Eu, tu e os meus dados. A visão geral da aplicação do novo RGPD

Vida Judiciária - maio 2018

Quando no passado dia 10 de Abril, no Senado dos Estados Unidos da América, Richard Joseph Durbin, mais conhecido por Dick Durbin - senador pelo estado do Illinois -, em audição ao CEO do Facebook a propósito do escândalo da Cambridge Analytica, perguntou a Mark Zuckerberg se podia revelar o nome do hotel onde esteve hospedado naquela noite, não estávamos perante uma indiscrição matreira. Assistia-se naquele preciso momento e para todo o mundo, a um curso rápido sobre a Ética da Reciprocidade.

Foi o momento em que os titulares de dados de todo o mundo, representados por Dick Durbin, puxavam em uníssono as orelhas ao fundador da maior rede social do mundo e o obrigavam a reconhecer, de uma assentada, dois princípios do novo Regulamento Geral de Protecção de Dados: 1. O da ilicitude do tratamento dos dados pessoais; 2. E o do consentimento. Mas isso, Zuckerberg não sabia!

Por partes,

O Regulamento Geral sobre a Protecção de Dados ao contrário do que se possam ventilar sob o efeito de uma euforia temerosa, não nasce para nós, europeus, a 25 de Maio do presente ano. O embalo já foi dado há sensivelmente dois anos atrás, quando é aprovado em Bruxelas, dando, aliás, a devida consagração, em matéria de dignidade da pessoa humana, ao artigo 1.º da Carta dos Direitos Fundamentais da União Europeia: A dignidade do ser humano é inviolável. Deve ser respeitada e protegida.

É neste pressuposto, do respeito pelos dados pessoais e pela sua privacidade, que a UE pretende através deste regulamento uma mudança de mentalidades. Mudança essa alavancada por uma série de práticas impostas a todos quantos detêm os nossos dados, e que nos farão sentir mais seguros e protegidos; mesmo quando não sabemos que estamos inseguros e desprotegidos. Ou não sabe que os seus dados pessoais podem ser vendidos?

Em abono da verdade, neste processo de mudança de mentalidades, a UE quer mostrar que está na linha da frente na protecção dos mais elementares direitos, pugnando, desde logo, pela aplicação - sem excepções - das mesmas regras a todos os 28 estados membros. O mesmo é dizer que todos, sem regimes excepcionais, terão de cumprir as mesmas regras, em pleno equilíbrio de concorrência face às entidades fora da UE, impondo assim que caso queiram utilizar os nossos dados, terão primeiramente de cumprir as nossas regras, fazendo figurar um chavão: 1 lei única, 1 autoridade única, 1 fiscalização única.

Para tal, necessário se torna que consigamos apreender princípios basilares que decorrem das normas legais inscritas no RGPD, sem os quais poderemos estar a abraços com brutais sanções. Mas como em tudo na vida, a mudança de mentalidades dá-se pela mudança de postura. Algum dia imaginava que era proibida a cópia do Cartão de Cidadão sem o consentimento do seu titular? Hoje, já não é só imperdoável incorrer nesta pratica ilícita, como de resto constitui contra-ordenação punível com coima.

Mutatis mutandis, existe nos nossos dias, um faz-de-conta viral que nos leva a consentirmos tudo, mesmo o que não entendemos. Um dos princípios norteadores deste regulamento é o do Consentimento, cujo vector fundamental é a necessidade do titular dos dados, saber qual a finalidade para a qual vão ser utilizados os seus dados. Ou por outras palavras, a necessidade que existe do consentimento do titular ser livre, específico, informado, explícito e prestado por acto inequívoco, ficando o ónus da prova de tal esclarecimento para o responsável do tratamento. Nesta matéria, alerta para as crianças que merecem protecção especial, porquanto por estarem menos conscientes dos riscos e consequências, bem como dos direitos inerentes ao tratamento dos seus dados pessoais, terão de ser representadas neste exercício pelos pais, quando menores de 16 anos, numa espécie de maioridade digital.

É com o preenchimento destes requisitos, nomeadamente a da execução de um contrato ou certas diligências pré-contratuais, para defesa de interesses vitais do titular dos dados, para cumprimento de uma qualquer obrigação jurídica a que o responsável pelo tratamento esteja sujeito, ou mesmo a necessidade de tratamento por motivos de interesse público, que se preenchem as condições de legitimidade para tratar esses dados - principio da licitude do tratamento -, artigo 6.º do RGPD.

