“O RGPD foi mal aplicado por muitas empresas. Pecaram por excesso”

Faz este sábado um ano desde que o Regulamento Geral da Proteção de Dados (RGPD) entrou em vigor nos 28 Estados-membros da União Europeia (UE). Porém, 365 dias depois, Portugal continua com uma Comissão Nacional de Proteção de Dados (CNPD) debilitada pela falta de meios apropriados e sem uma lei que clarifique alguns dos pontos do regulamento à luz do Direito português.

O panorama está finalmente a mudar. Não só já foram aplicadas quatro multas como a CNPD tenciona avançar com um pedido à Assembleia da República (AR) para recuperar parte dos “lucros” obtidos nos anos anteriores. Quanto ao Parlamento, prepara-se para levar a votação final global os diplomas que executam o RGPD em Portugal.

Face ao primeiro aniversário do RGPD, o ECO foi ouvir o principal rosto da aplicação do regulamento em Portugal: Filipa Calvão, presidente da CNPD, a autoridade que supervisiona as organizações e que tem o poder de aplicar as multas.

Nós, com sete especialistas, não vamos conseguir garantir uma aplicação efetiva do regulamento.

A sociedade civil entende a utilidade do RGPD?

O RGPD foi mal aplicado por muitas empresas. As empresas e organizações, com receio de não estarem a cumprir bem o regulamento, em alguns casos, pecaram por excesso. Invadiram os nossos emails com uma série de pedidos de novos consentimentos que, muitas vezes, não eram necessários. Isso faz com que as pessoas pensem que o regulamento é um entrave a tudo. Tudo isto cria uma má vontade em relação ao novo regime. Mas já chega de invocarmos o regulamento como causa para estes comportamentos. As pessoas vão percebendo a utilidade aos poucos, à medida que são afetadas.

A principal multa foi à Google, de 50 milhões, e correspondeu a uma parte muito significativa de todas as multas. Fica a ideia de que uma lei, que foi criada para proteger os cidadãos na era do Facebook, ainda teve poucas consequências para estas empresas.

Eu acredito que não é a primeira decisão a que garante a alteração dos hábitos dessas grandes empresas que fazem tratamentos massivos de dados das pessoas. Mas, aos poucos, essas decisões têm conseguido alterar o comportamento dessas empresas. Eu percebo que valha a pena a uma empresa desse tipo pagar uma coima de um valor muito elevado porque, ainda assim, o lucro, que obtém com a atividade que desenvolve, compensa. Os utilizadores começam também a reclamar outra forma de tratamento dos seus dados e, aos poucos, isso consegue levar essas empresas a alterar os seus padrões em matéria de tratamento de dados pessoais. Tem vindo a acontecer. É, talvez, um processo mais lento do que aquele que gostaríamos que fosse.

Há processos contra grandes tecnológicas sediadas em Portugal?

Há vários processos em curso contra várias dessas empresas, sim. Temos dois processos, desses processos transfronteiriços em que estamos a falar de tratamento de dados de cidadãos de vários pontos da Europa, em que somos nós a autoridade líder.

Está a haver uma atenção e um cuidado diferente ao regulamento nos vários Estados-membros?

Há uma maior sensibilização das pessoas para a questão do tratamento de dados pessoais. O regulamento teve essa vantagem. Por um lado, há um maior número de queixas dos cidadãos. Por outro lado, as empresas e os organismos públicos têm agora uma nova obrigação enquanto responsáveis pelo tratamento de dados, que é a de nos comunicarem que tiveram uma violação de dados pessoais, um incidente de segurança. Diria que foram acima de 200 os reportes no último ano. É um número bastante elevado, mas há muitas violações de dados que não estão a ser notificadas e que acabamos por ter conhecimento delas por outras vias e abrimos um processo de averiguações. Temos também muitos processos anteriores que se iniciaram antes da aplicação do regulamento, em relação aos quais estamos a aplicar o regulamento anterior.

Quantas multas já houve por causa do RGPD em Portugal?

Tivemos aplicação de sanções a quatro entidades até 30 de abril, porque entretanto também já terá havido mais. Não vou dizer o nome das entidades porque não tenho presente, nem tenho interesse nisso. A maioria são entidades privadas. São três privadas e uma pública.

