A data da aplicação do RGPD já é conhecida desde abril de 2016, quando o regulamento foi aprovado no Parlamento Europeu. Ainda assim, só em março deste ano é que o governo aprovou, em Conselho de Ministros, a proposta de lei que assegura a execução do regulamento a nível nacional.
Uma demora que seria “evitável”, depois de quatro anos de longuíssimas negociações a nível europeu e de dois anos para preparar a adaptação nacional, considera Clara Guerra, da CNPD.
A proposta que define, para Portugal, algumas das variáveis deixadas em aberto pela diretiva europeia só foi apresentada ao Parlamento no dia 3 de maio, algo que mereceu muitas críticas dos deputados do BE, PCP, PSD e CDS.
Quando o RGPD entrar em vigor, a 25 de maio, a discussão na especialidade ainda estará a decorrer, a atual lei de 67/98 não estará revogada e a Comissão Nacional de Proteção de Dados não terá o seu novo estatuto pronto.
Uma situação “lamentável”, na opinião de João Leitão Figueiredo, advogado da CMS Rui Pena & Arnaut, mas só um “milagre” conseguiria impedi-lo.
“Há algumas áreas concretas que não ficam bem cobertas, pelo facto de não haver uma lei nacional que execute o regulamento. Vamos ter que viver neste quadro um pouco confuso nos primeiros tempos”, explica Clara Guerra, da CNPD.
Por exemplo, a adaptação da aplicabilidade de sanções penais, a definição de competências da autoridade nacional de controlo, a definição do prazo a partir do qual uma criança pode consentir para serviço da sociedade de informação, entre outras questões, ficam indefinidas para já.
“As empresas não sabem o que têm de fazer”, alerta Jorge Silva Martins. “Há setores, como o dos media, em que o regulamento remete para a lei nacional. A densificação do que os publishers têm de fazer é decidida por cada país”, explica o advogado da PLMJ.
Ainda assim, as empresas não ficam isentas de cumprir o regulamento. Pedro Delgado Alves, responsável por esta pasta no grupo parlamentar do PS, confessa que seria desejável que tudo estivesse pronto no dia 25 de maio, mas considera “perfeitamente possível” que o regulamento europeu entre em vigor sem problemas.
“O risco de eventual existência de um período em que a proteção é menor não existe. É ao contrário”, considera. “A haver risco, nunca é para o cidadão particular, a sua posição está muito bem salvaguardada no RGPD”, garante.
A boa notícia para os empresários portugueses que ainda não estejam preparados para cumprir a nova lei na totalidade é que, para já, a capacidade de fiscalização por parte da Comissão Nacional de Proteção de Dados (CNPD) está muito comprometida. “Acredito que muito pouco vá acontecer nos primeiros meses”, diz Jorge Silva Martins. “Não temos lei, não temos a CNPD preparada - acredito que nos primeiros meses aconteça muito pouco”, lamenta.
Clara Guerra, responsável pelo Serviço de Informação e Relações Internacionais da Comissão Nacional de Proteção Dados, pinta um quadro negro no que toca às capacidades do organismo que representa.
Nas vésperas da entrada em vigor do novo regulamento, a CNPD está “depenada”, “sem recursos para realocar a nada”. “Não conseguimos dividir zero por coisa nenhuma”, lamenta, em entrevista à Renascença.
Com apenas 20 funcionários, aquele organismo diz não ser possível cumprir as funções que o RGPD lhe atribui. Mas as dificuldades não são de agora. “No mínimo dos mínimos, precisávamos de duplicar o número de funcionários. Já estamos a fazer um bocadinho de autocensura e a pedir por baixo, por estarmos tão habituados a que não nos deem nada”.
Clara Guerra lembra que, em 2004, quando a lei orgânica da CNPD foi aprovada, já estavam previstos cerca de 40 funcionários. “Não estamos a pedir mais do que em 2004”, afirma.
Na última semana, na Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias, a presidente da CNPD, Filipa Calvão, encontrou disponibilidade de todos os grupos parlamentares para dotar a comissão dos meios necessários.