Note-se que nesta matéria, Portugal não recebe qualquer lição uma vez que já a Constituição de 76, estava na dianteira quando consagrou na Lei fundamental o direito a conhecer a finalidade a que se destinam o tratamento dos dados, bem assim, como a ter acesso a esses mesmos dados, ao direito à informação, à rectificação e à actualização. Ora, o RGPD vem ampliar esses direitos conferindo aos titulares dos dados pessoais objecto de tratamento, o dever de serem salvaguardados pelo responsável pelo tratamento desses mesmos dados. Chama- se, todavia, atenção para a inclusão de direitos novos, entre eles o direito ao apagamento (direito ao esquecimento), direito à limitação do tratamento e o direito à portabilidade dos dados.

Centrando a atenção nas novidades, uma vez que direitos como o da informação, acesso e retificação dos dados decorrem quase sempre da prática do quotidiano, temos por um lado, o direito ao apagamento (artigo 17.º) que se consubstancia no direito de solicitar ao responsável pelo tratamento dos dados, a eliminação destes, e caso sejam públicos, o dever do responsável pelo tratamento, informar os restantes responsáveis de que o titular solicita o “apagamento das ligações para esses dados”, assim como de “cópias de reproduções”. Por outro lado, veja-se o direito à limitação de tratamento, sendo este direito, um autêntico prazo de validade, se se aplicar uma das situações do artigo 18.º.

Por fim, este regulamento confere aos titulares o direito de solicitarem ao responsável pelo tratamento dos seus dados, a transferência destes para outro responsável de tratamento - direito à portabilidade dos dados -, assim, sem mais. Mas para que se entenda a firmeza de aplicação, o RGPD prevê que deve ser fornecido aos titulares dos dados pessoais objecto de tratamento, um conjunto de informações – quando solicitadas -, seja nos casos em que a informação é recolhida na presença do titular, seja nos casos em que não. E há prazo: 30 dias!

No fundo este regulamento impõe a necessidade de atentar ao cumprimento de obrigações que antecipam os perigos a que estamos expostos, mas sobretudo da responsabilidade proactiva da entidade prover a uma documentação rigorosa de todos os dados. Não basta que que os RH emprateleirem todos os dados dos trabalhadores de uma determinada empresa, é necessário que os registem e tratem, pensando como tudo poderá ser estruturado (privacy bv design), e garantir que, independentemente do negócio, o titular confiará nos dados que o responsável detiver, sem desculpar se o negócio permite tal prática (privacy by default). Mas se julgamos que isto basta, desengane-se, a DPIA em inglês ou Avaliação de Impacto (AIPD em português), vida identificar e minimizar os riscos por incumprimento das regras de protecção de dados, permitindo que a organização antecipe potenciais problemas nas fases inaugurais do projecto.

Daí que a figura mais badalada seja a do Encarregado de Protecção de Dados ou DPO (artigo 37.º). Uma figura hibrida que reúne em sí conhecimentos jurídicos e de informática. Estima a UE que sejam necessários cerca de 55 mil DPO´s em todo o espaço comunitário. Este provedor dos dados pessoais, cuja designação para determinada organização visa informar e aconselhar a empresa sobre a conformidade da protecção de dados, vai monitorizar a conformidade da protecção de dados, nomeadamente através da realização de auditorias.

Dedo apontado para a Administração Pública que vai mesmo ficar de fora das multas do RGPD, num regime de isenção sem precedentes, desobrigando-a de pagar multas por acesso não autorizado aos dados, ou abusos no tratamento da informação. Resta saber se tal regime excepcional não será devido ao manifesto atraso de aplicação do RGPD na órbita da administração pública.

Para todos, os restantes mortais, as sanções, através da aplicação de coimas e outras medidas correctivas são as que já se conhecem: Até 20 Milhões de euros ou 4% do volume de negócios anual (artigo 83.º). Mas como ninguém coloca portas em casa só porque teme ser assaltado, antes porque se deseja a preservação da privacidade, também nesta matéria é, de novo, a mudança de mentalidade que impera e sobretudo a consciencialização de que corremos sérios riscos na forma como negligenciamos o tratamento dos nossos dados.

Num silogismo retórico em que partindo de premissas inaugurais, a conclusão é de que - ainda -, não estamos preparados para a catadupa de informação, regras e aplicação que teremos com a utilização deste novo regulamento. Embora a preocupação inicial seja essencialmente evitar as sanções inerentes à não aplicação deste diploma legal, certo é que a abrangência é bem mais ampla e séria.

Regressando ao Senado norte americano, a Associated Press registou um momento curioso (e preocupante!) em que se viam algumas notas de Zuckerberg onde era dada a indicação, a negrito, para que o CEO do Facebook não afirmasse, em momento algum, que o Facebook já está em compliance com o novo regulamento europeu.
Afinal estamos a falar de um negócio que movimenta milhões de dólares. Mas isso, Zuckerberg já sabe!

Submeter comentário
Whatsapp
Instagram