Regulamento Geral de Proteção de Dados

No passado dia 3 de maio, o Jornal de Notícias (JN) publicou um artigo cujo título não poderia deixar de chamar a atenção de todos: “Coimas fechariam 90% das empresas”. Referia-se, claro, ao Regulamento Geral de Proteção de Dados (RGPD), Regulamento Europeu 2016/679, cuja entrada em vigor em pleno aconteceria, dias depois, a 25 de maio.

A génese do título assenta no panorama das empresas portuguesas e no valor máximo das coimas inscritas no RGPD. E até poderia ser mais dramático. Segundo a Pordata, dados de 2016, as micro, pequenas e médias empresas (PME) em Portugal representam aproximadamente 99,9% do tecido empresarial; já o INE, dados de 2008, indica 99,7% de empresas dessa dimensão; mas é comum a referência de que as PME representam 90% do tecido empresarial em Portugal, pelo que aceitemos esse valor.

Sem qualquer propósito na ordem de exposição, atentemos em primeiro lugar no artigo 83 do RGPD que define as coimas. Sim, os valores máximos são 10.000.000€ ou 2% da faturação para uns tipos de incumprimento e 20.000.000€ ou 4% da faturação para outros, aplicando-se em ambos os casos o valor mais alto. Mas esses são os valores máximos — o que não é descrito no artigo é que, de acordo com o considerando 148 (para pessoas singulares sujeitas ao RGPD) e o artigo 58, a coima pode ser apenas uma repreensão ou uma advertência. Nem tão pouco é evidente a quem o ler que a coima a ser aplicada é até o valor máximo. Crucial aqui é o até.

Quem está mais atento à questão da privacidade sabe que o RGPD foi discutido durante anos no Parlamento Europeu. Não duvidamos portanto que os partidos com eurodeputados sabiam da situação. E o governo também. Finalmente, foi publicado em abril de 2016. E que se passou em Portugal? Nada. Absolutamente nada.

Apenas em finais de 2016, e com mais regularidade a partir de meados de 2017, o assunto foi publicitado. É um lugar-comum dizer-se que os portugueses adiam os assuntos e só agem no último dia. Não pretendo dizer que seja verdade (nem tão pouco exclusivo dos portugueses), mas uma jurista monitora de uma ação de formação/sensibilização sobre o RGPD dizia, no início de 2017, que quando conversava com responsáveis de PME e alertava que a data de entrada em vigor em pleno era a 25 de maio de 2018 ouvia invariavelmente a resposta “ainda falta muito tempo”.

Como bem diz um dos citados na notícia do JN: “A nível informático não é fácil, as empresas não estão preparadas e a maioria não tem capacidade financeira para implementar tecnologia.” Interpreto a parte final desta frase não no sentido de aquisição pura e simples de tecnologia, mas sim como adaptação da tecnologia existente. E sim, não é fácil. Implica conhecimento técnico especializado que a maioria das empresas pura e simplesmente não possui.

Veja-se um caso prático e recente. Todos nós sabemos que os comerciantes foram obrigados a adquirir um sistema de POS para efeitos da comunicação à Autoridade Tributária (AT) das transações que faz. Aplaudimos essa obrigação pois tinha como fito a erradicação da economia paralela. Mas quando vamos a um café, a uma mercearia, a uma loja pequena, vemos ou sentimos que há um corpo tecnológico por trás? Ou um só elemento? Não, não existe.

A 4 de maio de 2017 o governo submeteu uma Proposta de Lei à Assembleia da República que contém entre outros aspetos o valor das coimas aplicável em Portugal. Que mereceu por parte da Comissão Nacional de Protecção de Dados (CNPD) um parecer em que discorda muito do proposto pelo governo, nomeadamente por excluir a repreensão ou advertência como penalização de incumprimento, substituindo-a por uma coima mínima de 500€.

Isto para além de a proposta diferenciar as coimas de acordo com a dimensão da empresa infratora. Pessoalmente concordo com a CNPD que a dimensão de uma empresa não está diretamente ligada ao volume de dados pessoais que possui e trata (no sentido de tratamento explicitamente descrito no RGPD) e que podem ser objeto de algo (como um data breach) que viole a privacidade dos cidadãos.

Finalmente, um aspeto que me confrange. Nos últimos meses tenho visto inúmeros anúncios de conferências, cursos, workshops e seminários sobre o RGPD. É o mercado a funcionar. Mas o que me preocupa é que a sua enorme maioria é exclusivamente jurídica. A componente jurídica é sem dúvida um aspeto crucial do RGPD, mas não é a única. A componente tecnológica é igualmente importante — nem me atrevo a dizer qual das duas é a mais importante — e, finalmente, a componente processual.

Este ponto parece-me o mais importante por ser o mais difícil de alterar. Estamos habituados a ter a secretária atulhada de papéis, alguns dos quais com dados pessoais (importa esclarecer que o RGPD alargou o conceito de "dado pessoal" pelo que os hábitos adquiridos podem deixar de ser válidos) que deixamos consecutivamente no mesmo local quando terminamos o dia de trabalho — o tampo da secretária.

Este hábito é um incumprimento do RGPD (assumindo que contém de facto dados pessoais) e tem de ser alterado. Deixamos pastas (eventualmente com dados pessoais) em estantes nunca fechadas. Mais um incumprimento do RGPD. Enviamos mensagens de correio eletrónico para vários destinatários, todos como recipientes da mensagem, ao invés de os colocarmos a todos como Bcc (blank copy). Mais um potencial incumprimento do RGPD.

Para além destes, muitos outros hábitos enraizados em todos nós podem ser elencados. Para muitos, são hábitos de dezenas de anos. E vão mudar assim facilmente? Não acredito nisso.

Hábitos mudam-se? Claro, basta recordar o cinto de segurança nos veículos. Mas com tempo. Com divulgação. Com uma avalanche de notícias, avisos, intervenções, etc. Lamento que em Portugal o assunto tenha tido prime time apenas a curtíssima distância do dia 25 de maio, e não o tivesse nos mais de dois anos desde que foi publicado o RGPD.