Assisti, recentemente, a um episódio curioso numa instituição bancária, enquanto aguardava pela minha vez de ser atendido: um funcionário do banco procurava explicar a um cliente quais os passos que o mesmo devia dar para aceder ao seu mapa de obrigações de crédito junto do Banco de Portugal. “Vai à net. Pesquisa no Google. Depois põe o seu número de contribuinte, etc…”.
Ao ouvi-lo dar a explicação pela terceira vez, comecei a ficar enfurecido, uma vez que tinha o tempo contado. Sendo algo que para mim era tão simples e intuitivo, só percebi a verdadeira dificuldade do funcionário, e do próprio cliente, quando este último se levantou para sair e eu o puder ver: teria mais de setenta anos. Nele, eram evidentes o semblante pesado de quem não tinha compreendido nada e a derrota de quem não ia conseguir executar qualquer um dos passos necessários para resolver o seu problema. O sentimento daquele senhor era de tempo totalmente perdido e de profunda impotência.
Pode parecer apenas um momento caricato, mas demonstra bem como nem todos estamos a apanhar o comboio da enorme revolução social e económica que atravessamos. Neste novo “modus vivendi”, em que empresas e consumidores se tornaram cada vez mais digitais e onde prestadores de serviços e consumidores ainda procuram relacionar-se da melhor forma, ao mesmo tempo que tentam entender os direitos e obrigações deste “admirável mundo novo”, é ao legislador que compete ser claro, conciso e até educativo nos diplomas que aprova.
A União Europeia tem feito um esforço significativo para criar regras e proteger os direitos dos cidadãos. Compreendeu, antes de os próprios Estados-Membros o fazerem, os riscos, a falta de preparação e a necessidade de criar ou reforçar os direitos destes na economia digital.
De entre todos, vale a pena realçar o Regulamento Geral sobre a Proteção de Dados Pessoais (RGPD) de 2016, que oferece um catálogo de direitos aos cidadãos, mas também impõe uma série de obrigações às entidades, quando na sua atividade necessitem de recorrer a elementos que identificam uma pessoa em concreto –
desde o modo como recolhem essa informação até à forma como a guardam ou a eliminam.
Posteriormente, a União Europeia estabeleceu uma “Estratégia da UE para os dados”, com o objetivo de “colocar as pessoas em primeiro lugar no desenvolvimento de tecnologias e defender e promover os direitos europeus no mundo digital”. Muitos outros textos, diretivas ou regulamentos podiam ser exemplos desta tentativa de assegurar os direitos dos cidadãos europeus, sendo o último deles a aprovação de um Regulamento com vista a estabelecer normas de utilização de sistemas de Inteligência Artificial, aprovado pelo Parlamento Europeu a 13 de março de 2024.
Durante todo este tempo e toda a procura de regulamentar a nova realidade, o Estado português apenas foi chamado a intervir para enquadrar o RGPD com a aprovação de uma Lei nacional. Algo que fez em agosto de 2019, com a Lei 58/2019. Mas apesar do largo hiato de tempo disponível – convém recordar que o RGPD entrou em vigor em 2018, apesar de ter sido publicado em 2016 – o Executivo fê-lo através de uma redação atabalhoada, pouco pensada e incoerente na organização sistemática no quadro do ordenamento jurídico português.
A título de exemplo, esta Lei já atrasou inúmeras decisões judiciais e gastou demasiadas horas aos tribunais, apenas para se tentar entender qual seria a jurisdição competente para julgar as infrações ao RGPD.
É tal a confusão que o Tribunal de Conflitos, a quem cumpre decidir a que tribunal compete tramitar determinado processo e proceder ao seu julgamento, já proferiu Acórdãos a dizer o mesmo e o seu contrário em matéria de violações ao RGPD.
Por outro lado, a mesma Lei criou uma profunda injustiça sistémica no ordenamento jurídico. Hoje, uma coima que pode ascender a milhões de euros, em resultado de uma violação ao disposto no RGPD, prescreve em apenas três anos, acrescido de metade. Já uma coima de outra natureza, punida com um de valor superior a €49.879,79, aplicando o regime geral das contraordenações, prescreve ao fim de 5 anos, acrescido de metade.
Que é como quem diz: de forma totalmente surpreendente, o legislador português considerou bastante fácil aplicar o RGPD ao comportamento das diversas entidades, sem cuidar de compreender que a prova de qualquer incumprimento é altamente técnica (a maior parte das vezes implica conhecimentos informáticos superiores) e sem tão pouco cuidar de ponderar o elevado valor das coimas, que obviamente leva(m) as entidades (infratoras) a defenderem-se deitando mão a toda a sua capacidade técnica e a utilizarem-se de todos os recursos legalmente disponíveis para não proceder ao pagamento.
Isto tudo sem mencionar que a Lei 58/2019 deixou a entidade responsável por instaurar os processos contraordenacionais por violação do RGPD (a Comissão Nacional de Proteção de Dados) sem capacidade de recorrer das decisões que os Tribunais venham a tomar após a aplicação da coima.
Na prática, a Comissão Nacional de Proteção de Dados (CNPD) instaura os processos contraordenacionais, instrui os mesmos e, caso decida aplicar uma coima que venha a ser contestada pela entidade infratora, vê-se impedida de defender o mérito da sua decisão em tribunal, e estando legalmente obrigada a deixar tal encargo ao Ministério Público. Sendo certo que esta última entidade apenas toma contacto com o processo no momento da impugnação da decisão da CNPD apresentada pela entidade infratora.
Apesar de tudo isto, desde o dia 10 de março – quando houve eleições legislativas – que o País não deixa de pensar, discutir e ponderar se este Governo dura uma legislatura inteira ou de que forma cairá. Logo na tomada de posse, o Primeiro-Ministro alimentou este debate e declarou que “este não é um governo de turno”. Sinceramente, não sei a quem interessa tal discussão, nem tão pouco se a mesma tem razão de ser. Pelo vazio que transporta e pela falta de valor acrescentado que gera. Quem detém o poder de governar, por pouco tempo que seja, pode fazer muito em prol dos que governa. Para isso basta estar atento.
Não é a duração do exercício do poder que carimba o sucesso, mas sim as medidas aplicadas e os seus resultados.
Para realmente servir os cidadãos durante os próximos 30 anos, o Governo não precisa de tempo. Precisa de vontade política para levar a proteção de dados pessoais a sério, começando por propor à Assembleia da República a revisão de uma Lei que é débil, inapta e injusta no quadro sistemático do ordenamento jurídico.
Sem depender do tempo de duração do Governo, alterar a redação da Lei 58/2019 é marcar uma clara prioridade na defesa dos cidadãos e, acima de tudo, contribuir para que não nos sintamos todos, brevemente, como o cliente de 70 anos no banco.
