RGPD deve levá-lo mais a sério!
Neste aniversário da entrada em vigor do RGPD ainda parece haver caminho a fazer para evitar o agravamento das coimas importantes decorrentes da violação das suas normas.
A coima de 1,25 milhões de euros aplicada em janeiro à Câmara Municipal de Lisboa pela Comissão Nacional de Proteção de Dados, a propósito do chamado “russiagate”, parece ser, referiu um recente artigo do jornal ECO, a terceira maior infligida a entidades públicas na União Europeia ao abrigo do Regulamento Geral de Proteção de Dados (RGPD).
O cumprimento do RGPD é uma questão atual, não apenas no nosso país. Entrado em vigor há quatro anos – a 25 de maio 2018 -, já foram aplicadas em Portugal 131 coimas, de valor superior a 2,54 milhões de euros.
Esta é uma boa altura para refletir sobre o que falta fazer, e como deverão empresas e instituições organizar-se para evitar coimas e situações que afetem a sua reputação. O RGPD é um regulamento da UE (n.º 2016/679, de 27 de abril de 2016), adotado pelo Parlamento e pelo Conselho, que constitui uma das principais ferramentas da Europa digital. Respeita ao tratamento por uma instituição, empresa, organização ou até pessoa singular, dos dados pessoais de outras pessoas. Não se aplica à utilização de dados no âmbito da esfera pessoal de cada um (por ex., convidar amigos para uma festa), mas só quando estão em causa atividades profissionais, comerciais, financeiras, sociais ou culturais de natureza coletiva e pública.
Aprofundemos um pouco.
O que é um dado pessoal? É toda a informação relativa a uma pessoa física, qualquer ser humano dotado de direitos e obrigações, identificada ou identificável através de referência direta ou indireta, como nº de telefone ou cruzamento de dados que lhe respeitem.
E o que se entende por tratamento de dados? É qualquer operação, seja qual for o procedimento, que incida sobre dados pessoais. Deve ter uma finalidade concreta, legal e legítima, e respeitar à atividade profissional de quem os gere. Exemplo: ficheiros de clientes ou listas de fornecedores.
Quem deve preocupar-se com o RGPD? Qualquer entidade ou pessoa, pública ou privada, com sede ou estabelecimento na UE, ou cuja atividade incida diretamente sobre pessoas nela residentes (não só nacionais de um Estado-membro), ainda que estabelecida noutra parte do mundo.
E o que devem fazer essas entidades ou pessoas? O regulamento, cuja execução em Portugal é assegurada pela Lei nº 58/2019, estabelece várias obrigações que impendem sobre quaisquer empresas, associações ou outras organizações, públicas ou privadas: a título de exemplo, designar um Encarregado de Proteção de Dados, adotar políticas de privacidade e segurança da informação, avaliar o impacto da proteção de dados, obter o consentimento dos titulares, efetuar e manter registos, garantir direitos de acesso, retificação, apagamento ou oposição, assegurar boas práticas de segurança, notificar incidentes.
Numa comunicação de março de 2021, a Comissão Europeia resumia assim a ambição europeia de um “caminho europeu para a Década Digital”: “(…) prosseguir políticas digitais que deem poder a pessoas e negócios para consolidar um futuro digital mais próspero, centrado no humano e sustentável”. São vários os instrumentos, políticas e recursos para fazer desta década, na Europa, a Década Digital. O RGPD, com os seus (apenas) quatro anosrespeita a esse “caminho europeu” (European way), que inclui o respeito dos direitos fundamentais, dos valores europeus e da legislação adotada, incluindo os Tratados e a Carta dos Direitos Fundamentais, a legislação da UE (como o RGPD) e a interpretação deles feita pela jurisprudência do Tribunal de Justiça da UE.
A proteção de dados não é um fenómeno estritamente europeu. Na Europa, faz parte de um conjunto vasto de normas e medidas para proteger as pessoas no caminho para um futuro digital europeu mais forte, seguro e inclusivo. Integra e é garantida em políticas europeias específicas, com particular relevância para a natureza dos dados pessoais, como os serviços de telecomunicações e comunicação eletrónica, saúde pública, inteligência artificial (aplicações de IA devem respeitar direitos fundamentais), transportes e energia, concorrência (autoridades de concorrência, consumidores e proteção de dados devem cooperar para o efeito, na intersecção das respetivas competências), contextos eleitorais (abrange violações das regras por partidos políticos ou fundações) ou aplicação da lei (violações da proteção de dados ou do direito à privacidade estão sujeitas a critérios de estrita necessidade e a um teste de proporcionalidade).
No artigo do jornal ECO acima referido refere-se um rastreador de aplicação do RGPD – plataforma – a qual regista as coimas aplicadas pelas autoridades de proteção de dados europeias até agora. Aí se explica que, não sendo todas as penalizações públicas, a lista não está completa; e que não regista coimas impostas exclusivamente ao abrigo de leis nacionais (aplica-se o princípio da subsidiariedade) ou de normas de outra natureza, como as relacionadas com a concorrência ou comunicações.
Face ao acumular de infrações e à quantidade e montante das coimas aplicadas, é aconselhável reforçar a prevenção. Grandes, médias e pequenas empresas, bem como as entidades públicas, devem proceder rotineiramente à verificação das atividades respeitantes ao uso de dados pessoais – incluindo os seus sítios Internet, fonte de potenciais problemas (e incumprimentos). A responsabilidade dessas entidades pode ser muito gravosa. Importa que assegurem que os dados coligidos e tratados são verdadeiramente necessários para atingir objetivos bem determinados e legítimos, e só esses (princípios da finalidade e da minimização); que garantam que os indivíduos permanecem “donos” dos dados que lhes respeitam, com total transparência sobre a sua utilização; mantenham modos funcionais de garantir o exercício individual dos direitos dos envolvidos (pode ser por via eletrónica); fixem períodos de conservação (respeitando o princípio da necessidade); garantam a segurança física ou informática dos dados; conheçam, identifiquem e previnam os riscos; e, finalmente, que verifiquem regularmente a conformidade das medidas, procedimentos e circuitos existentes com as regras do RGPD.
O caminho europeu para o digital tem prosseguido com nova legislação, aliás comentada num excelente artigo por José Luís da Cruz Vilaça, sócio-fundador da CVA, em breve a ser publicado. Inclui normas para reforçar e consolidar o mercado único, regular a ação dos gigantes digitais (as big-tech), garantir a confiança de cidadãos e consumidores, a privacidade e ciber-segurança, assegurar um fluxo livre, mas seguro, da informação e da opinião, um sistema estandardizado e harmonizado, uma contratação pública justa. Em suma, um sistema centrado nas pessoas.
Neste aniversário da entrada em vigor do RGPD ainda parece haver caminho a fazer para evitar o agravamento das coimas importantes decorrentes da violação das suas normas. Precaução na ação e a noção da importância da prevenção, é o conselho que, como escritório especializado em direito europeu – e atentos à nova realidade que representa a atividade legislativa europeia, também por definição nacional, em matéria digital -, nos permitimos transmitir.
Todos os cuidados são poucos para evitar infrações graves, que possam levar a imposições pecuniárias muito graves.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
RGPD deve levá-lo mais a sério!
{{ noCommentsLabel }}