por Diogo Duarte | Jurista, Licenciado em Direito e Mestre em Direito Internacional | diogoduarte@campus.ul.pt

No passado dia 25 de Maio, celebrou-se o primeiro ano desde a entrada em aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD).

Contudo, o regulamento europeu que veio harmonizar as regras relativas ao tratamento dos dados pessoais ao nível de todos os Estados-membros da União Europeia, encontra-se em vigor desde o dia 17 de Maio de 2016, perfazendo, por isso, três anos de existência. Embora a diferença entre a “entrada em vigor” e a “aplicabilidade” do RGPD possa parecer um mero preciosismo, a verdade é que a mesma é crucial para que se perceba que este regulamento não é, em primeiro lugar, uma completa novidade legislativa como muitas vezes se tem repetido.

Ao abrir um desfasamento temporal entre a entrada vigor e a aplicabilidade do RGPD, o legislador europeu concedeu aos Estados-membros da União Europeia um período de adaptação de 2 anos. Este período serviria, não só, para que os países pudessem acomodar na sua lei interna, as cláusulas deixadas em aberto pelo regulamento, mas também para que o tecido empresarial pudesse ajustar-se às novas obrigações que dali decorrem, implementando uma série de medidas operacionais e organizacionais que, progressivamente, permitissem alcançar a conformidade com o RGPD.

Todavia, este período de adaptação esgotou-se sem que dele se tenha retirado um verdadeiro proveito, e assim, a 25 de Maio de 2018, o RGPD tornava-se, por fim, aplicável (com forma obrigatória geral) em toda a União Europeia. Foi exatamente nesta altura que as caixas de correio eletrónico foram, então, subitamente inundadas com e-mails. Em muitos dos casos, mencionava-se uma “atualização das políticas de privacidade”, noutros, exagerava-se o tom, falando-se indiscriminadamente de uma quase-automática conformidade com o RGPD. Contudo, sem que se tenha assistido a uma mudança real dos procedimentos relativos ao tratamento de dados, interrogo-me sobre a utilidade de muitos daqueles e-mails, e sem querer veicular uma visão pessimista, creio que, de modo geral, pouco ou nada se fez para além da “atualização das políticas de privacidade”.

Hoje, um ano após o RGPD se ter tornado aplicável, importa conhecer o que mudou e o que ficou por mudar, propondo, assim, a realização de uma a uma reflexão que, como seria de esperar, terá de assentar necessariamente em quatro elementos fundamentais, os quais confluem no âmbito de aplicação do RGPD, sendo eles: o Estado, as empresas, as entidades regulatórias, e os indivíduos.

Quando nos reportamos ao Estado, e ainda que sejam devidas considerações em relação às entidades administrativas e empresas estaduais, falamos essencialmente do Estado-legislador e da sua função legislativa. Decorridos 3 anos sobre a existência do RGPD, seria de esperar que, por esta altura, Portugal contasse com um qualquer ato legislativo que acomodasse as cláusulas deixadas em aberto por aquele regulamento. Verdade é que, até à presente data, além de não existir um ato legislativo interno, a única proposta que se encontra em discussão (Proposta de lei n.º 120/XIII/3.ª) tem-se manifestado polémica em muitos dos seus aspetos. Numa breve análise, relevam-se como aspetos mais problemáticos desta proposta de lei, o alargamento de um prazo de seis meses para que os responsáveis pelo tratamento de dados pessoais (entidades públicas e privadas) se adaptem às regras impostas pelo RGPD – o que aparenta contrariar frontalmente o princípio do primado da União Europeia, e a isenção, por um período de três anos, da aplicação de coimas em relação às entidades públicas – o que é bastante criticável, visto que, além de se ter esgotado o prazo limite previsto no n.º 9 do artigo 83.º do RGPD, abrir-se-ia espaço a uma aplicação desconforme das normas jurídicas da proteção de dados, sendo ainda necessário, apurar se tal isenção abarcaria as entidades privadas que atuam na qualidade de entidades administrativas. Outras questões poderiam ainda ser afloradas, nomeadamente aquelas que incidem sobre o âmbito da aplicação subjetiva daquela proposta de lei, que parece, em determinados casos, cingir a sua aplicação aos residentes em Portugal, quando o critério da residência se encontra explicitamente afastado no RGPD. Assim, e num cenário macro europeu, Portugal continua a figurar na lista de Estados-membros que não dispõem de um qualquer ato legislativo de direito interno, lista essa que é composta pela Grécia, Eslovénia e República Checa.

