RGPD: Começou a nova era da proteção de dados na Europa. Saiba o que mudou

Já está em vigor o Regulamento Geral de Proteção de Dados (RGPD): 25 de maio é o dia histórico para o qual muitas empresas se preparam há anos... e outras nem por isso. Saiba o que mudou.

A União Europeia passa a ter das mais apertadas regras em termos de proteção de dados dos cidadãos a partir desta sexta-feira, 25 de maio. É a data em que entra em vigor o novo Regulamento Geral de Proteção de Dados (RGPD), para o qual muitas empresas já se estão a preparar há anos e outras ainda nem sequer começaram a olhar para ele. Se está mais ou menos a par do tema, já deve saber isto de trás para a frente: estão em causa multas que podem chegar aos 20 milhões de euros ou 4% do volume de negócios anual da empresa. Toda a atenção é pouca.

O que muda daqui para a frente? Depende. Se representa uma organização, vai ter de conseguir provar que cumpre o regulamento caso a entidade fiscalizadora, que é a Comissão Nacional de Proteção de Dados (CNPD), o aborde para esse efeito. Já enquanto cidadão europeu, passa a ter mais direitos enquanto titular de dados pessoais. Desde logo, só podem ser recolhidos dados seus com o seu consentimento — e mesmo essa autorização é revogável. Em teoria, passa também a haver mais transparência quanto ao tratamento que as empresas dão às suas informações.

Enquanto não houver uma primeira sanção pesada para uma organização, vamos cair aqui nalgum marasmo. Depois, voltará uma nova fúria de preocupação.

João Costa Quinta

Advogado, DLA Piper ABBC

Mas vamos por partes. A grande novidade acaba por ser o modelo de regulação. Enquanto, até aqui, as empresas que precisavam de recolher e tratar dados tinham de pedir autorização à CNPD, agora o caso muda de figura. Não é precisa autorização, mas existem regras. E é preciso ter-se a capacidade, enquanto organização, de provar que se está em conformidade. Chama-se a isso um modelo de “autorregulação”. Cada companhia tem de ser capaz de identificar os fluxos de dados que existem internamente, quer dos clientes, quer dos funcionários, quer dos fornecedores. Depois, tem de garantir que tem consentimento de todos para recolher, armazenar e usar esses dados.

Para o efeito, esse consentimento tem de ser expresso. Do género: “Precisamos dos seus dados para este fim específico. Vamos usá-los durante este período de tempo. Autoriza? Sim ou não?”. Ou seja, deixa de ser legal a via seguida por muitos até aqui, que era a de partir do pressuposto de que há consentimento, ou facilitar este processo. Deixam também de ser legais aquelas indicações de que “se está a usar o nosso site, é porque aceita que nós usemos os seus dados”, ou outras coisas do género. Agora, tem de haver um mecanismo mais apertado. Algo como “Podemos usar os seus dados? Sim? Não?”. E tem de ser o utilizador a marcar a caixa do “sim” e a dar, de forma efetiva e expressa, esse mesmo consentimento.

Depois, as empresas também devem garantir formas de encriptação dos dados no processo de armazenamento, para aumentar o nível de segurança, e adaptar os seus sistemas internos para que tudo esteja em conformidade. Recomenda-se, por isso, a leitura atenta do documento — algo que, por esta altura, já devia ter sido feito.

O RGPD vem inaugurar um novo paradigma na proteção dos dados dos cidadãos europeus. É preciso dar o seu consentimento expresso para que uma organização guarde e trate as suas informações pessoais.Paula Nunes / ECO

Outro ponto importante é o facto de algumas empresas passarem a estar obrigadas a ter uma pessoa responsável pela proteção de dados. Essa figura chama-se “Encarregado de Proteção de Dados”, ou DPO (de Data Protection Officer), que pode ser nomeado internamente ou contratado. Não é obrigatória formação especializada, mas recomenda-se. Deve ainda ser alguém capaz de entender a parte legal do regulamento e a parte técnica que o mesmo envolve. Além de ter a missão de garantir a conformidade no seio da empresa, deve ter espaço para escalar até à administração os problemas que vier a identificar, sugerindo formas de os resolver e envolvendo-se também na sua resolução.

De acordo com o texto do RGPD, as empresas obrigadas a ter um Encarregado de Proteção de Dados são todas aquelas que tratem dados sensíveis em grande escala como atividade principal, todos os organismos públicos “exceto tribunais no exercício da sua função jurisdicional” e empresas que façam o “controlo regular e sistemático” dos titulares dos dados, como é o caso do Facebook, por exemplo. O que são “dados sensíveis”? São informações como, por exemplo, a orientação sexual do titular, as crenças religiosas, os dados biométricos (marca da retina ou da impressão digital, por exemplo), e por aí em diante.

