivo, e que contribui também para que as entidades públicas e privadas realizem um maior esforço no sentido de conformarem a sua atuação ao RGPD".

Este artigo integra o dossier sobre o Regulamento Geral de Proteção de dados do SAPO TEK.

Nota da Redação: O texto foi atualizado com mais dados e duas correções.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.