Matematicamente ainda é possível cumprir o prazo, mas do ponto de vista político é quase certo que Portugal vai mesmo a falhar data de 25 de maio que foi determinada pelo Parlamento Europeu para a execução do Regulamento Geral de Proteção de Dados (RGPD) nos 27 estados membros. A Comissão Nacional de Proteção de Dados (CNPD) não comenta o atraso, mas admite que a data de entrega da proposta de lei está longe de corresponder ao cenário desejável.
«Haveria toda a vantagem em ter a lei nacional que executa o RGPD já aprovada, para permitir que as organizações públicas e privadas se preparassem atempadamente», refere fonte institucional da CNPD.
A mesma fonte da entidade supervisora da privacidade também considera que teria sido benéfico para o funcionamento da própria instituição haver já uma lei de execução do RGPD aprovada, para «poder preparar-se e inclusive dar apoio às organizações que vão ter de fazer as adaptações necessárias ao RGPD».
A CNPD é uma das principais visadas pelo novo Regulamento. Até à data, o raio de ação da CNPD tem incidido na emissão de pareceres e autorizações relacionadas com os diferentes meios e processos de tratamento de dados. Com o novo regulamento, a atividade da CNPD passa assumir uma componente de fiscalização e aplicação de coimas bastante mais forte, uma vez que muitos dos métodos de tratamento e armazenamento de dados pessoais deixam de estar sujeitos a autorização da entidade supervisora.
Num texto publicado hoje, o Público dá conta da escassez de recursos com que a CNPD se tem debatido nos últimos anos. É a própria Filipa Calvão, presidente da CNPD, que confirma que o novo raio de ação da entidade supervisora tende a agravar os efeitos produzidos pela falta de pessoal e/ou meios técnicos: «Com a aplicação do Regulamento Geral de Proteção de Dados, essa situação tem inevitavelmente de mudar. Esperamos, por isso, que agora venhamos a ter todos os recursos necessários para poder desempenhar eficazmente a nossa ação fiscalizadora».
Em ocasiões anteriores, a CNPD já havia confirmado que não foi consultada pelo Governo durante a elaboração da proposta de lei que executa o RGPD em Portugal. A CNPD deverá agora ser convocada pelo Parlamento para dar a conhecer a sua posição sobre a proposta de lei governamental.
Na passada sexta-feira, a Exame Informática consultou vários partidos no sentido de saber se Portugal conseguiria cumprir os prazos necessários para chegar a 25 de maio com a execução, que transpõe o RGPD para a legislação nacional, já promulgada.
Nesse texto, foi possível apurar que, tendo em conta que o Governo fez chegar a proposta de lei para execução do RGPD no final de março e o debate na generalidade foi agendado para 3 de maio, é altamente improvável que a legislação seja aprovada antes de 25 de maio. Para que esse cenário se tornasse possível seria necessário que os debates, a aprovação, a promulgação e a publicação no Diário da República fossem feitos em apenas 17 dias úteis.
No caso muito provável de a lei de execução do RGPD não ser promulgada antes de 25 de maio, o novo Regulamento europeu é transposto automaticamente para as leis do País, mas sem haver uma lei que determine máximos das coimas, entidades supervisoras ou fiscalizadoras.
Entre as principais novidades da proposta de lei, figuram as coimas máximas de 20 milhões de euros para empresas e a isenção de coimas para entidades estatais; a dispensa de autorização na videovigilância; a constituição de encarregados de políticas de privacidade; e a idade mínima de tratamento de dados sem consentimento de encarregados de educação que passa a estar fixada nos 13 anos.