Ainda no âmbito do Estado, reportamo-nos igualmente às funções do Estado-regulador, isto é, das competências pertencentes às autoridades administrativas, enquanto autoridades de controlo. No caso português, esse é o papel cometido à Comissão Nacional de Proteção de Dados (CNPD) que grande destaque teve no cenário europeu, ao aplicar uma das primeiras grandes coimas com base no RGPD. Contudo, durante este primeiro ano de aplicação do RGPD, a CNPD apenas aplicou 6 coimas, num valor total de 424 mil euros. Ainda que muitos falem de uma atuação tímida e branda por parte desta entidade, creio que seria pouco sensato fazer qualquer juízo de censura sobre a atuação da mesma, sobretudo, quando é publicamente consabido que a CNPD dispõe de meios humanos, materiais e financeiros insuficientes que lhes permita exercer todas as suas competências com maior eficácia. Filipa Calvão, Presidente da CNPD, tem, sucessivamente, apelado à necessidade de reforço destes meios, mas talvez por desinteresse político, ou por razões de consolidação orçamental, os seus pedidos não foram ainda ouvidos pelo Governo. No entanto, não podemos deixar de reconhecer o mérito que a CNPD tem, pois somente quem conhece as lides da Administração Pública por dentro, saberá reconhecer o muito que esta entidade de controlo tem feito nos últimos anos, com o pouco que lhe é disponibilizado.

Num outro ponto, o sector empresarial português tem vindo a evidenciar, na sua generalidade, alguma impreparação relativamente às novas obrigações que decorrem do RGPD. Em muitos casos, e oferecendo de exemplo os websites de muitas empresas, é ainda bastante comum – e até predominante – a utilização das cookies walls e das políticas de privacidade all-or-nothing. Verifica-se igualmente, um completo desconhecimento da forma como se deve proceder à recolha do consentimento, enquanto base jurídica para o tratamento de dados pessoais, havendo um largo número de empresas que procede a este tratamento com base num consentimento presumido – algo que contraria frontalmente o RGPD. Sob este especto, proliferam ainda as mensagens com o seguinte conteúdo: “Ao continuar a navegar está a concordar com a utilização de cookies neste site”. Em tantos outros casos, é ainda possível verificar-se que grande parte das empresas se limitou a replicar os textos das políticas de proteção de dados e de privacidade de outras empresas, adaptando-o com ligeireza. Tal adaptação – cega em muitos dos casos – originou uma total desconformidade entre as políticas de privacidade e de proteção de dados pessoais das empresas e o tratamento que efetivamente é realizado. Ora, daqui advêm violações várias ao RGPD, desde logo, aquelas que se relacionam com os deveres de informação e de transparência, o que, no caso polaco, levou já à aplicação de coimas bastante altas. Mais exemplos podiam ser recortados da realidade empresarial portuguesa, entre os quais figuram os típicos contactos telefónicos publicitários, em que as empresas, invocando um interesse legítimo – enquanto base legal –, não dispõem de evidências que permitam sustentar tal fundamento, e em largos casos, não evidenciam sequer ter realizado qualquer avaliação dos interesses legítimos (LIA – Legitimate Interests Assessment). Por fim, verifica-se também que, num largo número de casos, existem empresas que estando obrigadas a realizar uma avaliação de impacto sobre a proteção de dados – DPIA (data protection impact assessment) –, ainda não iniciaram qualquer procedimento nesse sentido, continuando a existir um alto risco para os dados pessoais dos indivíduos.

Por último, mas não menos importante, verifica-se que o RGPD tem concedido um impacto muito substancial e positivo na forma como é percecionado e entendido o direito à proteção dos dados pessoais junto da sociedade civil. Creio que hoje, a sociedade portuguesa esteja mais consciente dos seus direitos, o que faz denotar uma evolução positiva na, ainda, tímida literacia jurídica. Em muitos casos, verifica-se a existência de uma maior preocupação em compreender como são tratados os dados pessoais e quais as finalidades para que são recolhidos. Em muitas empresas verifica-se igualmente a receção de vários pedidos de acesso, de retificação, e de apagamento dos dados pessoais, o que faz denotar que a sociedade portuguesa tem, de facto, uma maior perceção de quais são os direitos dos indivíduos e de como os pode exercer.

Em conclusão, e em jeito de balanço final, há que referir que, apesar dos 3 anos que já decorreram sobre a entrada em vigor do RGPD, somente neste último ano – o ano da sua aplicabilidade – é que se pode afirmar que Portugal despertou verdadeiramente para o assunto da proteção dos dados pessoais, sentindo agora a necessidade de acompanhar o passo dos restantes Estados-membros. Todavia, considerando o calendário político, julgo que ainda estaremos longe da aprovação da proposta de lei que se encontra agora a ser discutida. Sem sufragar uma posição negativista, creio que, somente no final de 2019 ou inícios de 2020, seja possível contar com a existência de uma nova lei interna que verse sobre a matéria de dados pessoais. Por outro lado, assistido ao braço-de-ferro que se trava entre o Governo e a CNPD, creio que 2019 não seja igualmente um ano favorável à regulação e controlo, não obstante, dos elogios que a CNPD merece por todo o seu esforço e empenho. Para fechar esta análise num tom mais positivo, creio que este é o momento ideal para que muitas empresas se destaquem e evidenciem nos seus mercados, tomando o RGPD como um fator competitivo, quer em termos de reforço da sua imagem e credibilidade, quer em termos do reforço da confiança dos seus clientes.