Os dados foram hoje partilhados por Filia Calvão, presidente da Comissão Nacional de Proteção de Dados (CNPD) no âmbito de uma conferência promovida pela Universidade Católica sobre os primeiros seis meses do Regime Geral de Proteção de Dados (RGPD).

“A palavra que define os primeiros 6 meses é dúvidas, alguma confusão em relação a algumas regras e princípios de proteção de dados que resultam do RGPD”, explica a responsável da CNPD que admite que estas dúvidas resultam muitas vezes do tipo de normas que o regulamento contém, que recorre a conceitos imprecisos, embora lembre que esta é uma forma de impedir que a legislação fique rapidamente obsoleta com a evolução da tecnologia.

Mas Filipa Calvão avista também que “há muita ignorância também do regime que esteve em vigor durante os últimos 20 anos”, até porque o RGPD é muito semelhante e não é de esperar que ainda exista esse nível de desconhecimento. “No respeito pelas regras básicas não devia haver a confusão que ainda existe e em muitos casos resulta de uma indiferença em relação a regras e desrespeito pelos titulares de dados”, justifica.

Guia prático para tirar dúvidas sobre como aplicar o RGPD na sua empresa
Guia prático para tirar dúvidas sobre como aplicar o RGPD na sua empresa
Ver artigo

O RGPD define que sempre que há uma violação de dados a Comissão tem de ser notificada, mas só quando há um risco para os titulares de direitos, e Filipa Calvão lembra que o responsável pelo tratamento de dados pode fazer essa avaliação. “O responsável tem essa tarefa de fazer a avaliação sobre se resulta impacto [para o titular de dados]. E se não resultar não tem de notificar”, explica, mas avisa que não se deve exagerar, porque “muitas vezes ou quase sempre têm [impacto]”.

Até agora, quase seis meses depois da aplicação do RGPD, a CNPD já recebeu 147 notificações, de entidades públicas e privadas, e “uma parte delas não precisava de ser notificada”. Mesmo assim, não vem daí mal ao mundo, enquanto o contrário, não notificar uma situação em que houve danos para os titulares de dados (os cidadãos) seria um ilícito.

Proteção de dados: Hoje é apenas o primeiro dia do resto das nossas vidas com o RGPD
Proteção de dados: Hoje é apenas o primeiro dia do resto das nossas vidas com o RGPD
Ver artigo

E alerta que, do lado das entidades, “não vale muito a pena ocultar a violação de dados porque acabamos por saber por meios de comunicações social ou pelos titulares de dados. […] Mais vale notificarem à autoridade estas notificações porque é considerado uma atenuante quando se aprecia um determinado ilícito e na determinação da medida da sanção”, refere.

Mesmo com a falta de recursos da CNPD, que tem sido por várias vezes realçada nos últimos meses, Filipa Calvão explica que a comissão está a avaliar todas as notificações, e que separou já “um conjunto alargadíssimo” de queixas que foram feitas por cidadãos que usaram o formulário de violação de dados mas que não foram consideradas no número de violações referido.

Afinal o que é uma violação de dados e quando deve ser reportada? Novo documento detalha obrigações
Afinal o que é uma violação de dados e quando deve ser reportada? Novo documento detalha obrigações
Ver artigo

Além destas notificações “a comissão tem processos de investigação em curso que podem ou não justificar sanções e medidas corretivas” e tem outros abertos na sequência de queixas e notificações por titulares de dados, tendo já aplicado uma coima a uma entidade pública, o Centro Hospitalar do Barreiro e do Montijo.

Apesar de já terem passado 6 meses desde a aplicação do RGPD continua a não haver legislação nacional que o adapte à realidade portuguesa, que ainda está à espera de aprovação. As propostas preveem a isenção de multas nas organizações públicas, o que foi considerado chocante pela presidente da CNPD.