Direito ao esquecimento; portabilidade de dados; multas até aos 20 milhões de euros; e o fim dos pedidos de autorização para o tratamento de dados – são apenas algumas das novidades do novo Regulamento de Proteção de Dados que entra esta quarta-feira em vigor nos 28 estados membros – mas que apenas será aplicado, obrigatoriamente e de forma uniforme, em todo o espaço comunitário a partir de 25 de maio de 2018.
O processo legislativo teve início em 2012 na Comissão Europeia – e viria a ser alvo de debate no Parlamento Europeu e nos Conselhos de Ministros da Justiça até chegar à versão final que foi publicada no início de maio. Pelo meio, foram movimentados meios e recursos pelos diferentes lóbis da indústria das tecnologias e dos ativistas da proteção dos dados pessoais como muito poucos processos legislativos alguma vez conseguiram movimentar. O processo viria mesmo a abrir caminho à realização do documentário Democracy, de David Bernet, que poder estrear em breve no circuito comercial português.
Até 25 de maio de 2018, deverá continuar a vigorar a lei 67/98. Depois dessa data, o governo e/ou o parlamento portugueses deverão tomar medidas para evitar conflitos entre o novo regulamento e a lei nacional. Caso não tome medidas que evitem esses conflitos, o Estado Português sujeita-se a um processo no Tribunal de Justiça da UE.
Para explicar o que muda com o novo regulamento que pretende uniformizar as políticas de proteção de dados, convidamos dois especialistas: Daniel Reis, da advogado da PLMJ, e Luís Neto Galvão, consultor do Conselho da Europa na Área da Privacidade e Proteção de Dados e especialista que trabalha na SRS Advogados.
Eis as mudanças previstas para o novo regulamento, de acordo com as análises dos dois especialistas.
Direito ao esquecimento: Um cidadão vai poder exigir a uma empresa que elimine os respetivos dados pessoais, fazendo valer um direito que faz lembrar uma regra que começou a ser aplicada na Internet. «O direito ao esquecimento é na realidade uma extensão do direito que já existia do cidadão de impedir que os seus dados pessoais sejam tratados. Com o Regulamento vai poder exigir algo mais: que os seus dados sejam destruídos», refere Daniel Reis.
Portabilidade de dados: Com a portabilibilidade de dados, o cidadão passa a poder exigir a uma empresa os dados que lhe dizem respeito num formato que permitirá a migração para outra empresa. «Vai ter reflexos muito importantes nas nossas vidas enquanto consumidores, facilitando, por exemplo, a mudança de prestadores de serviços e melhorando a concorrência», explica Luís Neto Galvão. «Com este direito a mudança de prestador de serviço que trate os seus dados pessoais tornar-se-á mais simples. Pense-se na mudança de banco ou de seguradora: o cidadão exerce este direito e não terá de fornecer novamente os seus dados pessoais ao novo prestador de serviços», reitera Daniel Reis.
Para as empresas: Em paralelo com a aplicação de novos direitos para os cidadãos, os novos regulamentos libertam as empresas dos pedidos de autorizações de tratamento de dados junto da Comissão Nacional de Proteção de Dados (CNPD), mas definem novos requisitos no processamento da informação. «Há várias regras que beneficiam as empresas, por exemplo o mecanismo de autorização prévia pela autoridade local (CNPD) vai desaparecer, por isso as empresas não vão precisar de esperar pelas autorizações. Por outro lado, o reforço dos direitos dos cidadãos significará a imposição de regras mais rigorosas e, nessa medida, mais difíceis de cumprir», explica Daniel Reis. «Houve melhorias grandes ao nível da responsabilização das empresas. Estas passam a ser dispensadas das atuais burocracias (notificações), mas têm de manter registos sobre tratamentos de dados que efetuam, realizar auditorias, adotar os princípios da proteção de dados desde a conceção (privacy by design) e da proteção de dados por defeito (privacy by default). Ao nível do relacionamento online com clientes, as políticas de privacidade terão de ser redigidas numa linguagem clara e percetível, o que frequentemente não ocorre hoje em dia», sublinha Luís Neto Galvão. Daniel Reis destaca os seguintes requisitos: «Há várias obrigações novas, como por exemplo a eventual obrigação de nomear um encarregado da proteção de dados (data protection officer), a obrigação de comunicar as quebras de segurança às autoridades e aos cidadãos afetados, a necessidade de realizar impactos sobre o tratamento de dados (privacy impact assessments), utilizar tecnologias como a pseudonimização e a cifragem dos dados pessoais»
Coimas: Em vez das autorizações, o novo regulamento aposta na fiscalização – e na aplicação de coimas para os prevaricadores: «Há um regime sancionatório muito exigente, com coimas que no caso de violações de menor gravidade poderá atingir 10 milhões de euros ou 2% do volume mundial de negócios do grupo onde a empresa se insere e nos casos mais graves podem ascender a 20 milhões de euros ou 4% do volume de negócios mundial», informa Luís Neto Galvão.
E a CNPD?: A CNPD vai ou não sofrer um esvaziamento das funções de supervisão e regulação que tem vindo a exercer nos últimos tempos? «O Regulamento cria um sistema de balcão único (one-stop shop) entre as várias autoridades de proteção de dados europeias e no caso de grupos multinacionais com vários estabelecimentos na Europa, a supervisão mais direta irá passar para autoridades estrangeiras. É, por isso, natural que a CNPD perca algum poder de supervisão mais direta sobre estas empresas. Mas em contrapartida estará mais liberta para atividades de prevenção e de fiscalização, o que não tem sucedido até hoje», responde Luís Neto Galvão.
Fora da UE: Que influência o novo regulamento poderá ter envio de dados para fora da UE? Eis a análise de Daniel Reis: «As novas regras aplicam-se a todos os tratamentos de dados pessoais de cidadãos residentes na União Europeia mesmo se a empresa não estiver estabelecida na UE. Esta regra protege obviamente os cidadãos da UE mas é algo onerosa para as empresas estrangeiras (incluindo os gigantes americanos que fizeram muita pressão para remover esta regra). A posição da Comissão Europeia é que não há tratamento diferenciado pois as regras só se aplicam se as empresas estão a desenvolver uma atividade económica no espaço da UE».
Polícias e espiões: O novo regulamento não altera a forma como as autoridades em cada estado-membro acedem aos dados. «As regras relacionadas com o meio de obtenção de provas, investigação criminal e cooperação judiciária internacional não fazem parte do âmbito do Regulamento», explica Daniel Reis.
Virtudes: O regulamento pretende adaptar o panorama legal às novas realidades tecnológicas. Eis o balanço feito por Luís Neto Galvão: «O produto final não é perfeito nem para os cidadãos nem para as empresas. No entanto, o cômputo global é bastante positivo e traduz a relevância que a protecção de dados passou a ter mais recentemente com o Tratado de Lisboa e a Carta dos Direitos Fundamentais da União Europeia e com a jurisprudência do Tribunal de Justiça da União Europeia».
