O dia 25 de maio de 2019 marca 1 ano de vigência do Regulamento Geral de Proteção de Dados (RGPD).
Após a histeria que se viveu em maio de 2018, em que assistimos a um multiplicar de mensagens e emails enviados por uma quantidade infindável de empresas e outras organizações, muitas delas sem qualquer enquadramento legal, mal construídas e atentando até o próprio Regulamento, passamos a uma fase em que muitas organizações quase deixaram de pensar no RGPD. As razões podem ser as mais variadas e podemos sintetizá-las da seguinte forma:
-
implemento?
-
não implemento?
-
estou obrigado?
-
não estou obrigado?
-
quem está obrigado?
-
aplica-se a todas as organizações?
-
não se aplica ao setor público?
-
as IPSS têm um regime especial?
-
devo apostar em empresas certificadas em RGPD?
-
devo contratar DPOs certificados?
-
a CNPD nada pode fazer se não houver lei nacional?
-
quem aplica as coimas?
-
alguém pode aplicar coimas?
Assumi interrogações, como poderia ter assumido exclamações ou até simples afirmações.
Numa conferência promovida pela Rádio Renascença sobre este tema, foram avançados dados interessantes sobre esta matéria.
O Governo e o Grupo de Trabalho do Parlamento para a Proteção de Dados reconhecem a importância da aprovação da Lei nacional. Com votação prevista na Assembleia da República para o início do mês de junho de 2019, há várias situações que ainda carecem de clarificação:
-
dar mais 6 meses para regularizar o consentimento?
-
aplicar sanções mais baixas e eventualmente em escalões?
-
atribuir um prazo dilatado para os organismos públicos?
-
diminuir para 13 anos a idade do consentimento?
Neste turbilhão de dúvidas – estranho, pois já passaram 12 meses da aplicação definitiva do Regulamento e 37 meses da aprovação do RGPD – há um facto inquestionável: o RGPD está em vigor, a Comissão Nacional de Proteção de Dados (CNPD) tem toda a legitimidade de atuação e as organizações devem adotar todas as medidas necessárias e adequadas à proteção dos dados pessoais de pessoas singulares.
O Regulamento Europeu vigora e as coimas são pesadíssimas. Segundo a presidente da CNPD, é esse o principal fator indutor da aplicação deste Regulamento. Aliás, a proteção de dados já está regulada e legislada há mais de 20 anos. O que este novo Regulamento vem fazer é, dito de uma forma simples, adequar-se a uma nova realidade, introduzir alguns ajustamentos e sancionar com maior veemência.
A Lei nacional não é condição para a aplicação do Regulamento. Contudo, é importante para clarificar algumas situações, como é o caso da recolha do consentimento pelas Seguradoras, dos prazos para a conservação dos dados, entre outros.
Em Portugal, um dos 2 países europeus que ainda não aprovou Lei nacional, já foram apresentadas 274 queixas, tendo a CNPD atuado em 263 dos casos e tendo sido aplicadas quase meia dezena de coimas.
Estes dados permitem contrariar a ideia vigente: de facto, não só a CNPD pode atuar sem a aprovação da Lei nacional, como está mesmo a atuar.
Neste sentido, é importante que todos reconheçam a obrigatoriedade de implementar medidas de tratamento e proteção de dados pessoais.
O Governo estima em 140 milhões de euros o impacto do RGPD em Portugal. Não há retorno! Não há exceções! Há um trabalho a realizar! E com a maior brevidade possível.
A simples ausência de controlos de acesso, físico ou tecnológico, é uma falha de segurança e pode dar origem a sanções. Nos seus trabalhos de implementação do RGPD, os consultores F3M têm detetado e ajudado a corrigir inúmeras situações: ausência de consentimentos adequados, acessos desregulados, falta de informação aos titulares de dados pessoais, não observância de qualquer prazo de conservação de dados, não observância do princípio da minimização na recolha e tratamento de dados, ausência de informação sobre os sistemas de videovigilância e tantos outros.
Este apoio tem-se revelado fundamental às organizações e confirma tudo aquilo que sempre defendemos, desde o início deste processo: o RGPD não pode ser visto como um mal, mas como uma oportunidade única de pararmos, olharmos e pensarmos as organizações e os seus processos de gestão, de forma a torná-los mais organizados, mais seguros, mais eficazes e mais eficientes.
Em junho, e caso a Lei nacional “veja”, finalmente, a “luz do dia”, trarei a este espaço as novidades que nela estarão incluídas.
Autor: Filipe Cruz