por Diogo Duarte | Jurista, Licenciado em Direito e Mestre em Direito Internacional | diogoduarte@campus.ul.pt

Na passada sexta-feira, dia 26 de julho, o Presidente da República, promulgou o diploma que assegura a execução, na ordem jurídica nacional, do Regulamento Geral sobre a Protecção de Dados (RGPD). Contando que o diploma seja brevemente publicado no Diário da República e que venha a entrar em vigor dentro das próximas semanas, Portugal passa agora a dispor, finalmente, de uma nova lei nacional sobre a protecção de dados, revogando-se a anterior lei (Lei n.º 67/98, de 26 de Outubro). Neste contexto, muitas são as empresas e empresários dos mais diversos sectores de actividade que agora questionam: “O que é que esta nova lei traz de novo? E o que é que tenho de fazer para assegurar que a minha empresa ou actividade está de acordo com a lei?

Em bom rigor, poder-se-ia começar por referir que esta “nova” lei, limita-se, em grande medida, a adaptar algumas das normas que a o RGPD permite que sejam ajustadas ao ordenamento jurídico dos Estados-membros. À parte das meras precisões regulatórias a que grande parte do diploma se dedica, o mesmo apresenta-se muito aquém do espectável, sobretudo em relação às normas jurídicas do RGPD que, eventualmente, poderiam ter sido concretizadas de forma mais feliz. Aliás esta é exactamente a crítica que o Presidente da República aponta ao diploma, através da nota oficial divulgada no site da Presidência da República, onde faz denotar que a legislação nacional não acolheu “uma maior atenção na economia das normas e uma maior clarificação dos direitos e liberdades relativos ao tratamento de dados pessoais”. De facto, tendo em consideração o tempo decorrido entre a entrada em vigor do RGPD, que relembro, data de 17 de Maio de 2016, e a aprovação do presente diploma, que ocorreu somente a 14 de Julho de 2019, tornava-se exigível – e indispensável – garantir-se a regulação não apressada e, em parte, atabalhoada, das cláusulas deixadas em aberto pelo RGPD. Enquanto jurista e profissional na área da protecção de dados, tive já a oportunidade de me pronunciar em maior detalhe sobre as novidades que este diploma contém, num texto (redigido em inglês) que poderá ser consultado através deste link.

Uma dúvida que muitas empresas apresentam relaciona-se com a necessidade de se adoptarem novas medidas para além daquelas que, possivelmente, já tenham sido adoptadas aquando da entrada em aplicação do RGPD. Para responder a uma tal questão seria necessário proceder-se a uma análise casuística dos processos operacionais e organizacionais já implementados. Como referido, o novo diploma limita-se a executar parte das cláusulas deixadas em aberto pelo RGPD, pelo que, grande parte das obrigações jurídicas das empresas encontrar-se-ão no próprio Regulamento, sem prejuízo das especificidades agora introduzidas pela lei nacional. No entanto, isto não significa que não seja possível responder, de modo geral, à questão inicial. Assim, os processos de implementação das obrigações decorrentes do RGPD podem ser reconduzidos a cinco grandes categorias, a saber: sensibilização e formação; diagnóstico e avaliação; gestão operacional e processual; gestão preventiva; e implementação de mecanismos de resposta.

Na primeira categoria – sensibilização e formação – aconselha-se às empresas que procurem fomentar no seu seio uma cultura de protecção dos dados pessoais, providenciando uma formação adequada e regular a todos os seus trabalhadores e colaboradores. Embora a protecção de dados pessoais envolva sempre uma componente de protecção contra possíveis ataques externos, a verdade é que grande parte das violações da protecção de dados pessoais ocorre internamente, razão pela qual, a formação contínua é uma das muitas medidas organizacionais que as empresas podem, e devem implementar.

A segunda categoria – diagnóstico e avaliação – relaciona-se com uma fase de avaliação na qual se realizam diversos processos que têm por finalidade averiguar que tipo de dados pessoais é que as empresas recolhem, quais os fundamentos jurídicos que justificam o tratamento desses mesmos dados, quais as medidas de segurança já implementadas, e quais as medidas que faltam ainda implementar. É nesta fase que tem lugar um dos processos mais importantes previstos no RGPD: a Avaliação de Impacto sobre Proteção de Dados (AIPD).

