É fácil para qualquer pessoa já ter, pelo menos, ouvido falar do Regulamento Geral de Protecção de Dados (ou RGPD). É uma lei europeia concebida para uma era em que a informação de clientes e utilizadores é o motor de muitos negócios. O regulamento deu origem a discussão pública, a uma ampla cobertura mediática e, desde que foi aprovado, em Maio do ano passado, a uma avalanche de emails vindos de organizações a pedirem consentimentos aos utilizadores. Ainda assim, argumenta Alexandre Sousa Pinheiro, professor de Direito na Universidade de Lisboa, subsiste algum desconhecimento sobre o assunto. Por vezes, as entidades recolhem demasiada informação. Noutros casos, não sabem as obrigações que devem cumprir.

Sousa Pinheiro é coordenador de um livro sobre o regulamento (Edições Almedina, 2018) e fez parte do grupo de trabalho criado pelo Governo para apresentar uma anteproposta de lei sobre a adaptação do RGPD à legislação portuguesa – um processo que ainda está no Parlamento. Numa conversa com o PÚBLICO, num bar da Universidade de Lisboa, explicou que as novas regras estão a demorar a chegar ao quotidiano das pessoas e das empresas.

O que é que se entende hoje por privacidade? E há diferenças substanciais nesse entendimento entre EUA e Europa?

Aquilo que se passa relativamente à privacidade e à protecção de dados é uma diferença cultural essencialmente na origem dos termos nos EUA e na Europa. A privacidade começa com a “privacy” nos EUA, em 1890. O que está em causa quando se fala nesta matéria é a protecção da imagem das pessoas, particularmente quando estão no espaço público ou em episódios públicos. O artigo que esteve na origem de tudo isto, The Right to Privacy, um clássico da cultura jurídica norte-americana, baseou-se na tutela da imagem dos indivíduos quando estão numa ocasião social. E o que se procurou foi a protecção das pessoas relativamente a quem pudesse colher imagens sobre elas não autorizadas.

No caso da protecção de dados, o que está em análise é a informação pessoal. Toda a informação pessoal e não apenas a informação pessoal que possa ter que ver com o modo como o indivíduo é visto ou apreciado socialmente. O conceito de dados pessoais, que consta do RGDP, baseia-se em toda a informação que torna uma pessoa identificada ou identificável. Mas vai mais longe e diz-nos que é toda a informação relativa ao indivíduo, independentemente da questão da identificação. Por exemplo, a matrícula de um carro, será dado pessoal ou não? A resposta terá de ser positiva, porque é possível identificar o titular do veículo, ainda que não esteja a ser conduzido por essa pessoa.

Em termos jurídicos, vê muitas diferenças na forma como se aborda a privacidade e a protecção de dados nos EUA e na Europa?

Os EUA não são um estado que disponha de um órgão de controlo, tal como se encontra no direito europeu. Um dos grandes problemas que tem existido na relação entre EUA e Europa no plano comercial bilateral tem sido a legislação sobre protecção de dados. Atendendo a que o RGPD é aplicável para fora do espaço da UE, a posição das autoridades norte-americanas, aquilo que é sensível, vai no sentido de se procurarem aproximar ao regulamento. No futuro, talvez o regulamento venha a ser um instrumento padrão, não só na Europa, mas também externo à Europa.

O que acha da narrativa de que o RGPD é mais uma regulação europeia para fazer face à hegemonia das grandes tecnológicas americanas?

O RGPD conhece muitas narrativas. Essa narrativa relativa às multinacionais tecnológicas norte-americanas é uma narrativa com nexo. Hoje em dia, onde pode haver um tráfego de informação que possa afectar a privacidade das pessoas e também a dignidade das pessoas é nos motores de pesquisa. Quando aplicamos o que está no regulamento a motores de pesquisa, estamos dentro daquilo que é essencialmente uma vertente norte-americana. Não excluo essa narrativa. Mas não pode ser única relativamente ao regulamento.

Que avaliação faz do texto final do RGPD? E que margem têm os países para fazerem as suas disposições nas leis nacionais?

É extraordinária a diferença do texto final apresentado pela Comissão face ao que acabou por ser aprovado. O texto é muitíssimo complexo, e podia sê-lo menos. Agora, também temos de levar em consideração um aspecto. É comum dizer-se que os dados são o petróleo dos tempos actuais. Não podemos colocar os estados todos, ou a grande maioria, em uníssono perante questões economicamente tão sensíveis. É normal haver disposições no regulamento que remetem para os estados nacionais. Por exemplo, a privacidade no espaço laboral – o regulamento não toma uma posição definitiva.

Uma das questões em cima da mesa em Portugal é isentar de coimas a administração pública. Qual é a lógica subjacente a isto?

A tradição portuguesa vai no sentido de as entidades públicas serem responsabilizadas e não estarem isentas de coimas. O não pagamento de coimas pelas entidades públicas é a posição de muitos estados da UE. O que não significa que não exista um controlo apertado. O regulamento obriga a alguns investimentos, nomeadamente na tecnologia e segurança da informação, e o que se pretende é evitar que o investimento das entidades públicas, se não for feito, possa ser objecto de uma sanção da autoridade de protecção de dados.

Quase um ano depois, como tem visto a adaptação ao regulamento, tanto no sector público, como no privado?

Há muita divergência. Poder-se-ia esperar que em empresas de maior dimensão ou em entidades administrativas de maior dimensão houvesse uma maior preocupação com o cumprimento do regulamento. Por vezes verificamos que isso não existe. Onde há mais capacidade de investir, tem havido uma preocupação sensível. Nas pequenas e médias empresas tem havido dificuldades até em conhecer o que está previsto. Isto está a demorar algum tempo a entrar no quotidiano, quer dos cidadãos, quer das empresas.

Ainda não há efeitos palpáveis para os cidadãos?

Ainda não há, por muitos, a consciência de que não se deve recolher dados em excesso. Os dados devem ser recolhidos para finalidades determinadas. O que encontramos é entidades a fazerem recolhas de informação que não devem fazer. [Por exemplo,] a quantidade de situações em que é requerido o cartão do cidadão. Observa-se ainda muita literacia relativamente à matéria da protecção de dados e ao regulamento, por muito que dela se fale.