Se está a ler este texto, é porque usa a Internet; se usa a Internet, é provável que tenha caixa de e-mail; e se tem caixa de e-mail, então é mesmo possível que tenha sido “inundado” com um sem número de e-mails (e também SMS) a solicitar o consentimento para o tratamento de dados ao abrigo do Regulamento Geral de Proteção de Dados (RGPD) que entra hoje em vigor. As intenções por detrás desses pedidos de consentimento até podem ser as melhores, mas isso não invalida o seguinte: a entrada em vigor do RGPD não obriga as empresas a enviar e-mails a clientes – desde que tenha havido uma relação comercial no passado, os propósitos do tratamento de dados não tenham mudado, e não estejam envolvidos dados considerados “sensíveis”. O que significa que muitos dos e-mails que têm sido enviados num último sprint para a conformidade com o RGPD simplesmente não têm qualquer justificação para terem sido enviados… a menos que as próprias empresas estejam a aproveitar o RGPD para acabarem com algumas situações menos recomendáveis.
«Foi o pânico e a má informação que levaram muitas empresas a enviar todos estes e-mails com pedidos de consentimento. Mas noutros casos, as empresas, na verdade, estavam a usar bases de dados que não eram as mais lícitas», explica Marco Saias, associado sénior do gabinete de advogados Raposo, Sá Miranda e Associados.
Luís Neto Galvão, especialista em proteção de dados na SRS advogados e consultor do Conselho da Europa, lamenta «a falta de orientações da Comissão Nacional de Proteção de Dados (CNPD)» e relaciona este súbito aumento do fluxo de e-mails com o atraso na proposta de lei que vai executar o RGPD em território nacional. «Estava toda a gente a contar com o período de seis meses de transição (que está previsto na proposta de lei do Governo), mas como a proposta de lei ainda não entrou em vigor, esse período de transição também acabou por não acontecer».
Os dois especialistas na proteção de dados admitem que muitos dos e-mails que as empresas têm enviado nos últimos dias a pedir consentimento (ou a solicitar a revisão de permissões) para tratar dados de clientes possam não ter uma justificação muito plausível – precisamente porque esses tratamentos de dados resultam de relações ou contratos comerciais, em que os consumidores já haviam explícita ou implicitamente dado autorização para o uso dessa informação.
Marco Saias acredita que muitas empresas nacionais terão comprado bases de dados de potenciais clientes no passado, sem terem solicitado o consentimento dos titulares desses dados. «As próprias empresas que vendem esses dados, provavelmente, também não pediram o consentimento para tratar os dados dessas pessoas», acrescenta o advogado.
As empresas especializadas na comercialização de bases de dados poderão não ter pugnado por uma gestão muito criteriosa das bases de dados, mas é possível que também já não venham a conseguir sanar essa lacuna. Luís Neto Galvão acredita mesmo que o novo Regulamento possa tornar-se uma grande ameaça para muitas dessas empresas. «O RGPD determina que todas as empresas especializadas na comercialização de bases de dados para outras empresas tenham de obter o consentimento dos consumidores. Para este tipo de negócios, respeitar o RGPD, é um desafio muito difícil de ultrapassar, porque é muito difícil essas empresas obterem o consentimento dos consumidores», refere o advogado da SRS.
A proposta de lei que faz a execução do RGPD para Portugal define os vários elementos de ordem prática que devem ser seguidos pelas autoridades, para que o novo Regulamento possa produzir efeito (além das coimas, a proposta de lei determina o raio de ação da CNPD, entre outras coisas). Uma vez que a proposta de lei ainda está em debate na Assembleia da República (AR), Portugal terá de “viver” com uma realidade híbrida: por um lado, é o Regulamento europeu que está em vigor, mas por outro lado, as coimas, a intervenção da CNPD, ou outros aspetos de ordem prática não podem ir além do que prevê a legislação nacional em vigor desde 1994, uma vez que a execução do RGPD se atrasou em Portugal. Pelo que os 20 milhões de euros de coima máxima prevista para as empresas pela proposta de lei do Governo poderá até nem chegar a ter valor de lei, caso o Parlamento proceda a alterações no diploma.
Eis uma súmula de cenários que pretendem ajudar a perceber quando o consentimento para o tratamento de dados pode ou não ser aplicado. A informação aqui disponibilizada tem por base a recolha de depoimentos junto de Luís Neto Galvão e Marco Saias:
– A regra principal é simples: se já há uma relação comercial anterior que levou à cedência de dados pessoais, as empresas não têm de solicitar o consentimento para o tratamento de dados, desde que seja para anunciar ou abordar produtos ou serviços análogos aos que foram contratualizados no passado. Caso essa empresa pretenda tratar dados no âmbito de um produto ou serviço de tipologia diferente, que não tenha sido contratualizado no passado, então deverá solicitar o consentimento dos clientes
– Em casos de cumprimento de requisitos legais (por exemplo faturas), nenhuma empresa tem de solicitar consentimento para levar a cabo o tratamento de dados
– Categorias de dados especiais exigem quase sempre consentimento (dados clínicos, posições filosóficas, orientação sexual). As exceções resultam dos casos em que explícita ou implicitamente o consumidor já forneceu os dados ao abrigo de um contrato ou na inscrição de uma organização (exemplo: um hospital privado não precisa de solicitar o tratamento de dados que fazia antes do RGPD, caso não altere propósitos que constam no contrato; mas os novos cliente poderão ser instados a dar o consentimento)
– As empresas especializadas na comercialização de bases de dados têm sempre de pedir autorização para fazer o tratamento da informação dos consumidores
– Todas as empresas que pretendem recolher informação de consumidores para efeitos de comercialização de produtos ou serviços que nunca comercializaram junto dessas pessoas têm de solicitar consentimento. O que na prática significa que todas as entidades comerciais têm de pedir consentimento na primeira vez que abordam os consumidores.
– No Estado, muito poucas entidades estarão obrigadas a solicitar o consentimento junto dos cidadãos, uma vez que provavelmente estarão apenas a dar seguimento a obrigações legais
– No caso de mudar a finalidade inicial do tratamento de dados, a empresa tem solicitar o consentimento
