Terminados os dois anos do período de transição, o Regulamento Geral para a Proteção de Dados (RGPD) entra hoje oficialmente em vigor em todos os Estados-membros da União Europeia. No entanto, em Portugal, a proposta de lei que vai legislar as novas medidas europeias ainda está em discussão na Assembleia da República. Sem a lei não há autoridade nacional de controlo, não há coimas e não há fiscalização.
“Parece-me que houve algum desleixo em matéria de implementação”, disse ao i Armando Veiga, advogado e professor especializado na área da proteção de dados. “O RGPD entra em vigor a 25 de maio [hoje] mas se a lei que está em discussão não for aprovada e entrar em vigor, a Comissão Nacional de Proteção de Dados (CNPD) não tem condições para fiscalizar e aplicar coimas porque é nesse projeto de lei que estão definidos os montantes mínimos e máximos das coimas”, explicou, acrescentando que este atraso estabelece “um período transitório suplementar para as entidades privadas na aplicação do regulamento”.
A previsão de Veiga para o início do processo de fiscalização – depois de aprovada a lei, aprovados os estatutos da CNPD e com o verão pelo meio – é setembro ou outubro. E deixa um alerta: este atraso “amputa também os direitos dos utilizadores”, uma vez que “um utilizador que queira apresentar queixa à CNPD vê os seus direitos reduzidos e limitados por falta da aprovação da legislação”.
Filomena Girão, advogada na FAF – Advogados, também denuncia a falta de ação do governo. “Eu acho que é uma dificuldade que tem a ver com o nosso habitual procedimento – que tem muitas vantagens e, se calhar, faz parte do nosso património luso – que é ter esta capacidade de fazer tudo à última hora”, brincou a advogada.
E este atraso vem – quase – assumido na proposta do governo quando determina um novo período transitório destinado às empresas da administração pública. No artigo 44.º do projeto de lei está explícito que “não se aplicam às entidades públicas as coimas previstas no RGPD e na presente lei”, estando referido mais à frente, no artigo 59.º, que esta exceção “deve ser objeto de reavaliação três anos após a entrada em vigor da presente lei”. “Isto no fundo é estar a dar mais três anos à administração pública para implementar o regulamento e dizer que daqui a três anos o regime sancionatório também se vai aplicar à administração pública”, explica Veiga. “Se a ideia é isentar, isentava pura e simplesmente.”
Para Pedro Costa, vice-presidente do Instituto de Contabilidade e Administração de Coimbra e professor de Informática, a diferenciação tem a ver com as “restrições à contratação pública”, o que dificulta o processo de regularização na administração pública em detrimento das entidades privadas.
“É evidente que, no limite, parece-me que há alguma falta de equidade no tratamento das empresas porque se a dificuldade existe para o Estado, também existe para as empresas”, afirma Filomena Girão. A questão é que as entidades públicas terão de seguir as regras presentes no RGPD, só não podem ser autuadas em caso de incumprimento. Mas como o novo regulamento permite aos utilizadores que iniciem processos judiciais quando os dados não estão a ser tratados corretamente, Armando Veiga teme que a administração pública possa “ser fortemente sancionada se os cidadãos começarem a pedir judicialmente o arbitramento de indemnizações por violação dos seus dados”.
A própria CNPD, num parecer sobre a proposta de lei, critica a isenção da administração pública. “O RGPD não pretende apenas regular, ou regular, sobretudo, os tratamentos de dados pessoais de grandes empresas, porque esses tratamentos não têm necessariamente maior impacto sobre os direitos fundamentais dos cidadãos do que os tratamentos realizados por entidades públicas (…) não tendo os cidadãos, na maior parte dos casos, como em relação a entidades privadas, alternativa ou possibilidade de escolha”, pode ler-se no documento. Segundo a CNPD a justificação dada de que “a aplicação deste regulamento resultará em encargos administrativos elevados, que em muitos casos não se encontram suficientemente justificados pelos benefícios obtidos com o novo regime de proteção de dados pessoais relativamente ao regime atual”, presente na exposição de motivos da proposta de lei, constitui “uma afirmação de princípio de que as ponderações do legislador europeus vertidas no RGPD não tiveram um resultado equilibrado e de que, por isso, às entidades públicas compensará, numa primeira fase de aplicação do RGPD, não cumprir o regulamento”.
A própria CNPD admitiu ao jornal “Público” não ter capacidade financeira e de pessoal para iniciar os projetos de fiscalização. O i enviou questões à CNPD sobre as alterações resultantes da entrada em vigor do RGPD, mas não teve resposta.
Mesmo com o atraso de implementação do RGPD, Filomena Girão está otimista. “Apesar das dificuldades, as empresas têm uma excelente oportunidade para rever procedimentos”, explicou, acrescentando que “as soluções são fáceis, com o acompanhamento jurídico e informático adequados”.
Para além da vertente de fiscalização, Armando Veiga alerta que é preciso da parte da Autoridade Nacional de Controlo investir na sensibilização à população. “Não é uma lei que resolve o problema da proteção de dados pessoais se as pessoas não estiverem sensibilizadas para esta matéria, os direitos que têm e os cuidados que devem ter”, alertou o professor, para quem “a única forma de nós controlarmos a nossa informação é percebermos que a partir do momento que é facultada, a informação pode ser mal gerida e mal utilizada”.