Ainda assim, pode explicar a que se referiram as coimas?

Muitas vezes foram problemas de garantias de direitos. Não garantir o direito dos cidadãos. O cidadão pede acesso à informação, ou pede retificação. Alguém que quis perceber que dados seus estavam a ser tratados e esse acesso não foi dado ou até foi eliminada a informação que tinha interesse em aceder e em relação à qual haveria um compromisso…

Com que meios é que a CNPD trabalha neste momento?

Com meios fixados há quase duas dezenas de anos e claramente insuficientes para as tarefas que temos em mãos. A comissão tem, neste momento, 21 trabalhadores, 22 com o dirigente. Técnicos especializados, para o exercício da função propriamente dita de investigação, análise dos tratamentos de dados pessoais, são um número muito reduzido: sete. É impossível cumprirmos cabalmente a nossa função com este número de trabalhadores.

A solução que o Estado português nos tem apresentado é o regime de mobilidade da Função Pública que, no fundo, é procurar, dentro dos trabalhadores que estão na Administração Pública, quem esteja interessado em vir para cá. Mas isso não é capaz de resolver os nossos problemas. É preciso uma formação muito especializada. Este trabalho exige conhecimentos, seja de tecnologia, seja de esta área específica do Direito. Os trabalhadores não vêm preparados para o imediato exercício da função aqui. É preciso dar-lhes formação. Mas, como o regime de mobilidade é por meio ano ou por um ano, quando acabamos de dar a formação, eventualmente podem estar a querer sair, porque, porventura, não terão gostado da experiência.

Estes 21 trabalhadores veem-se a braços com o quê?

Com tudo. Com pedidos de informação, pedidos de esclarecimento, averiguações quando há indícios e queixas de que algum tratamento possa não estar a ser feito em conformidade com o regulamento. E ainda com uma coisa que nos está a dar muito trabalho e que é nova — e que nos levou a toda uma reestruturação dos serviços para esse efeito –, que é a interação com as outras autoridades de controlo da UE. Ou seja, com as “CNPD” que existem nos outros Estados-membro da UE, porque há uma série de tratamentos de dados que são realizados por empresas no território de vários Estados da UE.

Tudo isto é um processo moroso. Para aplicarmos uma sanção ou para emitirmos uma orientação para um caso concreto, podemos ter de passar por um processo bastante complicado, moroso e que dá trabalho. Estamos a acompanhar mais de 300 processos desta natureza. Estamos constituídos como autoridade interessada em mais de 300 processos em que há empresas que, no fundo, estão a fazer tratamento de dados também com dados de pessoas que residem ou que se encontram em território português.

No ano passado, pouco antes de o RGPD entrar em vigor, alertou para o risco de falta de liquidez para pagar salários. Esse problema foi ultrapassado?

A AR reforçou a nossa dotação e ficámos com o problema resolvido até ao final do ano. O problema, neste momento, é que estávamos habituados a ter receitas próprias provenientes da cobrança de taxas pelas autorizações, pelas notificações de tratamentos de dados no anterior regime e já nem podemos sequer receber essas notificações. Perdemos a nossa principal fonte de financiamento. Nestes primeiros anos, temos evidentemente de viver da dotação da AR que nos é destinada e que anda à volta de dois milhões de euros, creio eu.

Mas vão passar a ter novas fontes de receita.

Aquela que já tínhamos, extinguindo-se as taxas, que é uma parte do valor das coimas cobradas. Uma parte vai para o Estado e o resto vai para a comissão. Mas temos de estar cientes de que, porque o quadro sancionatório aumentou, aumentam as sanções em termos de volume e as entidades tendem a reagir contra essas sanções, porque ninguém quer pagar sanções elevadas. Assim, em termos práticos, pouco vamos cobrar dessas sanções que formos aplicando, por causa da litigiosidade. Por isso, precisamos dessa dotação da AR.

Que não é suficiente.

Não é suficiente se tivermos de aumentar, como temos de aumentar, o número de trabalhadores nesta casa. Nós, com sete especialistas, não vamos conseguir garantir uma aplicação efetiva do regulamento.

Já pediu um reforço dessa dotação?

