A partir de 25 de Maio de 2018 aplica-se o Regulamento Geral de Protecção de Dados Pessoais (Regulamento). Introduz um regime que visa dar resposta aos desafios colocados pela realidade dos nossos dias à protecção dos dados pessoais, em especial os decorrentes dos avanços tecnológicos da era digital, de que são exemplos as actividades online, tais como comunicar, comprar ou e-banking, ou as actividades offline como as relativas à recolha de dados genéticos ou dados relativos à saúde. Na origem do Regulamento está a mais alta prioridade política da UE na protecção real dos dados pessoais devido à importância em si mesmos ou para a promoção de outros objectivos prioritários, tais como a democracia baseada nos direitos humanos dos cidadãos, a dinamização do Mercado Único Digital, da Agenda Europeia de Segurança. Em paralelo, as opiniões públicas, os cidadãos e os consumidores ganham consciência da importância dos dados pessoais, muito devido a escândalos como aquele que envolveu o Facebook/Cambridge Analytica e que abalaram a confiança no ambiente digital ou no processo democrático.

O Regulamento aplica-se a todos os sectores económicos, inclusive ao dos serviços bancários, colocando a privacidade e a segurança dos dados pessoais no topo das prioridade das autoridades, dos agentes económicos, dos cidadãos e dos consumidores. Uma intenção central do Regulamento é o de atribuir ao cidadão o controlo sobre os dados pessoais, no pressuposto que são propriedade sua. Como destacou Filipa Calvão, presidente da Comissão Nacional de Protecção de Dados, em lúcida entrevista à TSF/Dinheiro Vivo em 07.04.2018, outra intenção “é transpor para as empresas a responsabilidade por aquilo que fazem. O problema é que as empresas portuguesas sentem que não estão preparadas para essa responsabilidade toda”. Faço notar que isto é tanto mais um problema porque as violações são punidas com coimas muito severas que, nos casos mais graves, podem atingir 20 milhões de euros ou até 4% do volume de negócios anual a nível mundial. A isto acrescem as sanções de natureza não-financeira, em especial as reputacionais, que em contexto de redes sociais podem originar uma explosão reputacional, com efeitos imprevisíveis, não podendo excluir-se a perda da licença social da entidade e assim o seu perecimento, como sucedeu com a Cambridge Analytica, que fechou portas como se infere de ter dado início aos procedimentos de liquidação.

Está perante todos que existe uma generalizada falta de preparação, em especial das Micro e PME's, a que acrescem muitas confusões e erros sobre conceitos-chave, inclusive na comunicação social. Um exemplo é que no Regulamento tudo gira em volta do consentimento. Tal não é exacto, posto que o consentimento é apenas um dos fundamentos legais que habilita ao tratamento de dados pessoais. Na verdade, o Regulamento prevê várias situações que dispensam o consentimento. Outro exemplo é a ideia que o cliente tem direito a exigir o apagamento dos dados. Também este direito não é um direito absoluto e o seu exercício tem que ser ponderado em face do cumprimento de obrigações legais, nomeadamente as referentes à prevenção do branqueamento de capitais, do financiamento do terrorismo ou da evasão fiscal. Outros domínios essenciais onde se verifica impreparação respeitam à articulação da protecção dos dados pessoais com os domínios da cibersegurança. Tudo isto exige uma atitude de responsabilidade social, tanto quanto exige uma atitude de disponibilidade, inclusive financeira, para a contínua adaptação e aprendizagem dos avanços tecnológicos e regulatórios dos nossos dias, em especial os referentes ao ambiente comunicacional baseado no ciberespaço, que desencadeou um efeito da maior importância: a afirmação da reputação como new commodity. Acrescem os novos perigos do novo ambiente estratégico, tais como os da “information weaponising”, de que são exemplos as “fake news” ou “desinformação online” e para os quais a maioria da sociedade não despertou.

Inegavelmente, as empresas neste repentino e severo contexto são desafiadas a esbater a clivagem entre o ambiente digital e o ambiente físico e a reforçarem a percepção das partes interessadas sobre a preparação/capacidade de prestar serviços adequados às realidades dos nossos dias, incluindo no que respeita à segurança, privacidade e transparência dos dados pessoais. Razões devido às quais venho advogando que o Regulamento é antes de mais um teste à real capacidade do tecido empresarial de se adequar aos desafios da transformação digital, e de operacionalizar uma perspectiva de gestão reputacional, que defino como sendo aquela que prioriza a longevidade institucional através do reforço da qualidade da empresa (marca), como intermediário de confiança. Perante tudo isto entendo que é urgente mais e melhor apoio do Estado nesta fase de transição e mudança, marcada por uma generalizada ciberignorância, em que as ciberameaças são mais perigosas e mais próximas do que se pensa. Será que vamos a caminho de um Pedrógão Grande nos dados pessoais?