Além disso, as organizações são obrigadas a reportar brechas e falhas de segurança que comprometam os dados. Basta perder uma pen drive ou um computador da empresa para que esta fique obrigada a informar a CNPD desse facto. O objetivo é que as empresas não escondam esses problemas do público, algo que aconteceu reiteradamente no passado, como foi o caso da Uber. Isto com todos os danos reputacionais que um caso deste género possa trazer, e que para os quais as empresas devem ter planos de contingência sob pena de serem apanhadas desprevenidas (na verdade, ninguém está 100% seguro).

Chegados aqui, e embora não haja um modelo padrão para a aplicação do regulamento, é possível definir cinco grandes fases que envolvem a adaptação de uma organização ao RGPD. Como o ECO já tinha avançado com base nos testemunhos de três especialistas, essas fases são a de diagnóstico (identificar os dados e o tratamento que lhes é dado), a de revisão (rever se há consentimento dos titulares e alterar políticas de privacidade), a do DPO (perceber se a empresa é obrigada a ter um Encarregado de Proteção de Dados e nomear um, se necessário), a de implementação (desenhar um plano de implementação, adotar os sistemas novos que forem precisos e executar as novas medidas) e a de compliance (garantir a contínua conformidade com o regulamento). A preparação pode envolver custos, que variam muito dependendo da empresa.

Se não nos dotarem de meios, não conseguiremos estar à altura da função [de fiscalizar o cumprimento do RGPD].

Filipa Calvão

Presidente da CNPD

Importa perceber que, quando aqui falamos de “empresas”, falamos de organizações públicas e privadas. No limite, até um simples blogue é obrigado a estar em conformidade com o novo regulamento, pois pode guardar dados dos leitores que acedem, comentam, e por aí em diante. O próprio Estado português tem vindo a fazer um caminho no sentido de estar em conformidade, mas a margem de erro é bem maior. Até porque o Governo aprovou uma lei que vai isentar os organismos públicos das multas do RGPD por três anos. Não quer dizer que não cumpram, mas a pressão é significativamente menor.

E que multas são essas? Como resumiu a PHC Software, foram fixadas coimas mínimas na lei portuguesa. No caso de contraordenação grave, começam nos 1.000 euros para pequenas e médias empresas (PME), 2.500 euros para grandes empresas e 500 euros para pessoas singulares. No caso de contraordenação muito grave, os valores mínimos são de 2.000 euros para PME, 5.000 euros para grandes empresas e 1.000 euros para pessoas singulares. Cabe à CNPD definir o valor, com base em critérios como as receitas da empresa, a dimensão da infração, o seu caráter continuado, e por aí em diante.

No meio empresarial, por vezes, tem circulado a ideia de que a CNPD não vai ser capaz de fiscalizar o regulamento de forma eficaz, o que, de certo modo, tem dado algum alívio a gestores e empresários. Não surpreende, até porque isso foi admitido pela própria presidente da comissão, Filipa Calvão, numa audição na Assembleia da República (AR) que decorreu este mês, a dez dias da entrada em vigor da lei. O problema é que a CNPD está sem dinheiro. E já nem tem orçamento para pagar os vencimentos de junho aos trabalhadores, quanto mais para fiscalizar o RGPD. Depois de ter dado o mesmo alerta em janeiro, Filipa Calvão voltou ao Parlamento e disse: “Não é possível, com os recursos que temos, fazer o que quer que seja, no âmbito do regulamento, que seja efetivamente uma tutela eficaz dos direitos fundamentais. Se não nos dotarem de meios, não conseguiremos estar à altura da função.”

Alguns especialistas acreditam que só quando surgir a primeira multa elevada é que o tema vai começar verdadeiramente levado a sério. Mas a CNPD já assumiu não ter condições para desempenhar bem a sua missão.Paula Nunes / ECO

Ainda assim, a incapacidade assumida do “regulador” não é motivo para baixar as defesas. O alerta foi deixado ao ECO pelo advogado João Costa Quinta, especializado no RGPD, da DLA Piper ABBC. Foi perentório: “Enquanto não houver uma primeira sanção pesada para uma organização, vamos cair aqui nalgum marasmo. Depois, voltará uma nova fúria de preocupação.” Porque a verdade é que ninguém quer ser o alvo dessa primeira “sanção pesada”. E não há como esquecer que, de acordo com alguns especialistas, o RGPD traz um risco acrescido de litigância, na medida em que há mais abertura para que um titular de dados possam fazer uma queixa ou avançar para a Justiça para ver os seus direitos serem repostos.

Mas passemos para o outro lado da barricada. Quais os direitos do cidadão enquanto titular de dados pessoais? Segundo a SGS, de uma forma geral, são sete esses direitos. Um é o direito de acesso (pode pedir o acesso aos dados que uma organização tenha sobre si). Outro é o direito de retificação (pode solicitar que os seus dados sejam retificados ou completados). Há ainda o direito a ser esquecido (ou seja, pode pedir que os seus dados sejam apagados), o direito à limitação do tratamento (pode pedir que o tratamento dos seus dados seja limitado, mediante algumas situações excecionais), direito de portabilidade dos dados (pode pedir que esses dados sejam transmitidos a outro responsável pelo tratamento), o direito à oposição (pode opor-se, a qualquer momento, a que os seus dados sejam tratados para um determinado fim) e, por fim, o direito a que não sejam tomadas “decisões individuais automatizadas”. Em relação a este último, o titular “tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento” automático dos seus dados pessoais.