Vamos pedindo na medida do que é razoável. Essa dotação ainda não está em valores superiores, mas tem de ser aumentada. Nos últimos cinco ou seis anos, foi-nos sobrando saldo de gerência que foi sendo entregue ao Estado em cada ano, mas do qual devíamos poder dispor. Por causa dos condicionamentos financeiros em que o Estado português tem vivido, isso tem ficado retido fora da nossa disponibilidade. Nós queremos pedir que uma parte desse saldo de gerência de outros anos, que já vai em seis milhões ou à volta disso, possa ser eventualmente recuperado. Temos essa intenção. Não todo, mas evidentemente uma parte possa ser reinvestida na casa para podermos continuar a nossa atividade. A nossa ideia era dobrar o número de trabalhadores, pelo menos.

O Parlamento está quase a aprovar a lei que executa o RGPD em Portugal, mas chega mais de um ano depois da entrada em vigor do regulamento. Já viu o texto final da proposta com as alterações dos deputados?

Já passei os olhos, sim. Parece-me que mantém muitas das normas da proposta de lei do Governo. Logo veremos qual é o resultado final, até porque ainda não está concluído o procedimento legislativo. Depois logo se verá o que há a dizer sobre isso.

A proposta prevê que as entidades públicas possam pedir uma moratória de mais três anos à CNPD. Supõe-se, por isso, que a CNPD vá receber bastantes pedidos desse tipo. O que é que pode pesar na decisão de atribuir a moratória a uma entidade pública?

Esta norma não é muito clara quanto aos pressupostos dessa dispensa de aplicação de sanção às entidades públicas. De facto, há a possibilidade de ser feito um pedido de aplicação durante os três anos posteriores. Não estão definidos pressupostos sobre essa matéria, portanto eu não sei bem como é que nós vamos exercer esse poder. Espero que a norma seja densificada porque este poder discricionário carece de alguma densificação normativa para poder ser aplicado de forma mais justa. Essa norma não viola o RGPD, mas vem trazer uma diferença de tratamento às entidades públicas por comparação com as organizações privadas. Não sei qual é a razão de ser desse tratamento diferenciado, mas pode ser que os argumentos que essas entidades venham a apresentar justifiquem essa dispensa.

Na proposta do Governo já vinha um período de seis meses para voltar a pedir o consentimento, que os deputados decidiram manter…

…essa norma está desatualizada. Faria sentido se esse diploma tivesse sido aplicado, aprovado e entrado em vigor a 25 de maio. É estranho, porque mantém essa norma, mas não faz sentido. Objetivamente, essa norma faria sentido (parece-me, se não estiver a ver mal as coisas) se o diploma tivesse sido aprovado há um ano.

Mas se for assim, o é que a CNPD vai fazer, nomeadamente em relação às coimas que já foram aplicadas?

Repito e insisto que isso não pode fazer sentido. Houve um período de dois anos para se poderem adaptar os consentimentos às novas exigências. Desde 25 de maio que se aplica o regulamento e, portanto, estamos a exigir que esse consentimento esteja já de acordo com o regulamento. A norma não faz sentido. Sinceramente, acho difícil que se mantenha até ao fim do procedimento legislativo e espero que ela seja alterada até ao fim do procedimento legislativo, porque perdeu sentido nesta fase. Acho-a completamente desajustada temporalmente.

O que é que os portugueses e as empresas podem esperar da CNPD para o próximo ano? A impunidade das grandes tecnológicas vai continuar?

Ilicitude vamos ter sempre, porque faz parte da natureza humana. Não vamos esperar que empresas que vivem do comércio dos dados — porque eles vivem de trabalhar os dados, não é preciso vendê-los — consigam imediatamente, ou alguma vez, cumprir plenamente o regulamento. Há de ser um processo. Também por isso o quadro sancionatório aumentou para fazer pressão sobre empresas de maior dimensão.

Mas não é só por isso: em geral, estamos a falar de um direito que é garantido, mas que é importante porque põe em causa a liberdade. Há condicionamento de liberdade a partir do tratamento de dados pessoais, porque há descriminação. Para garantir este conjunto de valores, que são essenciais à dignidade do ser humano, também se reforçou esse quadro sancionatório. Mas não se pode esperar que, num contexto em que tratar dados é uma vantagem económica para muitas empresas, que uma lei, só por si, resolva o problema. Não vai resolver. Não pode resolver.