A partir da próxima sexta-feira, uma parte da nossa vida vai mudar, mas muitos ainda não se aperceberam da revolução. Falamos das novas regras de protecção de dados que vão começar a ser aplicadas em toda a União Europeia. Desde dia 25, sempre que quiser, por exemplo, fazer uma reserva online, adquirir um seguro, abrir uma conta ou inscrever--se numa escola terá que preencher um formulário a autorizar o tratamento dos seus dados pessoais. E quando o tratamento tem vários fins, a autorização não pode ser global, mas tem de detalhar cada um deles.

Por isso, poderá autorizar um mesmo hospital privado a usar os seus dados para a marcação de consultas, mas não para receber uma newsletter ou para o contactar no âmbito de sondagens de opinião.

A avalanche de emails com que provavelmente tem sido confrontado nas últimas semanas para autorizar o envio de newsletters tem a ver com a forma como essa autorização passa a ter que ser dada. Até agora, o consentimento podia ser tácito ou incluído numa longa lista de termos e condições que raramente são lidas. Isso deixa de ser válido e a entidade que possui os seus dados está a ser obrigada a pedir novamente essa autorização. Além disso, os formulários vão ter de ser “claros” e “concisos” e “utilizar linguagem fácil de entender”. 

Ora, como muitas empresas tinham tido acesso a emails sem cumprir estas exigências e, por vezes, nem possuem registos de como acederam ao correio electrónico dos destinatários, preferem jogar pelo seguro, para que, se forem auditadas, terem a prova de que os endereços virtuais foram obtidos de acordo com as novas regras. “Esse consentimento tem que traduzir uma manifestação de vontade livre, específica, informada e explícita”, resume Patrícia Cardoso Dias, professora da pós-graduação em Protecção de Dados da Universidade Autónoma.

Esta é uma das grandes alterações do novo Regulamento Geral de Protecção de Dados (RGPD), mas as implicações vão muito mais além. Luísa Neto, professora da Faculdade de Direito da Universidade do Porto (UP), nota que a próprio desenho dos sistemas informáticos que guardam os dados terão que respeitar determinados requisitos que garantam, por exemplo, que não estão a ser recolhidos mais dados do que os estritamente necessários para o fim que se pretende. “Terão que ser usadas as técnicas mais avançadas, ainda que atendendo aos custos da sua aplicação, para minimizar os riscos para a segurança dos dados”, completa a docente da UP.

Por isso, tanto as entidades privadas como as públicas têm estado a rever o desenho das suas bases de dados e a reanalisar os procedimentos que usavam. Por exemplo, a Associação Portuguesa de Seguradores, prepara-se há mais de um ano para o novo regulamento e garante que está pronta. “Documentamos muitos procedimentos para podermos mostrar como actuamos se formos alvo de uma auditoria. Nos computadores da associação passaram a só ser admitidas pens encriptadas. Desenvolvemos manuais de procedimentos e fizemos formação”, especifica o presidente, Galamba de Oliveira.

Mas as novas regras não se aplicam apenas às entidades que tratam os dados, mas também a terceiros que lhes prestem serviços e com quem partilham informações pessoais. “A Universidade do Porto está a rever todos os contratos que possui com terceiros que irão passar a ter uma disposição sobre a obrigação dessa entidade em cumprir o regulamento, por exemplo, no que diz respeito ao desenho dos sistemas”, concretiza Luísa Neto.

Muitas empresas decidiram igualmente actualizar os contratos de trabalho dos funcionários para enfatizar as regras de confidencialidade a que os trabalhadores estão sujeitos, por lidarem com muitos dados pessoais a nível, por exemplo, de um call center. Patrícia Cardoso Dias considera que é preciso sensibilizar quem lida com dados: “Em Portugal, não há uma cultura de proteger os dados pessoais e de respeitar a privacidade das pessoas”.

Confusão legislativa

A entrada em vigor das novas regras promete trazer alguma confusão à mistura. É que o regulamento europeu aplica-se directamente na ordem portuguesa, mas não estará, para já, adaptado à realidade nacional. Apesar de o diploma europeu ter sido publicado há mais de dois anos, dando esse período para os Estados-membros se adaptarem, em Portugal a proposta de lei do Governo que executa o regulamento só entrou no Parlamento em finais de Março onde ainda está em discussão. Tal significa que o regulamento coexistirá com a actual lei de protecção de dados, de 1998, que afastará apenas na parte em que os dois textos forem contraditórios. “Obviamente, isto vai ser confuso”, admite Luísa Neto.

Mas este não é o único problema. É que o paradigma da protecção de dados vai mudar de uma lógica de controlo prévio para um modelo de auto-regulação. Para dissuadir incumprimentos, o regulamente determinou coimas pesadíssimas que no caso das infracções muito graves podem atingir os 20 milhões de euros ou 4% do volume de negócio anual de uma multinacional. O novo modelo implica que as autoridades de controlo, como a Comissão Nacional de Protecção de dados (CNPD), concentrem atenções na fiscalização, que implica inspeccionar entidades públicas e privadas em todo o país.

Mas a própria estrutura da CNPD não está adaptada às novas exigências, tendo a nova orgânica sido chumbada no Parlamento. Ouvida a semana passada no Parlamento, a presidente da CNPD, Filipa Calvão, garante que com os meios que tem a comissão “não tem condições” para garantir a fiscalização do regulamento. Filipa Calvão apelou, por isso, ao reforço dos recursos humanos da comissão, que conta com 20 funcionários. “Se não nos dotarem de meios, não conseguimos estar à altura da função”, frisou. Além da míngua de recursos humanos, a presidente sublinhou que não existe “orçamento para pagar vencimentos em Junho”.

Igualmente polémica é a opção do Governo e do PS de isentar as entidades públicas das coimas, um regime que seria reanalisado daqui a três anos. PSD, CDS e Bloco estão contra, tal como a CNPD, que realça no parecer enviado à Assembleia da República que a isenção “viola o princípio da igualdade e fragiliza a tutela dos direitos fundamentais dos cidadãos”, destacando que os tratamentos de dados pessoais realizados por entidades públicas “podem ser tão ou mais intensamente intrusivos” da privacidade e da liberdade dos cidadãos do que os realizados por entidades privadas. A comissão nota que tal constituiria um retrocesso, já que desde 1991 que a lei de protecção de dados sanciona da mesma forma entidades públicas e privadas.

Luísa Neto compreende os argumentos, mas realça que a diferenciação faz sentido face “às dificuldades de recursos humanos e financeiros.” “Se não tivermos isenção e face à dimensão das coimas, assistiríamos à falência das entidades públicas”, acredita. O Governo justifica a diferença pelo facto de o sector público não usar os dados pessoais com base no seu valor económic, mas apenas para dar cumprimento aos direitos dos cidadãos. Com Rita Marques Costa