A (psicose da) proteção de dados!

Lembro-me de há uns anos, na altura da crise financeira, ouvir falar da psicose da crise. Em particular, lembro-me de, em conversas com o meu pai, ele reiterar que a psicose da crise estaria a agravar a situação já que as pessoas, por medo de esta persistir, estariam a poupar mais e a evitar compras.

Psicose, no meu singelo entendimento do assunto, retrata situações onde há algum distanciamento da realidade, podendo haver lugar ao raciocínio desorganizado. Julgo que estamos nesta fase no que à aplicação do novo Regulamento (UE) N.º 2016/679, ou Regulamento Geral de Proteção de Dados (RGPD), diz respeito. A fase da psicose da proteção de dados, ou se quisermos, da psicose do RGPD. Dito de outra forma, a generalidade das empresas não compreende plenamente o impacto deste regulamento, mas como todos têm de o respeitar, opta-se por mimetizar ações terceiras que pareçam fazer sentido neste contexto.

Um exemplo de tais ações é o do pedido de consentimento. A generalidade dos utilizadores de correio eletrónico, por essa Europa fora, têm sido fustigados com pedidos de consentimento por email. Embora seja fácil de perceber o racional por detrás de tais pedidos, o resultado destes pedidos é contrário aos objetivos das empresas e do RGPD, já que é baseado em ações proibidas à luz do RGPD, mas demonstra claramente a necessidade do RGPD.

Por um lado, enquanto empresa que detém de uma lista de endereços de correio eletrónico (ie, dados pessoais), que usa para enviar mensagens informativas e/ou publicitárias e para a qual não tem forma prática de comprovar que obteve consentimento por parte dos envolvidos, parece que a solução mais rápida e logisticamente mais simples, é a de pedir novo consentimento utilizando para tal a lista que já detém. Embora me pareça uma clara, e pública, assunção de culpa, esta ideia foi vista por estas empresas como um mal menor, desde que tal seja feito antes do final de maio de 2018, altura da entrada em vigor do RGPD e das suas famigeradas e enormes coimas. Faz-me lembrar um ralhete de pai: “prevarique-se, mas que seja a última vez...”.

Por outro, olhando para os dois anos que decorreram entre a publicação do RGPD e a sua entrada em vigor, seria de esperar que as empresas e organizações tivessem, nesta altura, somente comportamentos adequados. Não sendo as empresas e organizações capazes de perceber, durante o vacatio legis do RGPD, qual seria o impacto deste nos seus processos internos e de as levar a adotar práticas conformes, torna-se clara a necessidade deste regulamento. Tanto mais que a generalidade das suas disposições parecem saídas do senso comum, mas, mesmo assim, não são implementadas.

A título de remate, apraz-me dizer que o RGPD foi publicado a 27 de abril de 2016 com múltiplos propósitos. Reforçar e homogeneizar a proteção de dados pessoais em todos os estados membros foram dois destes propósitos. Os montantes máximos para as coimas foram previstos para fazer mossa a qualquer empresa de envergadura mundial, visando desta forma criar nestas empresas a necessidade de cumprir com a regulação de proteção de dados.

A necessidade de publicação como regulamento, de aplicação direta nos estados membros, deve-se ao facto de iniciativas legislativas anteriores, de que é exemplo a Diretiva 95/46/CE, não terem alcançado o nível de proteção desejado.