Não é novidade que as empresas e as organizações públicas portuguesas estão muito atrasadas em relação à preparação para o Regulamento Geral de Proteção e Dados, que já está em vigor mas que passa a ser aplicado a partir de 25 de maio. Isto apesar de ainda estar em falta a publicação da proposta de Lei que define algumas das variáveis deixadas em aberto pela diretiva europeia, assim como as normas técnicas que a acompanham.

Nas últimas semanas várias organizações têm sido consultadas sobre as propostas do RGPD, que o SAPO TEK sabe que deverá ser discutido em Conselho de Ministros esta quinta-feira, e entre as informações que vão sendo conhecidas está a possibilidade de o Governo poder definir um regime de isenção para as organizações públicas, isentando-as das multas por acesso não autorizado aos dados, ou abusos no tratamento da informação.

Em entrevista ao SAPO TEK, Filipa Calvão, presidente da Comissão Nacional de Proteção de Dados, mostra a sua estranheza em relação a esta possibilidade, e diz mesmo que “é chocante, atendendo à tradição nesta área […] não há razão que o justifique”, explica.

“O regulamento admite que os Estados membros decidam um regime de exceção na aplicação de sanções”, adianta Filipa Calvão, referindo que há países onde essa opção foi seguida, ou pelo menos equacionada. Só que em Portugal a opção por esta exceção é apontada como “estranha”. “Durante mais de vinte anos as organizações públicas estiveram sujeitas à aplicação de coimas da CNPD”, lembra a presidente da CNPD, que diz ainda que no regime anterior da Lei de Proteção de Dados também existia a opção pela isenção, que não foi seguida.

RGPD: Preparar as empresas não é uma missão impossível, mas o DPO é (quase) Super-Herói
RGPD: Preparar as empresas não é uma missão impossível, mas o DPO é (quase) Super-Herói
Ver artigo

Filipa Calvão admite que a moldura sancionatória, com o valor das multas, mudou no RGPD, e que essa poderá ser uma das razões, já que se fala em valores muito elevados. Mas mesmo assim discorda da opção. “A razão de ser das sanções é prevenir os abusos no tratamento da informação ou o acesso não autorizado aos dados, e os Estados são as entidades que mais dados tratam relativamente aos cidadãos, e onde há informação mais sensível”, detalha.

A confirmar-se, esta é uma opção que destaca como chocante e injustificada, mas que também não é um bom exemplo para as organizações privadas. “Se olharmos para o esforço que implica para as organizações prepararem-se para o RGPD, o facto das organizações públicas não acompanharem na mesma medida as sanções parece imoral. Parece que se fixam medidas diferentes”,  conclui Filipa Calvão, adiantando que a igualdade justifica que as mesmas medidas sejam aplicadas a todas as entidades, e que a haver diferença seria com uma maior responsabilização das organizações públicas, até porque esta é a lógica que está por trás da definição dos direitos civis.

Isentos ou não?

Filipa Calvão admite que alguns países que optaram pela isenção de coimas nas organizações públicas têm essa tradição, como a Alemanha e a Espanha, mas que em Portugal não acontece assim.

E no regime anterior, existiram sanções a entidades públicas? A presidente da CNPD não tem de memória nenhum caso, mas admite que existiram, até em alguns agrupamentos escolares, mas que as sanções foram mínimas. O quadro sancionatório era reduzido e nestes casos existe também o cuidado de fixar as multas pelo valor mínimo, apenas para prevenir que se repita a situação.

RGPD: Empresas têm nível de incumprimento muito elevado e “seguramente” multas vão atingir milhões de euros
RGPD: Empresas têm nível de incumprimento muito elevado e “seguramente” multas vão atingir milhões de euros
Ver artigo

Filipa Calvão explicou ao SAPO TEK que a CNPD não foi ouvida nesta fase em que a consulta na legislação terá sido aberta a várias organizações e entidades da sociedade civil, e refere que o grupo de trabalho reuniu uma única vez, e que teve também uma reunião com a Ministra da Presidência, Maria Manuel Leitão Marques, que tutela este processo. Mas não teve acesso à proposta que estará a circular e que tem sido comentada, o que considera que é estranho já que a lei obriga o Governo a consultar a CNPD em matéria de proteção de dados.

“É no mínimo estranho. Parece não existir interesse em nos ouvir”, explica, desmistificando também que a CNPD esteja de alguma forma envolvida no atraso da publicação da lei. “A CNPD não tem nada a ver com este atraso”, justifica.

Apesar de ainda faltarem algumas definições relativamente ao RGPD, Filipa Calvão defende que as empresas não devem esperar para começar a preparar as suas estruturas, criando a figura do DPO, fazendo estudos de impacto do tratamento de dados e preparando os sistemas de notificação. Até porque mesmo sem o diploma português, a obrigação legal existe, já que o Regulamento está oficialmente em vigor há dois anos.

A presidente da CNPD aconselha as empresas a acelerarem a sua preparação para o RGPD e lembra que a Comissão está disposta a trabalhar com as empresas e organizações para conseguirem encontrar soluções tecnológicas que salvaguardem os direitos dos cidadãos. "As pessoas só veem o lado das sanções, não veem o trabalho que fazemos de recomendações e sugestões", admite.

Sobre a possibilidade de começar a aplicar sanções logo a 25 de maio, Filipa Calvão avisa que as organizações não devem pensar que estão "protegidas" pelo atraso na lei ou pela falta de recursos da CNPD, mas admite que na fiscalização de casos que venham a surgir será levado em linha de conta o esforço que está a ser feito para cumprir o RGPD, mesmo que não esteja tudo a 100%.

A própria Comissão Nacional de Proteção de Dados ainda espera a publicação da lei da organização e funcionamento da CNPD, que precisa de ser revista e reforçada em termos de recursos humanos. A proposta já foi enviada a meio do ano passado mas ainda não foi aprovada e Filipa Calvão refere que é desesperante trabalhar para preparar o RGPD sem estes recursos, ainda mais porque nos próximos meses se soma também o novo quadro jurídico em matéria de investigação policial e da privacidade nas comunicações que estão a ser transpostos.