RGPD: O fim do mundo em emails

Graças às novas regras de proteção de dados da União Europeia (UE), o Regulamento Geral de Proteção de Dados (RGPD), os europeus têm agora mais controlo sobre o modo como os seus dados pessoais são recolhidos e utilizados, bem como uma melhor proteção caso sejam divulgados. Quem o afirma é a própria Comissão Europeia que definiu o dia 25 de maio para a aplicação prática deste Regulamento, com claras implicações para as empresas.

O novo documento confere aos cidadãos direitos essenciais para o ajudar a controlar a forma como as organizações utilizam os seus dados pessoais e assegura que as mesmas utilizam novos procedimentos para manter estes dados protegidos. As regras para as empresas são agora mais rigorosas sobre a violação de dados pessoais o que significa, também que, a partir de agora, os cidadãos têm de ser informados se essa mesma violação colocar em risco os seus direitos e liberdades.

Ou seja, nos casos em que as empresas necessitam do consentimento dos cidadãos para tratarem os seus dados, terão de o solicitar e de indicar claramente qual a utilização que será dada aos seus dados pessoais. “O seu consentimento tem de refletir os seus desejos de forma inequívoca e deve ser dado por ação afirmativa. Deste modo, as empresas não poderão esconder-se atrás de extensos termos e condições legalistas que nunca chegou a ler”, diz o artigo 4.º, n.º 11 e artigo 7.º do regulamento.

Tudo isto ganha particular relevância quando a Comissão Europeia avança que sete em cada 10 portugueses sentem que não têm total controlo dos seus dados pessoais, e seis em cada 10 admitem não confiar nos negócios online. Adicionalmente, cinco em cada 10 expressam a sua preocupação sobre a forma como as aplicações móveis recolhem dados sem o seu consentimento, e sete em cada 10 receiam a má utilização que as empresas podem fazer da informação que revelam.

É aqui, em todo este contexto, que entram os emails e SMS que tantas dores de cabeça deram às empresas que os enviaram… e aos utilizadores que as receberam.

O pânico dos emails

Vamos a uma pergunta clara: eram necessários tantos emails? Ou melhor, era necessário que todas as empresas enviassem emails. Não. Segundo a E-goi, o RGPD não obriga a que se peça autorização aos contatos se isso já tiver sido feito. Ou seja, se a empresa já seguir as boas práticas do marketing – nomeadamente só enviar emails para quem tenha dado consentimento – e tem processos internos para tratar e proteger dados pessoais, não é preciso obter um novo consentimento para enviar comunicações.
Aliás, a E-goi esclarece que, mesmo não tendo autorização específica dos clientes para enviar mensagens por SMS, push ou voz ou email, se os contatos deram consentimento para receber comunicações de marketing e forneceram endereço de email e número móvel, a empresa pode enviar comunicações pelo canal que quiser. “Não há nada no RGPD que indique o contrário”.
Um caso prático: imagine que tem uma lista de contatos com quem costuma comunicar, mas sem autorização explícita deles. O que fazer? Diz a E-goi que se já tem uma relação prévia com eles (por exemplo, são clientes seus), essa relação é suficiente para constituir autorização. “É sempre bom ter um formulário double opt-in para que os novos clientes deem autorização explícita, mas não tem que pedir reconfirmação aos antigos. Pode simplesmente enviar a todos os seus contatos um email que lhes assegure que segue o RGPD e que podem sair da lista a qualquer momento”.

Ou seja, basicamente o que houve foi alguma desinformação e, dizem alguns analistas citados pela imprensa, o aproveitamento para legalizar algumas bases de dados que não seriam as mais licitas. Ou seja, para as quais efetivamente os consumidores não tinham dado autorização.

Para as empresas, o facto de os consumidores responderem ou não aos tão afamados emails vai, por isso, depender. Se a base de dados for lícita, mesmo que não haja interação por parte do recetor, não acarretará problemas. O caso já será obviamente diferente se a origem da base de dados não for transparente.

Atraso seria de esperar

Claro que esta é apenas uma das muitas questões do RGPD. Não há propriamente estimativas sobre a quantidade de empresas, quer portuguesas quer europeias, que estão preparadas para o novo regulamento. Mas o facto de a maioria das consultoras e empresas divulgar um atraso – unânime – não é propriamente de estranhar. Há um ano, a TrustArc dizia que 61% das empresas nem sequer tinham iniciado a implementação do RGPD. Ao que tudo indica, países como a Alemanha e o Reino Unido, onde existem leis preexistentes de privacidade que se sobrepõem ao RGPD – tiveram um melhor ajuste no tempo, apesar de uma pesquisa realizada em janeiro deste ano ter revelado que um quarto das empresas de Londres nem sabia o que era o novo regulamento.

Mas parece geral o sentimento que o RGPD como um todo é um pouco complicado. O “The New York Times” descreve-o como uma “lei incrivelmente complexa e praticamente incompreensível para as pessoas que estão a tentar cumpri-la”. Sendo que cientistas e gestores de dados duvidam que o cumprimento absoluto fosse possível.

