O Regulamento Geral de Proteção de Dados (RGPD) começou a ser aplicado em toda a União Europeia em maio de 2018. A Proposta de Lei n.º 120/XIII/3ª (GOV), que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, tendo sido aprovada na Assembleia da República a 14 de junho de 2019.
Existem ainda empresas, públicas e privadas, a não dar a devida importância a este tema. Contudo, agora que a aplicação do RGPD, em Portugal, se encontra devidamente esclarecida, este é o momento em que as empresas não podem adiar mais a sua implementação.
Temos de estar cientes de que esta legislação veio para ficar. Nesse sentido, devemos procurar a conformidade dos nossos processos internos relativos ao tratamento e circulação de dados pessoais.
É sempre importante recordar o facto de, segundo o Código Civil em vigor, “a ignorância ou má interpretação da lei não justifica a falta do seu cumprimento nem isenta as pessoas das sanções nela estabelecidas” (Livro I - Parte Geral, Título I - Das leis, sua interpretação e aplicação, Capítulo II - Vigência, interpretação e aplicação das leis, Artigo 6º).
Neste contexto, a decisão de não se investir, ou alegar desconhecimento, irá trazer consequências para as organizações, de cariz financeiro e reputacional, principalmente num momento em que as pessoas têm mais consciência dos seus direitos, liberdades e garantias nesta matéria. É necessário, então, clarificar todos estes pontos e tentar, desta forma, incentivar as organizações a aderir ao RGPD.
Segundo um estudo da Comissão Europeia, publicado a 13 de junho de 2019, a maioria das pessoas já ouviram falar do RGPD. Os resultados do estudo são fruto de entrevistas realizadas já este ano a aproximadamente 27 mil pessoas com a finalidade de apurar a sua perceção sobre a proteção de dados pessoais.
Três em cada quatro pessoas (73%) têm conhecimento de pelo menos um dos seis direitos fundamentais do RGPD. Uma em cada três pessoas (31%) estava ciente dos seis direitos que constituem a lei.
É possível aferir, perante os resultados do estudo, que os cidadãos são conhecedores das novas regras de proteção de dados pessoais e do seu direito à privacidade. De acordo com a Comissão Europeia, está a ser preparada uma nova campanha de consciencialização das pessoas sobre os seus direitos de privacidade.
O Regulamento Geral de Proteção de Dados tem como principais objetivos a garantia da privacidade, confidencialidade e integridade dos dados pessoais dos cidadãos da União Europeia. Pretende regularizar a legislação de proteção de dados pessoais em todos os países da UE e, evitar assim, potenciais problemas derivados das diferenças nas legislações de cada estado-membro.
Este Regulamento impõe o direito dos titulares dos dados, os cidadãos, à privacidade dos seus dados pessoais e garante que lhes seja dado completo controlo sobre como os seus dados estão a ser tratados e por quem. O titular dos dados tem o direito de acesso aos dados pessoais, retificação, apagamento ou oposição dos mesmos, de não ficar sujeito a tomada de decisões automatizadas, de reclamar junto da autoridade de controlo (Comissão Nacional de Proteção de Dados) e, por último, o direito à indemnização.
O RGPD aplica-se a qualquer organização sedeada na UE e pode igualmente aplicar-se a organizações que, apesar de sedeadas fora da UE, lidem com o processamento de dados pessoais de cidadãos europeus.
É extremamente importante uma correta implementação deste Regulamento, não só por questões legais, mas também por questões de reputação.
O incumprimento do RGPD pode levar a coimas substanciais que dependem do grau de gravidade da contraordenação. A Comissão Nacional de Proteção de Dados é a entidade responsável pela aplicação de coimas e está, portanto, encarregue de determinar a gravidade da contraordenação.
Foram também definidos valores máximos por coima pela União Europeia. Apesar dos valores aplicáveis às PME serem inferiores aos aplicados a empresas de maior dimensão, não deixam de ser um custo perfeitamente dispensável, custo esse que pode ser evitado através de uma correta implementação do Regulamento Geral de Proteção de Dados.
Para além dos custos legais, o incumprimento destas regras pode também levar a custos operacionais.