É este o cenário daqui para a frente. O novo paradigma que promete trazer mais segurança aos utilizadores, depois de escândalos como o da Cambridge Analytica, que usou indevidamente dados pessoais de 87 milhões de utilizadores do Facebook para ajudar a eleger Donald Trump como Presidente dos Estados Unidos. Se ainda tem dúvidas quanto ao RGPD, podemos garantir-lhe que está no sítio certo. O ECO firmou uma parceria com a consultora EY e com a sociedade RRP Advogados, que estão a responder às perguntas dos leitores, que podem ser enviadas para rgpd@eco.pt. As respostas vão ser publicadas aqui.

Bom trabalho.

Uma carta aos nossos leitores

Vivemos tempos indescritíveis, sem paralelo, e isso é, em si mesmo, uma expressão do que se exige hoje aos jornalistas que têm um papel essencial a informar os leitores. Se os médicos são a primeira frente de batalha, os que recebem aqueles que são contaminados por este vírus, os jornalistas, o jornalismo é o outro lado, o que tem de contribuir para que menos pessoas precisem desses médicos. É esse um dos papéis que nos é exigido, sem quarentenas, mas à distância, com o mesmo rigor de sempre.

Aqui, no ECO, estamos a trabalhar 24 horas vezes 24 horas para garantir que os nossos leitores têm acesso a informação credível, rigorosa, tempestiva, útil à decisão. Para garantir que os milhares de novos leitores que, nas duas últimas semanas, visitaram o ECO escolham por cá ficar. Estamos em regime de teletrabalho, claro, mas com muita comunicação, talvez mais do que nunca nestes pouco mais de três anos de história.

  • Acompanhamos a cobertura da atualidade, porque tudo é economia.
  • Escrevemos Reportagens e Especiais sobre os planos económicos e as consequências desta crise para empresas e trabalhadores.
  • Abrimos um consultório de perguntas e respostas sobre as mudanças na lei, em parceria com escritórios de advogados. Contamos histórias sobre as empresas que estão a mudar de negócio para ajudar o país
  • Escrutinamos o que o Governo está a fazer, exigimos respostas, saímos da cadeira (onde quer que ele esteja) ou usamos os ecrãs das plataformas que nos permitem questionar à distância.

O que queremos fazer? O que dissemos que faríamos no nosso manifesto editorial

  • O ECO é um jornal económico online para os empresários e gestores, para investidores, para os trabalhadores que defendem as empresas como centros de criação de riqueza, para os estudantes que estão a chegar ao mercado de trabalho, para os novos líderes.

No momento em que uma pandemia se transforma numa crise económica sem precedentes, provavelmente desde a segunda guerra mundial, a função do ECO e dos seus jornalistas é ainda mais crítica. E num mundo de redes sociais e de cadeias de mensagens falsas – não são fake news, porque não são news --, a responsabilidade dos jornalistas é imensa. Não a recusaremos.

No entanto, o jornalismo não é imune à crise económica em que, na verdade, o setor já estava. A comunicação social já vive há anos afetada por várias crises – pela mudança de hábitos de consumo, pela transformação digital, também por erros próprios que importa não esconder. Agora, somar-se-ão outros fatores de pressão que põem em causa a capacidade do jornalismo de fazer o seu papel. Os leitores parecem ter redescoberto que as notícias existem nos jornais, as redes sociais são outra coisa, têm outra função, não (nos) substituem. Mas os meios vão conseguir estar à altura dessa redescoberta?

É por isso que precisamos de si, caro leitor. Que nos visite. Que partilhe as nossas notícias, que comente, que sugira, que critique quando for caso disso. O ECO tem (ainda) um modelo de acesso livre, não gratuito porque o jornalismo custa dinheiro, investimento, e alguém o paga. No nosso caso, são desde logo os acionistas que, desde o primeiro dia, acreditaram no projeto que lhes foi apresentado. E acreditaram e acreditam na função do jornalismo independente. E os parceiros anunciantes que também acreditam no ECO, na sua credibilidade. As equipas do ECO, a editorial, a comercial, os novos negócios, a de desenvolvimento digital e multimédia estão a fazer a sua parte. Mas vamos precisar também de si, caro leitor, para garantir que o ECO é económica e financeiramente sustentável e independente, condições para continuar a fazer jornalismo de qualidade.

Em breve, passaremos ao modelo ‘freemium’, isto é, com notícias de acesso livre e outras exclusivas para assinantes. Comprometemo-nos a partilhar, logo que possível, os termos e as condições desta evolução, da carta de compromisso que lhe vamos apresentar. Esta é uma carta de apresentação, o convite para ser assinante do ECO vai seguir nas próximas semanas. Precisamos de si.

António Costa

Publisher do ECO

Comentários ({{ total }})

RGPD: Começou a nova era da proteção de dados na Europa. Saiba o que mudou

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião