Há algumas semanas caixas de entrada dos correios electrónicos foram verdadeiramente “bombardeadas” por emails sobre privacidade, com as empresas a escreverem-nos – a nós, cidadãos –, em estado de pânico. O tema: Regulamento Geral de Protecção de Dados (RGPD). «Sim, aceito», eram as palavras em forma de ‘clique’ que as empresas queriam “ouvir”.
O Regime Geral de Protecção de Dados, que entrou em vigor a 25 de Maio, deixou o mundo empresarial em estado de sítio. Depois de meses a tentar compreender, afinal, o que era o regulamento, quais as medidas a tomar para a sua correcta adopção e quais as implicações do seu incumprimento, muitas empresas chegaram ao Dia D… na mesma. Ou seja, sem estarem preparadas.
Entre as muitas coisas, a nova lei da União Europeia veio regular o uso e exportação de dados pessoais dentro e fora da União Europeia, trazendo profundas alterações a como as organizações na Europa devem lidar com as informações pessoais dos seus clientes. E dos clientes dos seus clientes. O Parlamento Europeu, que aprovou este Regime Geral a 14 de Abril de 2016, descreveu o RGPD como «a mais importante mudança em vinte anos feita na regulação da privacidade de dados». É o mundo a legislar as tendências do novo mundo.
Além de que… é um grande negócio. Ou pode ser, mas isso falaremos mais à frente. Uma coisa é certa: se as organizações entrarem em conflito com o RGPD, poderão ser multadas em milhões de euros. Algo que, de resto, já exploramos no tema de capa de Julho do ano passado, no qual explicamos o regulamento, as suas imputações legais, ouvimos especialistas, advogados, consultores e as próprias empresas.
A história interminável
Facto: a aplicação prática do Regulamento Geral de Protecção de Dados já começou. Ao longo dos últimos meses muito se falou sobre o assunto, mas a verdade é que, à medida que o prazo legal de 25 de Maio se aproximava, havia dúvidas ainda por esclarecer. E após o uso indevido dos dados por parte do Facebook e da Cambridge Analytica, intensificou-se ainda mais a atenção pública sobre a questão da importância da privacidade dos dados. Faltava menos de um mês do RGPD entrar em vigor e um estudo do SAS, que inclui empresas portuguesas, revelava que 93% das estruturas empresariais ainda não estavam em conformidade com o novo regulamento.
Há quem vá mais longe e diga que ninguém está pronto para o novo diploma: nem as empresas, nem mesmo os reguladores. Após quatro anos de deliberação, o Regulamento Geral de Protecção de Dados foi oficialmente adoptado pela União Europeia em 2016. As empresas tinham dois anos para se prepararem em conformidade, o que é teoricamente muito tempo. A realidade veio demonstrar que é pouco.
No encontro com o Parlamento Europeu que ocorreu a 22 de Maio, a três dias do ‘Dia D’, ou ‘Dia RGPD’, Mark Zuckerberg disse que o Facebook estaria em conformidade com o regulamento dentro do prazo. Mas, se assim for, a empresa é uma minoria, sobretudo nos Estados Unidos. Numa pesquisa com mais de mil empresas conduzidas pelo Instituto Ponemon em Abril, metade disseram que não iriam cumprir o prazo, o que corrobora os dados fornecidos pelo SAS assim como por várias consultoras como a Capgemini, KPMG ou a Privacy Laws & Business.
Regras do jogo
Em Julho, já havíamos mencionado que o RGPD é um conjunto ambicioso de regras, desde requisitos a notificar os reguladores sobre violações de dados à transparência para os utilizadores sobre quais dados estão a ser recolhidos e a razão pela qual estão a ser recolhidos.
Mas, provavelmente o requisito do RGPD que mais dores de cabeça deu foi a solicitação de acesso aos titulares dos dados, já que os residentes na União Europeia têm o direito de solicitar acesso para rever as informações pessoais recolhidas pelas empresas. Esses utilizadores – chamados ‘titulares dos dados’ no “idioma” do RGPD - podem pedir que as suas informações sejam excluídas, corrigidas se estiverem incorrectas e até mesmo devolvidas ao “dono” em formato digital. Ou seja, uma grande parte de tornar-se compatível com o RGPD está em configurar as infra-estruturas internas para que essas solicitações possam ser respondidas.
Não há propriamente estimativas sobre a quantidade de empresas, quer portuguesas quer europeias, preparadas para o novo regulamento. Mas o facto de a maioria das consultoras divulgar um atraso – unânime – não é propriamente de estranhar. Há um ano, a TrustArc dizia que 61% das empresas nem sequer tinham iniciado a implementação do RGPD. Ao que tudo indica, países como a Alemanha, Reino Unido e mesmo Espanha, onde existem leis preexistentes de privacidade que se sobrepõem ao RGPD, tiveram um melhor ajuste no tempo, apesar de uma pesquisa realizada em Janeiro deste ano ter revelado que um quarto das empresas de Londres… nem sabia o que era o novo regulamento.
Mas parece geral o sentimento que o RGPD como um todo é um pouco complicado. O The New York Times descreve-o como uma «lei incrivelmente complexa e praticamente incompreensível para as pessoas que estão a tentar cumpri-la». Sendo que cientistas e gestores de dados duvidam que o cumprimento absoluto seja sequer possível.