A terceira categoria – gestão operacional e processual – poder-se-ia resumir numa gestão corrente dos dados processuais. Em grande parte dos casos (mas não em todos) esta é uma função que compete ao encarregado da protecção de dados (data protection officer), o qual deve, entre outras responsabilidades, controlar o cumprimento, por parte das empresas, de toda a legislação relacionada com a proteção de dados.

A quarta categoria – gestão preventiva – não sendo propriamente um processo subsequente em relação à anterior categoria, termina que sejam criados planos de resposta perante incidentes, internos ou externos, que se relacionem com a violação da protecção dos dados pessoais. Um outro elemento que mais se destaca nesta categoria, relaciona-se com o pedido de acesso aos dados pessoais por parte dos seus titulares. É importante que as empresas, mesmo aquelas que lidam com um volume reduzido de dados pessoais tenham presente que a qualquer momento pode ser requerido, por parte dos seus titulares, o acesso aos dados pessoais. Como tal, é essencial que, desde logo, as empresas possuam uma estrutura adequada para providenciar uma resposta a estes pedidos.

Por fim, a quinta categoria – implementação de mecanismos de resposta – exige que as empresas tenham igualmente preparado um plano de resposta para que este seja acionado quando ocorra uma concreta violação dos dados pessoais. A grande diferença entre esta e a anterior categoria é que, porquanto a gestão preventiva se limita a uma gestão em torno da protecção de dados perante hipotéticos casos onde ocorra uma violação dos dados pessoais, os processos da presente categoria, relacionam-se com o caso concreto, onde a violação de dados pessoais (exemplo: fuga de dados pessoais) já ocorreu, e é agora necessário accionar um conjunto de medidas concretas e objectivas para minimizar os danos provocados, e notificar não só a Comissão Nacional de Protecção de Dados ou qualquer outra autoridade de controlo competente da ocorrência de uma violação de dados pessoais, mas também os titulares dos dados pessoais afectados por essa mesma ocorrência.

Embora a categorização destes processos seja meramente conceptual, é importante que as empresas compreendam que a conformidade com o RGPD é um processo contínuo, muitas das vezes, altamente complexo e que requer uma interdisciplinaridade entre as suas componentes técnicas e jurídicas.

Temo, no entanto, que à semelhança da “febre do RGPD” que ocorreu aquando da sua entrada em aplicação, em maio do ano passado, a demanda na procura dos serviços de consultoria e de aconselhamento jurídico seja acolhida por prestadores de serviços que, tomando proveito desta ocasião, não se encontram adequadamente qualificados para prestarem auxílio e aconselhamento neste âmbito. Aliás, verifica-se que muitos destes tipos de prestadores de serviços, alguns que se apresentam como “especialistas” encontram-se, eles próprios, em desconformidade com o RGPD. E de pouco têm valido as suas abordagens junto das empresas que, ora garantem o impossível (muitas das vezes, a absoluta conformidade com o RGPD), ora utilizam os montantes das coimas prevista no regulamento como forma de precipitar as empresas a contratar os seus serviços. Essa é uma abordagem que, ainda que eficaz em alguns casos, é errada, visto que descora o lado pedagógico da protecção de dados. As empresas devem estar cometidas com a protecção de dados pessoais, não apenas para evitar as coimas, mas para que se crie uma verdadeira cultura em torno da necessidade de se respeitarem e protegerem os dados pessoais. É certo que muitas empresas acabam por contratar tais serviços, e por isso, não surpreende que pequenas e médias empresas continuem, largamente, a laborar em desconformidade como RGPD, e nesse sentido, menos surpreende que a questão “Como implementar o RGPD” continue a ser uma das pesquisas mais frequentes nos motores de busca online.

Para concluir, o conselho que aqui pretendo deixar face à questão “O que fazer agora?” é simples. Tal como referido anteriormente, esta nova lei não traz nada de extraordinariamente novo em relação às obrigações que já decorriam do RGPD. Porém, em relação a todas aquelas empresas que, por motivos vários, não tiveram ainda oportunidade adaptar as suas estruturas operacionais e organizacionais face às obrigações jurídicas que decorrem do RGPD, recomendo que, em primeiro lugar, procurem informar-se devidamente sobre as exigências que decorrem do regulamento, e em segundo lugar, que procurem aconselhar-se junto dos verdadeiros especialistas desta área.