Por Leandra Dias (*)

Em vésperas do dia 25 de maio de 2018 houve uma explosão de interesse à volta do tema RGPD. Ações de formação, seminários, artigos de opinião e emails com pedidos de consentimento emergiram de todos os lados. Medidores de conformidade, análises de GAP e projetos de adequação marcavam a ordem do dia. Porém, tratou-se de uma explosão, seguida de uma travagem a fundo acerca de tudo o que rodeia este assunto.

Decorridos praticamente oito meses sobre a data de aplicação efetiva do RGPD, é o momento de fazer um balanço relativamente aos desafios e oportunidades que o mesmo trouxe e perceber em que ponto estamos neste tema. Podemos dizer que, antes do RGPD, muitos eram aqueles para quem as questões de privacidade e proteção de dados eram completamente secundárias. Assim, será justo dizer-se que um dos ganhos do RGPD foi o maior sentido de alerta e de preparação para a proteção de dados pessoais e defesa dos princípios e direitos a eles ligados, bem como um maior empenho em dominar estes temas e em cumprir as obrigações decorrentes.

No entanto, e não minimizando o esforço realizado, penso que estamos já a sofrer um efeito de “relaxamento” prematuro sobre estas matérias e que o ciclo descendente de interesse sobre este tema se verificou cedo demais. Olhando para trás, facilmente se percebe que assistimos a um acordar tardio, pois a generalidade das organizações e cidadãos só despertaram para este tema muito próximo do dia 25 de maio de 2018.

Transformação profunda ou ligeira variação?

Apesar das grandes movimentações em torno do assunto, parece, em alguns casos, que pouco mudou e que velhos hábitos foram retomados, como a publicidade não solicitada na caixa de correio eletrónico e em mensagens de texto no telemóvel vindas de entidades com quem não se interagiu; a recolha de dados pessoais sem indicação concreta das finalidades e do período de armazenamento e a eventual partilha desses dados com terceiros, desconhecidos dos titulares dos dados. Quem não passou já por uma destas situações nestes últimos meses?

Devemos manter-nos alerta e, quer os cidadãos, quer as organizações, devem ter consciência de que o tema não se esgotou e que o Regulamento tem de continuar a ser cumprido. Não se trata de um tema da moda, que pode ser descartado depois da estação!

Após uma onda de curiosidade e interesse, e apesar desta aparente apatia em que parece ter-se mergulhado, não podemos esquecer-nos que o RGPD surgiu como um motor de oportunidades para rever e reforçar as políticas de proteção de dados, privacidade e segurança interna e externa, fazendo com que as organizações se tornem mais maduras e responsáveis, solidificando a sua credibilidade perante clientes, fornecedores e colaboradores. O reposicionamento estratégico e a revisão da forma de comunicação e relacionamento fizeram com que as organizações com percurso feito nesta área conseguissem fortalecer a sua marca.

E as coimas anunciadas?

Em maio de 2018, muitos se questionavam se o RGPD acabaria por tornar-se uma carta de intenções e se os valores das coimas anunciadas serviriam apenas de fator intimidatório sem ser levado à prática. Para que dúvidas não restem, a este respeito, começaram já a ser noticiadas situações (a nível nacional e internacional) em que se deliberou pela aplicação de coimas à luz do RGPD, por incumprimento de princípios e regras aí previstos. Paralelamente foram dados passos em frente, destacando-se a disponibilização pela CNPD de formulário próprio para a comunicação do DPO das organizações e de formulário para notificar situações de violação de dados pessoais.

Destaca-se também a aprovação do Regulamento n.º 1/2018, referente à lista de tratamentos de dados pessoais em que é necessário efetuar uma prévia Avaliação de Impacto sobre a Proteção de Dados, em acréscimo aos casos previstas no n.º 3 do artigo 35.º do RGPD.

Ainda não existe uma lei nacional que concretize o RGDP

É certo que, decorrido este tempo, ainda não foi aprovada uma Lei nacional que concretize o RGPD, com as limitações que isso acarreta. No entanto, também é certo que diversas entidades públicas e privadas têm feito um esforço interpretativo e de resolução de questões que vão sendo colocadas e que auxiliam outras entidades que percorrem caminho semelhante.

Ainda a este respeito, e dado que a figura do DPO e os profissionais que podem desempenhar essa função é um ponto controverso, importa referir que o Conselho Geral da Ordem  dos Advogados emitiu Parecer (Parecer n.º 14/PP/2018-G), publicado a 28 de setembro de 2018, onde considerou que “os advogados estão impedidos de exercer a advocacia (…), para entidades para quem exerçam, ou tenham exercido as funções de Encarregado de Proteção de Dados”, não obstante o voto de vencido de um dos Conselheiros.

Assim se percebe que muito caminho ainda está por percorrer e que não podemos relaxar ou deixar adormecer as exigências que o RGPD nos coloca individual e coletivamente.

(*) Jurista da PRIMAVERA BSS

Newsletter

Receba o melhor do SAPO Tek. Diariamente. No seu email.

Na sua rede favorita

Siga-nos na sua rede favorita.