Não é uma posição agradável para se estar, porque o RGPD pode permitir que os reguladores multem as empresas em até 4% de sua receita global por violações do regulamento. Assim sendo, uma multa de 4% na Amazon seria de 7 mil milhões de dólares.

Nota positiva

Mas para terminar com uma nota positiva, um novo estudo da IBM revelou já em maio que quase 60% das organizações estão a olhar para o RGPD como uma oportunidade para melhorar a privacidade e a segurança, a gestão dos dados e ainda como catalisador de novos modelos de negócio, em vez de o considerarem simplesmente um tema de conformidade em relação aos dados pessoais. Para reduzir a sua exposição, o estudo do Institute for Business Value (IBV) da IBM indica que a maioria das empresas está a ser mais seletiva a recolher e a gerir os dados, com 70% a tomar as medidas necessárias antes do prazo final para estarem em conformidade.

O que são dados pessoais? Dados pessoais são informação relativa a um indivíduo vivo identificado ou identificável. Por exemplo: nome, apelido, endereço, endereço de correio eletrónico, dados de localização. (artigo 4.º, n.º 1 do regulamento)

As 19 questões do RGPD

Para que a preparação das empresas decorra da forma mais eficiente possível – e assim não arriscar pagar coimas associadas ao incumprimento do RGPD, que podem ser de 20 milhões de euros ou 4% do Volume de Negócios global –, as consultoras e empresas do setor, como a PHC, foram lançando para o mercado dicas de como tornar esta sigla menos “dolorosas”.

