Muitas das empresas só acordaram para o Regulamento Geral de Proteção de Dados (RGPD) na véspera da sua aplicação, a 24 de maio do ano passado. Atemorizadas pelo valor das coimas, lançaram-se na impossível tarefa de tentar arrumar, nas poucas horas que ainda tinham pela frente, o desleixo acumulado de anos de incumprimento das regras relativas ao tratamento de dados pessoais.
A verdade é que, embora a legislação relativa à proteção dos dados pessoais em Portugal tenha mais de vinte anos, com a exceção de algumas empresas que tratam com dados e operam nos setores mais regulados da nossa economia, os assuntos relacionados com dados pessoais nunca mereceram a devida atenção e investimento por parte das empresas, ou vaga nas agendas dos conselhos de administração.
No entanto, quem, após a entrada do RGPD, optou por se manter num registo de indiferença e ignorar as profundas alterações introduzidas pelo diploma, encontrará um regulador que se despiu do manto de inércia moderada que o cobria e deixou claro que não irá ser benevolente com o incumprimento, ao condenar o Centro Hospitalar Barreiro Montijo numa coima de 400 mil euros.
Infelizmente, a boa vontade da CNPD em reforçar a proteção dos nossos direitos e elevar a proteção dos dados pessoais ao lugar de destaque que a Constituição e o RGPD lhe conferem, tem colidido com a dedicação incessante do Estado em desvalorizar o tema e diluído no desacato das entidades públicas.
A verdade é que tudo começou mal. Embora o Regulamento tivesse sido publicado a maio de 2016, com a indicação expressa de que se tornaria aplicável a 25 de maio de 2018, só em agosto de 2017, a nove meses da sua aplicação, decidiu o Governo constituir um Grupo de Trabalho no qual descarregou a difícil tarefa de apresentar, em quatro meses, sugestões para um texto legislativo adequado a adaptar a parte moldável do RGPD às especificidades da realidade Portuguesa.
Hoje, decorrido mais de um ano desde que o Grupo de Trabalho apresentou as suas conclusões e oito meses da aplicação do RGPD, Portugal aguarda ainda que a Assembleia da Republica discuta e aprove um texto para uma lei. Esta paralisação e impasse, expõe o Estado a coimas que podem atingir os 20 milhões de euros.
Isto porque, embora o RGPD se aplique tanto às empresas públicas como às empresas privadas, o legislador europeu atribuiu a cada Estado-membro, a possibilidade de decidirem, em consciência, se pretendem isentar o Estado do pagamento das elevadas coimas que o RGPD estabelece. Cada Estado-membro pode, assim, optar por isentar-se do pagamento das coimas, sendo para tal necessário que esse Estado adote uma lei interna que expressamente preveja essa isenção, caso contrário, ficará sujeito às coimas previstas no RGPD como qualquer privado.
Tudo indica que o Estado pretende implementar um regime de isenção que afastará as entidades públicas do pagamento de qualquer coima, ficando estas longe das pesadas consequências que o RGPD prevê para o seu incumprimento. Esta proposta de que o RGPD seja essencialmente para os particulares e que o Estado não deve estar sujeito a coimas pelo seu incumprimento, está bem expressa no teor da proposta de lei do Governo que nesta parte mereceu o apoio do PCP, a oposição do CDS e do Bloco e a indiferença manifestada pela falta de propostas do PSD para a área da proteção de dados pessoais.
Na verdade, esta ideia de tratamento diferenciado foi verbalizada pela ministra da Presidência logo no dia em que a proposta foi aprovada em Conselho de Ministros, com o argumento de que o RGPD “foi sobretudo pensado tendo em conta as grandes empresas multinacionais, para quem os dados, e muitas vezes os dados pessoais, são o seu negócio, em que assenta a sua atividade. Não foi tanto para a Administração Pública, que não usa os dados pessoais para o seu negócio”.
Idêntico distanciamento foi manifestado pelo próprio Presidente da Câmara Municipal de Lisboa, quando recentemente e em plena vigência do RGPD, veio defender a utilização indevida dos dados dos utilizadores da aplicação da EMEL, para sustentar o envio feito de mensagens para o telemóvel destes, com conselhos sobre a tempestade Leslie que afetou Portugal.
É pouco provável que esta isenção funcione como um incentivo para que as entidades públicas cumpram com as exigências do RGPD, mas é garantido que irá criar situações de grande desigualdade, nomeadamente, em áreas em que o Estado concorre diretamente com os particulares, como acontece por exemplo, na prestação de serviços na área da saúde, energia ou na banca. O facto das entidades privadas correrem o risco de vir a ser condenadas em coimas que podem chegar aos 20 milhões de euros impõe que estas sejam obrigadas a ponderar riscos, suportar encargos e fazer avultados investimentos, que as entidades públicas podem, simplesmente, desconsiderar.
Ora, embora a proposta do Governo em discussão na Assembleia da República preveja a criação de um regime de impunidade para os eventuais desleixos do Estado no cumprimento das regras e pelo desrespeito no tratamento dos dados pessoais dos seus cidadãos, a verdade é que, não existe ainda, ao dia de hoje, uma lei interna que valide essa isenção. Até que a Assembleia da República aprove a referida isenção, o Estado continuará sujeito ao RGPD em toda a sua extensão. Quer isto dizer que o Estado Português não está isento do pagamento de coimas pelo incumprimento do RGPD.
Mas a privacidade não nasceu com o RGPD nem termina com ele. Não pode ser esquecido que ao mesmo tempo que nos estamos ainda a habituar à convivência com o RGPD, as empresas deveriam estar a planear a implementação do Regulamento E-Privacy e do Código das Comunicações Eletrónicas que se prevê que entrem em vigor até 2020. Qualquer um dos diplomas irá exigir um esforço por parte das empresas. Espera-se, que desta vez, não fique tudo para o último dia.