Será que as PME se podem dar ao luxo de antagonizar os seus clientes? A falha de proteção dos dados que lhe são confiados pode ter consequências a nível de reputação e perda de receita. Isto porque, os clientes, bem cientes do direito à privacidade da sua informação pessoal, podem facilmente perder confiança numa marca que toma essa confiança como adquirida e não se dá ao trabalho de proteger aquilo que é o seu maior ativo, os seus clientes.
Mais uma vez, estas são perdas evitáveis.
De forma a saber como garantir a proteção de dados bem como o legal processamento dos mesmos, é essencial, não só, perceber que tipo de dados devem ser protegidos, mas também, fornecer o controlo desses dados ao titular a quem eles pertencem.
O primeiro passo será entender a que dados a organização tem atualmente acesso. Estes podem ser dados pessoais tais como: nomes, moradas, endereços de email, dados bancários, fotografias e endereços de IP; ou dados sensíveis tais como: registos de saúde ou preferências religiosas.
Deverá ser garantido que esses dados são recolhidos e processados de forma correta e com o consentimento do titular. Os formulários de consentimento devem ser claros e explícitos de forma a que o titular entenda por completo que dados está a fornecer e para que propósito.
Deve também ser deixado explícito ao titular que os dados podem ser removidos e apagados a qualquer altura, se este assim desejar (direito ao esquecimento).
Igualmente importante à angariação de dados é o seu armazenamento.
Grande parte das falhas de proteção de dados advém de falhas de segurança nos sistemas informáticos onde estão armazenados esses dados. A cibersegurança tem, então, um papel essencial no que toca a este tema e deve ser tida como uma prioridade.
De forma a garantir que todos os processos estão de acordo com o Regulamento é obrigatória, em determinadas situações, a nomeação de um Encarregado de Proteção de Dados (o chamado DPO, Data Protection Officer) que oriente a organização, ajude a implementar as melhores práticas de tratamento de dados e, muito importante, monitorize o seu cumprimento.
Nos casos onde não é obrigatória a nomeação do DPO, é fundamental a existência de um responsável pelo tratamento de dados pessoais na organização. Em qualquer um dos casos, DPO ou não, poderá recorrer a uma prestação de serviços especializada.
O processo de diagnóstico, implementação e conformidade com o RGPD, apesar de complexo, tem o seu início com uma ação de sensibilização dos colaboradores em matéria de privacidade, confidencialidade e integridade dos dados pessoais.
As ações de sensibilização fazem com que os colaboradores, numa fase inicial, tenham a consciência de que, enquanto cidadãos, têm direito à sua privacidade e à forma como os seus dados pessoais são tratados, e que o mesmo se aplica enquanto responsáveis por tratar dados pessoais de terceiros.
Esta perceção ajuda no processo de diagnóstico e garante que as regras são devidamente implementadas, e que todos os procedimentos que envolvam qualquer tipo de dados pessoais sigam as práticas recomendadas.
Por ser um tema complicado e acima de tudo um tema prático mais do que teórico, é recomendado que as formações sejam frequentes e eficientes, não só no que diz que respeito ao âmbito do RGPD, mas também nas dimensões da segurança da informação e cibersegurança.
Um ano depois da implementação do Regulamento, de acordo com o Jornal Público, até fevereiro de 2019, “foram abertos 768 processos de averiguação, que tiveram origem em queixas, participações de autoridades e iniciativa da própria autoridade de fiscalização”.
Por outro lado, é do domínio público a existência de pelo menos 4 casos de incumprimento já processados em Portugal. Um deles foi o Hospital do Barreiro que foi submetido a 3 coimas cujo valor totaliza 400 mil euros.
Os restantes casos foram empresas privadas. Isto demonstra, não só, o grau de seriedade no que toca à aplicação do Regulamento, mas também o prejuízo que pode trazer a organizações que não estejam em cumprimento com o RGPD.
Qualquer pessoa que tenha sofrido algum dano proveniente do tratamento indevido de dados pode proceder à denúncia do mesmo e pedir uma indemnização pelo dano causado.
Assim sendo, e mais uma vez, é de extrema importância que os dados dos titulares sejam devidamente protegidos e angariados com o seu consentimento. Caso contrário, a empresa pode ser vítima de uma denúncia que pode vir a causar danos a vários níveis.
O investimento nesta área é importante, ajuda a prevenir custos potencialmente elevados, não só a nível legal, mas a nível de reputação da marca também.