1. Que empresas são abrangidas?
   A primeira dúvida é, desde logo, saber se a empresa é, ou não, abrangida pelo RGPD. A verdade é que são abrangidas todas as empresas desde que tratem de dados pessoais de pessoas singulares para outros fins além de faturação. Ou seja, se a sua empresa enviar newsletters e fizer outras ações de marketing já está sujeita a este regulamento.
2. Todas as empresas necessitam de manter um registo das suas atividades de tratamento de dados?
   Não, o RGPD prevê que esta obrigação não se aplique a empresas com menos de 250 colaboradores – exceto se esse tratamento puser em risco “os direitos e liberdades do titular dos dados, não seja ocasional ou abranja categorias especiais de dados” que deverá consultar na legislação.
3. A minha empresa tem como clientes outras empresas (modelo de negócio B2B). Também se aplicam as regras do RGPD, nomeadamente a resposta aos direitos dos titulares de dados e o registo das atividades de tratamento de dados?
   Sim, caso esteja na posse de dados pessoais de pessoas singulares. O RGPD aplica-se a todas as empresas que possuam e tratem dados pessoais (que permitam identificar uma determinada pessoa).
4. A minha empresa é obrigada a nomear um Encarregado de Proteção de Dados?
   Nem todas as empresas precisam de nomear um Encarregado de Proteção de Dados. O Artigo 37.º do RGPD estabelece que esta figura é obrigatória nos seguintes casos: autoridades e organismos públicos; organizações que giram dados sensíveis em larga escala; ou organizações que exijam controlo regular e sistemático dos titulares dos dados.
5. Já tenho um histórico de dados pessoais na minha empresa, recolhido antes de 25 de maio de 2018. Nesse caso, não se aplicam as regras do RGPD (nomeadamente em relação ao consentimento)?
   As regras do RGPD aplicam-se a quaisquer dados pessoais na posse da organização, independentemente da data de recolha. Por isso, deverá fazer um inventário dos dados pessoais existentes e, a partir dessa indicação, tomar as medidas adequadas. Poderá ter de pedir consentimento aos titulares desses dados já na sua posse ou, em última instância, apagar os mesmos (exceto se tiverem uma implicação legal, como é o caso do NIF para efeitos de faturação).
6. Um cliente fez compras pela primeira vez na minha loja, antes de 25 de maio. Abri uma nova ficha de cliente, com os respetivos dados pessoais. Terei que pedir consentimento para esses dados, no âmbito do RGPD?
   Sim, caso esses dados sejam usados para outros fins além da faturação.
7. Reuni dados de 500 potenciais clientes para uma campanha especial com início a 27 de maio de 2018. Terei de pedir consentimento a cada um dos titulares dos dados?
   Sim, esse procedimento é essencial para que esteja em conformidade com o regulamento. O Artigo 6.º do RGPD estabelece claramente que só pode tratar dados pessoais caso o titular tenha dado “consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas”. As únicas exceções são relativas a dados legais (para efeitos de contratos ou faturação, por exemplo) ou a casos em que o interesse vital do titular dos dados ou o interesse público se sobreponha.
   Em Portugal, a proposta de lei do Governo prevê um prazo adicional de seis meses (desde a publicação da lei nacional) para obter um novo consentimento que respeite as exigências do RGPD. Contudo, a proposta de lei não foi ainda aprovada em Assembleia da República.
8. Ao abrigo do RGPD, um cliente contacta-me para exercer um dos direitos consagrados (por exemplo, o “direito a ser esquecido”, previsto no Artigo 17.º). Qual o prazo que tenho para dar resposta?
   A lei não estabelece um prazo específico, fazendo apenas referência a um período de tempo razoável. No caso do “direito a ser esquecido”, por exemplo, o RGPD indica que a eliminação dos dados pessoais por parte da organização deve ser feita “sem demora injustificada”.
9. Se um cliente exercer o “direito a ser esquecido”, qual o impacto para o SAFT-PT?
   Os dados associados ao SAFT-PT dizem respeito a uma conformidade legal da legislação portuguesa para efeitos de faturação. Por isso, não são afetados pelo “direito a ser esquecido” pedido pelo cliente, uma vez que o RGPD não se sobrepõe à legislação portuguesa em vigor.
10. Devo apagar o NIF de um cliente caso ele peça para ser “esquecido”?
    O NIF é considerado um dado pessoal, uma vez que funciona como identificador de uma determinada pessoa. No entanto, este é um dado que pode ser necessário para que a empresa cumpra uma obrigação legal (faturação, por exemplo) e, nesse caso, não é abrangido pelo “direito a ser esquecido”.
11. O “direito a ser esquecido” pode ser invocado por um cliente com dívidas?
    O “direito a ser esquecido” pode ser invocado por qualquer titular de dados pessoais. No entanto, a aplicação deste direito apenas deverá “esquecer” dados pessoais que não sejam necessários para conformidades legais da legislação portuguesa.
12. O cliente pode querer que apenas um dos dados seja “esquecido”? Ou é uma lógica de “tudo ou nada”?
    Sim, é possível que o cliente se queira opor apenas ao uso de um determinado dado pessoal, como um número de telemóvel, por exemplo. Terá de garantir o cumprimento deste pedido do cliente, exceto se se tratar de um dado legal (essencial para que a empresa cumpra a legislação nacional).
13. O RGPD abrange também os dados pessoais dos colaboradores da empresa ou apenas diz respeito a dados pessoais de clientes?
    O RGPD aplica-se a todos os dados pessoais na posse da empresa, independentemente de serem relacionados com colaboradores ou clientes.
14. Vou contratar um novo colaborador. O que devo fazer quando pedir os seus dados pessoais, de forma a estar em conformidade com o RGPD?
    A recolha de dados pessoais não abrangidos pela legislação laboral pressupõe sempre o consentimento explícito ao colaborador. Poderá fazê-lo, por exemplo, através de uma adenda ao contrato de trabalho, na qual se explica o objetivo do pedido dos dados e para a qual se obtém o consentimento do colaborador.
15. Como garantir o consentimento do titular dos dados no caso de um funcionário que se encontre na empresa há vários anos?
    Tal como no caso dos novos colaboradores, todos os dados pessoais de funcionários recolhidos pela empresa pressupõem sempre o consentimento explícito dos mesmos. Por isso, deverá solicitar o consentimento (e registá-lo) para todos os dados recolhidos que não sejam obrigatórios no âmbito do contrato de trabalho.
16. Enquanto não for aprovada a proposta de lei que faz a transposição do RGPD para a legislação nacional, o regulamento não se aplica em Portugal?
    O RGPD começará a sua aplicação prática a 25 de maio, sem ser necessária a transposição para o enquadramento legal dos Estados-Membros. Ou seja, apesar de a proposta de lei nacional ainda não ter sido aprovada pela Assembleia da República, tal não vai pôr em causa a data da aplicação prática do RGPD. As regulamentações nacionais apoiam a concretização do regulamento em aspetos específicos e facilitam a interpretação da lei europeia dentro do enquadramento de cada país.
17. Quem vai fiscalizar o cumprimento do RGPD em Portugal?
    De acordo com a proposta de lei do Governo (ainda em processo legislativo), a responsabilidade recai sobre a Comissão Nacional de Proteção de Dados (CNPD).
18. Tenho uma base de dados de empresas para contactos comerciais. Estes dados também são considerados pessoais e sujeitos ao RGPD?
    Não, apenas os dados pessoais de pessoas singulares são contemplados pelo RGPD. Confirme, no entanto, se não existem dados pessoais na base de dados (como um e-mail com o nome de um colaborador em vez um e-mail geral). Os dados de um empresário em nome individual que permitam identificar a pessoa também são considerados dados pessoais.
19. Que cuidados deverei ter, no âmbito do RGPD, na relação com fornecedores?
    No caso de fornecedores a quem faculte dados pessoais ou que facultem dados pessoais à sua empresa, deverá pedir um comprovativo de que estes estão em cumprimento com o RGPD. Se facultar dados pessoais a outra empresa, deverá esclarecer no pedido de consentimento ao titular que os dados em causa podem ser transmitidos a entidades terceiras.