Clara Guerra apela à rapidez do Parlamento. “Agora é um bocadinho o tudo ou nada, ou vai ou racha. Nós vivemos num mundo concorrencial. Se tivermos empresas que cumprem e outras que não cumprem, uma autoridade de controlo sem meios vai estar a favorecer os incumpridores, sublinha a responsável.
A Comissão Nacional de Proteção de Dados irá fiscalizar e aplicar coimas às empresas que não cumpram os seus deveres de proteção de dados dos seus clientes, fornecedores ou trabalhadores. Essas coimas poderão chegar aos 20 milhões de euros.
Ao contrário do privado, o setor público estará isento destas coimas, segundo a proposta apresentada pelo governo ao Parlamento. No programa “Em Nome da Lei”, da Renascença, Filipa Calvão, presidente da CNPD, considerou a medida “incompreensível, à luz do princípio da igualdade estabelecido pela legislação portuguesa há mais de 20 anos”.
Pedro Delgado Alves, do PS, explica que a isenção “tem a ver com a razão pela qual o tratamento de dados tem lugar”. “O papel das entidades públicas, o que as habilita a que possam manusear e tratar dados pessoais tem a ver com o exercício de competências que traduzem o interesse público”, diz.
Ainda assim, o deputado admite que a medida seja clarificada durante o debate na especialidade. “Esse será o debate - até onde é que a definição de interesse público é justificativa de uma permissão para tratar dados e de uma isenção completa das coimas”.
O socialista garante que “há disponibilidade”, da parte do PS, “para afinar e definir bem esta questão”. Mas não lhe parece irrelevante “que se separe quem está ao serviço do interesse público e quem prossegue uma finalidade de interesse privado”.
João Leitão Figueiredo não se opõe à inexistência de coimas para a Administração Pública. “Do ponto de vista material não é criticável, é uma decisão do legislador, política”, explica. No entanto, considera criticável se isso significar que para as entidades públicas não existe qualquer regime sancionatório contraordenacional.
O advogado da CMS Rui Pena & Arnaut aponta para uma “desigualdade clara” nesta medida, já que existem setores em que entidades públicas concorrem com privadas. “Aí, objetivamente as entidades privadas seriam muito prejudicadas por não haver regime sancionatório”, diz.
Um estudo feito em fevereiro pela Sage, empresa especializada em soluções de gestão empresarial, no universo dos seus clientes portugueses, concluiu que 67% das pequenas e médias empresas inquiridas nunca tinha ouvido falar ou não estava familiarizada com o novo Regulamento Geral sobre a Proteção de Dados.
No fim de abril, um outro estudo, levado a cabo pela SAS, empresa multinacional especialista em analítica, concluiu que apenas 7% das 183 empresas inquiridas (onde se encontram empresas portuguesas) dizia estar já em conformidade com o RGPD. Por outro lado, menos de metade (46%) das organizações entrevistadas diziam esperar estar em conformidade com o RGPD quando este entrar em vigor, no dia 25 de maio.
Do contacto que tem tido com empresas de todas as áreas, João Leitão Figueiredo consegue ver uma evolução na postura das empresas portuguesas. “Quando a lei foi aprovada houve alguma desconfiança relativamente a este regulamento. Havia uma lógica ‘este regulamento não nos é aplicável’”. “No final de 2017 assistiu-se a um movimento contrário”, conta o advogado. “Começaram a surgir pedidos muito significativos da parte do mercado para tentativas de adaptação em passo muito acelerado”.
A partir de março, abril, as empresas “começaram a entrar em pânico”, explica João Leitão Figueiredo. “É a situação que neste momento se vive em Portugal. As pessoas estão muito preocupadas, sentem que 25 de maio está muito próximo e não vão conseguir fazer tudo o que será necessário fazer para atingir um ambiente de conformidade adequada”, diz.
O pânico foi aumentado pelas mensagens “alarmistas” que começaram a propagar-se, nomeadamente em relação às coimas a que as empresas poderão estar sujeitas.
“No nosso entender isto não é justificado, muitas empresas já têm mecanismos próximos dos exigidos. É necessária uma adaptação, mais do que uma revolução”, afirma o advogado.
