Estou a cumprir com o RGPD? Uma ferramenta que ajuda a responder

O Regulamento Geral de Proteção de Dados, mais conhecido pela sigla RGPD, é, porventura, o instrumento legislativo europeu que maior alarme social causou em Portugal desde a adesão à UE. Um sentimento de alarme social foi-se sentindo, não apenas entre os cidadãos, que no dia 25 de maio de 2018 (data de início de aplicação do RGPD) foram inundados com pedidos de consentimento para o tratamento de dados pessoais, mas em particular pelas empresas, que se viram expostas a coimas que podem ascender, em alguns casos, a 20.000.000€.

O processo legislativo que desaguou no RGPD arrancou em 2012, quando a Comissão Europeia iniciou uma reforma da legislação aplicável aos tratamentos de dados pessoais, que estava ancorada numa já então vetusta diretiva de 1995. A reforma prosseguiu três objetivos: um, de natureza económica, relacionado com o aprofundamento do mercado interno e com a harmonização das regras aplicáveis ao tratamento de dados pessoais; outro, de natureza jusfundamental, impulsionado pela entrada em vigor do Tratado de Lisboa, que reconheceu um lugar de relevo ao direito fundamental à proteção de dados pessoais; e, por último, a necessidade de encontrar soluções legislativas capazes de responder aos riscos e desafios provocados pelas novas tecnologias.

Mais de um ano e meio passou desde a entrada em vigor do RGPD. Em muitos foruns de discussão deste diploma ainda são evidentes os problemas de aplicação e de interpretação que gravitam em torno do mesmo. Entre os vários exemplos deste estado de coisas destacamos três:

1. A (dis)função do consentimento, utilizado com panaceia para fundamentar a utilização de dados pessoais;
2. A dificuldade em compreender a função do risco associado aos tratamentos de dados pessoais como forma de “distribuir” encargos entre organizações;
3. A qualificação, em situações concretas, do responsável pelo tratamento e do subcontratante, em particular num contexto de fornecimento de bens e serviços.

São vários os fatores que contribuíram para alimentar este ambiente de confusão: desde logo, o deficiente aconselhamento jurídico que tem sido muitas vezes prestado, ao qual não é estranho o explosivo número de “peritos” em proteção de dados pessoais entretanto surgido; a que se acrescentam as dificuldades interpretativas que um diploma com a natureza do RGPD naturalmente provoca, as quais não têm sido supridas pelas autoridades administrativas e judiciais, tanto nacionais como europeias.

É neste quadro que surgiu a ideia, inspirada em soluções semelhantes existentes em Espanha e no Reino Unido, de desenvolver uma ferramenta de autoavaliação de conformidade com o RGPD. Resultado de uma parceria entre o Observatório da Proteção de Dados Pessoais da Faculdade de Direito da Universidade Nova de Lisboa (Nova Direito) e a FUTURA, trata-se de uma ferramenta gratuita e de fácil utilização, que foi pensada para ser utilizada por qualquer organização. Respondendo a um conjunto de perguntas concretas o utilizador ficará com uma noção do grau de risco dos tratamentos de dados que realiza.

Esta ferramenta que, no futuro, gostaríamos que evoluísse para uma plataforma, sem limite de utilizações e com recomendações mais concretas, não é mais do que um auxiliar do processo de conformidade com o RGPD. Por esta razão, a documentação exigida legalmente deverá ser devidamente adaptada e atualizada à luz dos tratamentos de dados pessoais de cada organização.

Esta primeira versão da ferramenta encontra-se disponível no site do Observatório da Proteção de Dados, que pode ser consultada aqui.

Nota: Este texto foi escrito por Rodrigo Adão da Fonseca, Graça Canto Moniz e Francisco Pereira Coutinho.