Proteção de dados: uma utopia ou já uma realidade

O Regulamento Geral de Proteção de Dados (RGPD) que entrou em vigor no dia 25 de maio deste ano, veio provocar uma inevitável revolução, quer entre os Estados Membros da União Europeia, quer entre os países terceiros ou organizações internacionais. Entre nós, passados seis meses, desde a entrada em vigor do RGPD, e 20 anos da legislação portuguesa em matéria de proteção de dados (Lei n.º 67/98, de 26 de outubro), a grande maioria das empresas encontram-se em claro incumprimento da lei, continuando os titulares dos dados a ser alvo de tratamentos extremamente intrusivos.

A rapidez dos avanços tecnológicos e da globalização vieram permitir que o cidadão partilhe facilmente informações sobre os seus comportamentos e preferências tornando as públicas e, globalmente acessíveis. Esta desproteção do cidadão que facilmente responde ao apelo das redes sociais, permitiu aos EUA o controlo do Ciberespaço com a Microsoft, o Facebook, a Amazon, a IBM, a Google, entre outros, armazenarem uma grande quantidade de dados. O armazenamento de dados em Cloud permite por sua vez que a partilha do software, dos recursos e da informação se encontram em servidores remotos, não seja jamais controlada pelo titular da informação. O titular dos dados é frequentemente confrontado com o fornecimento ilegítimo dos seus dados pessoais a entidades terceiras; dá o seu consentimento para o tratamento desses mesmos dados, desconhecendo os seus direitos e a finalidade da recolha e estando ainda sujeito à invasão dos cookies.

Apesar de se tratar de um Regulamento, o diploma requer a intervenção do legislador. Nessa medida, o Governo aprovou no Conselho de Ministros de 22 de março, a proposta de lei que assegura a execução na ordem jurídica nacional do RGPD. Até ao momento, a Assembleia da República não aprovou o diploma, criando entre os agentes económicos mais uma descrença relativamente à importância da política de proteção de dados.

Ainda assim, o Regulamento constitui uma preocupação para as empresas, em especial porque agrava a moldura máxima das coimas por incumprimento, mas também porque impõe o registo de todas as atividades relacionadas com o tratamento de dados e a gestão dos riscos associados ao incumprimento dos direitos e liberdades das pessoas singulares. Esses riscos devem ser identificados, analisados, estimados, avaliados, tratados e revistos regularmente.

A implementação desses procedimentos, que deveriam já ser vistos como normais e positivos para a vida das pessoas e das organizações, não são ainda mais do que uma utopia. A criação de um mecanismo permanente e dinâmico de verificação da conformidade com o RGPD, apoiada em auditorias, recursos humanos especializados e tecnologia robusta, vai exigir das empresas grandes investimentos. Os empresários, contudo, não reconhecem que uma sólida proteção da privacidade lhes confere vantagens competitivas à medida que a confiança nos seus serviços aumenta.

A decisão de tratamento dos dados pessoais por parte da empresa, deve ser tomada com base numa avaliação contínua dos riscos criados pelas suas atividades de tratamento, por forma a identificar quando é que um certo tipo de tratamento é «suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares» (n.º 1 do artigo 35.º do RGPD).

Nessa circunstância, o RGPD exige aos empresários uma gestão adequada dos riscos, obrigando-os à realização de uma Avaliação de Impacto de Proteção de Dados (AIPD). O legislador europeu define, a título exemplificativo, três tipos de situações que preenchem os pressupostos desta obrigação de proceder à AIPD, e que estão concretizados no n.º 3 do artigo 35.º do RGPD. São elas: a avaliação sistémica e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento automatizado, incluindo a definição de perfis, afetando significativamente a pessoa singular; as operações de tratamento em grande escala de categorias especiais de dados ou de dados pessoais relacionados com as condenações penais e infrações e o controlo sistemático de zonas acessíveis ao público em grande escala. Refira-se que, entretanto, a Comissão Nacional de Proteção de Dados aprovou o Regulamento n.º 1/2018, de 16 de outubro, no qual aditou outras situações que exigem uma avaliação de impacto prévio à proteção de dados.

É certo que, ao longo destes seis meses, muitas empresas procederam ao levantamento e mapeamento dos dados pessoais tratados, alteraram a comunicação interna e externa e, um grande número de agentes económicos designou o responsável pela compliance, o encarregado de proteção de dados (EPD/DPO). Porém, em vez do EPD se afirmar como uma vantagem competitiva para as empresas e uma garantia de regulação para quem tem visto os seus dados sistematicamente usados indevidamente, constata-se uma ausência de formalização do papel do EPD, que o impede de ser mais atuante e de identificar as potenciais lacunas nas operações de tratamento de dados, que a todo o tempo, podem evoluir para novas vulnerabilidades.

Também um pouco por todo o mundo, as empresas, de países externas à União Europeia, especialmente as de dimensão mundial tentam o alinhamento com as políticas de privacidade do RGPD, não só porque o consideram um modelo a seguir, mas também porque pretendem continuar a exercer as suas atividades comerciais na Europa. Assim é em África, na Ásia e na América Latina, onde a proteção de dados pessoais desempenha um papel fundamental no advento das novas tecnologias. Atualmente são 129 os países que se dotaram de legislação. O Chile, a Colômbia, o México, o Peru, a Argentina e em particular o Brasil com a recente Lei n.º 13.709, de 14 de agosto de 2018, criaram um enquadramento legal semelhante ao Regulamento europeu.

Outros, países como o Japão, os EUA e a Índia estão a adotar nova legislação ou a atualizar a legislação existente em matéria de proteção de dados, para aproveitar as oportunidades oferecidas pela economia digital global e responder à procura crescente de reforço da segurança dos dados e da proteção da privacidade. Destaca-se não só que a proteção de dados e o intercâmbio comercial crescem paralelamente, bem como a celebração de acordos de comércio livre, em 2017, pela União Europeia com os EUA, o Japão, o Mercosul, o México, a Tunísia e países da ASEAN. Com o mesmo espírito, a Comissão Europeia explorará um conjunto renovado de instrumentos destinados às transferências internacionais de dados.

Assim, embora existam diferenças entre os países no que toca a abordagem adotada e ao nível do desenvolvimento legislativo, aparecem sinais de uma maior convergência em relação a importantes princípios de proteção de dados nos vários continentes. Ao harmonizar e simplificar o enquadramento jurídico através do RGPD, a União Europeia torna a atividade empresarial mais fácil, ao mesmo tempo que reforça a confiança dos consumidores na economia digital. As empresas portuguesas devem aproveitar esta oportunidade.

Em suma, a corrida pelo controlo dos dados já começou. Os dados são o ativo mais importante no século XXI, e com eles surge um novo modelo de negócio baseado na transferência «da autoridade de humanos» para a «autoridade dos algoritmos», o que nos pode levar, em caso de concentração, a «ditaduras digitais».

*Professora da Universidade Europeia, investigadora na área da propriedade intelectual e vice-presidente do Movimento Europeu Portugal

Mais Notícias

Outros conteúdos GMG