3 anos de RGPD: Terá a montanha parido um rato?

Completam-se três anos desde o início da aplicação dos efeitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (“RGPD” ou “Regulamento”), aquele dia que para nós que trabalhamos nesta área era encarado como a passagem para o ano 2000, uma nova era estava por chegar!

Quem não se lembra do seu e-mail inundado com atualizações de Políticas de Privacidade e pedidos de consentimento (alguns deles verdadeiros tiros no pé para os responsáveis pelo tratamento, que se traduziram numa hecatombe para as bases de dados de marketing, arruinando por completo um esforço de anos)?

O setor empresarial português despertou tarde para a necessidade de se adaptar aos requisitos do RGPD, tendo (e alguns casos continuando a fazê-lo!) desconsiderado até bastante tarde a necessidade de adaptação da organização às exigências trazidas pelo Regulamento, muito por culpa de uma cultura (ou falta dela) de desproteção completa do direito fundamental à privacidade.

Ainda hoje, passado três anos nos deparamos com verdadeiras aberrações jurídicas em matéria de proteção de dados, nomeadamente, a existência de profilings e analíticas ferozes sem que disso o titular dos dados tenha conhecimento.

Contudo, se é verdade que o efeito “novidade” teve impacto na forma como se olhou para esta matéria em 2018, também é verdade que muitas empresas deixaram de investir em profissionais qualificados, implementação de procedimentos robustos de accountability e em ferramentas de apoio a estes profissionais, por um conjunto de fatores, nomeadamente por se tratar de um tema que muitas vezes perturba as ideias inovadoras de negócio, por falta de orçamento para investimentos nesta área e sobretudo, acreditamos nós, pela falta de enforcement da Autoridade de Controlo (CNPD).

No entanto, o que falta muitas vezes aos órgãos decisores das empresas (sejam elas responsáveis pelo tratamento ou subcontratantes) entender, é que a matéria da proteção de dados não é uma matéria acessória aos negócios desenvolvidos nem o encarregado de proteção deverá ser uma figura menor dentro da organização.

Para além de se tratar de um Direito fundamental previsto no n.º 1 do artigo 26.º e no artigo 35.º da Constituição da República Portuguesa e para além da aplicação dos demais diplomas que regulam esta matéria, nomeadamente e de âmbito mais geral, o RGPD e a Lei n.º 58/2019, de 8 de agosto, as matérias da privacidade e da proteção de dados são hoje um tema indissociável da realidade dos negócios efetuados, tendo, inclusivamente um peso significativo no âmbito de operações societárias e de M&A que se pretendam realizar sobre as empresas.

Adicionalmente ao exposto, e ainda que em Portugal apenas tenham sido aplicadas coimas nos montantes de €107.000,00 (cento e sete mil euros) por envio de comunicações eletrónicas não solicitadas, 2 coimas de € 2.000,00 (dois mil euros) por incumprimento de direito de informação em sistema de videovigilância, € 20.000,00 (vinte mil euros) por incumprimento do Direito de acesso a gravações de chamadas telefónicas e € 400.000,00 (quatrocentos mil euros ) por violação do princípio da minimização, princípio da confidencialidade e medidas de segurança, bem sabemos que a atividade de supervisão setorial e fiscalização da CNPD tem existido, sendo do nosso conhecimento a existência de inúmeros processos de contraordenação em curso.

Para além do supra referido relativamente ao panorama nacional, também a nível europeu se tem verificado uma atividade constante e regular das autoridades de controlo para a proteção de dados – especialmente importante para empresas que prestem serviços ou vendam produtos noutros territórios da União Europeia – no âmbito dos poderes que lhes são conferidos de supervisão setorial e fiscalização, tendo-se refletido num aumento cada vez maior de aplicação de coimas por violação não só do RGPD, mas da legislação nacional em matéria de proteção de dados pessoais (para o efeito poderá ser consultado o website: https://www.enforcementtracker.com/).

A apreciação do caráter fundamental da proteção de dados não poderá ser medida apenas com base no enforcement efetivamente existente, mas antes, pela essencialidade deste tema em qualquer área ou setor de negócio, bem como, no âmbito da implementação de qualquer novo projeto, seja ele digital/tecnológico ou não, tendo em consideração o despertar da população em geral e de cada cidadão para o valor intrínseco de cada dado pessoal de que é titular.

Já não está na moda nem é rentável para as empresas fazerem negócios ou implementarem tecnologias ou novos projetos que não respeitem os direitos e os princípios do tratamento dos dados pessoais, sob pena de serem obrigados “a meio do caminho” a parar os tratamentos de dados (entenda-se tratamento na aceção do artigo 4.º n.º 2 do RGPD – toda a operação efetuada com um dado pessoal em todo o seu ciclo de vida), neste sentido veja-se o caso da mais recente Deliberação da CNPD (Deliberação /2021/533), no âmbito da qual a Autoridade de Controlo ordena ao Instituto Nacional de Estatística a suspensão de transferências internacionais dos dados pessoais do Censos 2021.

Em jeito de síntese da nossa reflexão, é urgente o tecido empresarial Português na sua globalidade despertar para a essencialidade da matéria da proteção de dados, aceitando este tema com parte do negócio e não como um tema acessório ao negócio e que muitas vezes só serve para travar ideias inovadoras e projetos “fora da caixa”.

Para que tal aconteça, é necessário apostar em profissionais qualificados, através de nomeação de encarregados de proteção de dados ou criação de gabinetes de privacidade experientes, isentos e autónomos, capazes de aliar o conhecimento profundo do negócio em causa ao conhecimento teórico-prático da legislação aplicável, deixando de parte a velha conceção de que qualquer colaborador tem capacidades conhecimentos técnicos para o desempenho desta função.