Apesar do atraso, Portugal não foi o último a atualizar lei de proteção de dados
O regulamento que veio uniformizar a proteção de dados na Europa era aplicável desde maio de 2018, mas a concretização na legislação portuguesa tardou, chegando mais de um ano depois, com a Lei 58/2019. No verão passado, Portugal, Eslovénia e Grécia compunham o trio de países da União Europeia que fugiam à regra, ainda sem atualização das respetivas leis nacionais para estar de acordo com o Regulamento Geral de Proteção de Dados (RGPD). As críticas sucederam-se, com os especialistas a apontar que poderia representar uma perda de competitividade para as empresas portuguesas.
Apesar da demora, Portugal não foi o pior "aluno" entre os três Estados membros que mais demoraram a concretizar o RGPD na legislação nacional. A Grécia atualizou a legislação em outubro de 2019. Entre os países da União Europeia, só a Eslovénia continua sem fazer esta alteração, algo que já levou a Comissão Europeia a pedir explicações.
O RGPD veio uniformizar as diferentes leis de proteção de dados entre os Estados membros, substituindo a antiga diretiva em vigor, que deixava alguma margem de manobra aos países europeus para legislação própria. Com o objetivo de uniformizar, a introdução nas leis nacionais do RGPD pretendia apenas responder às chamadas "cláusulas abertas", explica Ricardo Henriques, advogado da Abreu Advogados. "A própria lei era necessária para haver uma concretização para a aplicação das coimas", exemplifica, recordando que o RGPD estabelecia coimas máximas a aplicar mas não as mínimas.
"Houve críticas [relativamente à demora na publicação] e várias questões que se colocaram e que ainda estão um pouco por resolver", resume Ricardo Henriques. "Logo na altura da implementação houve algumas questões que foram suscitadas em relação à própria legislação." O advogado recorda também o desalinho de posições entre a Comissão Nacional de Proteção de Dados [CNPD] e a legislação aprovada. "Foi uma situação diferente entre o regulador e a entidade que fiscaliza, a dizer que não ia aplicar a lei como foi publicada."
Em setembro do ano passado, após a publicação em Diário da República dos diplomas, a CNPD indicava em comunicado que iria "desaplicar algumas normas da lei" por "estas contradizerem manifestamente" o regulamento. A autoridade que fiscaliza a aplicação do RGPD por cá referia que a lei aprovada "prejudicava seriamente o funcionamento do mecanismo de coerência" da aplicabilidade das regras de privacidade europeias.
Um ano depois da publicação, o advogado da Abreu Advogados reconhece que alguns pontos continuam a gerar questões, como o tema "da videovigilância nas empresas, o tratamento de dados pessoais por parte dos trabalhadores ou a legitimidade dos dados de saúde nas seguradoras".
A propósito do segundo aniversário do RGPD, em maio, a Comissão indica que, a nível nacional, foram abertos 2030 processos de averiguação, emitidos 152 pareceres e 557 violações de dados (data breach) e 46 casos de cooperação.
Com o RGPD, foi também criada a figura de encarregado de proteção de dados (EPD). Até maio, tinham sido notificados à Comissão 3467 encarregados. Na altura do segundo aniversário do RGPD, estavam em atividade 3379 EPD.
No primeiro ano de RGPD, a Comissão Nacional dava conta de coimas num valor total de 424 mil euros. A identificação das entidades que pagaram coimas não é divulgada na maior parte dos casos, já que "funcionaria como uma sanção acessória", conforme já esclareceu a CNPD