Uma lei que ainda é projecto
Aprovada no Parlamento Europeu, esta regulamentação, contrariamente às directivas, não exige legislação que seja aprovada pelos diferentes governos. No entanto, o Governo português fez chegar uma proposta de lei para execução do RGPD no final de Março, com o debate na generalidade agendado para 3 de Maio. Ou seja, seria improvável que a legislação fosse aprovada antes de 25 de Maio. Efectivamente, não foi. Assim, o novo Regulamento europeu foi transposto automaticamente para as leis do País, mas sem haver uma lei que determine máximos das coimas, entidades supervisoras ou fiscalizadoras. «O Regulamento não necessita de transposição para a nossa lei. Aplica-se directamente em todos os Estados-Membros e da mesma forma». Aliás, a proposta de lei apresentada pelo Governo português, que entre outras novidades contempla coimas máximas de 20 milhões de euros para empresas, foi altamente criticada pelo facto de sugerir a isenção de coimas para entidades estatais. A reter, por isso, que pode haver multas mesmo a lei não tendo sido promulgada em Portugal.
Urge bom-senso
A Comissão Nacional de Protecção de Dados (CNPD) é a entidade que supervisiona as políticas de privacidade. Mas, até agora, com «pouca visibilidade» e «força», admitiram à businessIT vários intervenientes no sector. Agora, com o novo RGPD, a CNPD passa claramente a assumir uma componente de fiscalização e aplicação de coimas. Algo que preocupa a própria presidente da Comissão, Filipa Calvão, que já veio à comunicação social comentar a escassez de recursos com que a entidade se tem debatido nos últimos anos, podendo estar em causa o desempenho eficaz da acção fiscalizadora.
«É claro que a CNPD tem de ser dotada dos meios para fazer cumprir o regulamento de uma forma efectiva e não de uma forma discricionária», esclareceu David Oliveira. Esta forma discricionária para a qual o director da EY alerta foi, de resto, alvo de preocupação por parte de todos os contactos que encetamos. Sem excepção, foram-nos admitindo que será fácil encontrar entidades que estejam em incumprimento e aplicar coimas. Esperam as empresas que haja algum bom-senso na aplicação das sanções inerentes ao Regulamento. David Oliveira também concorda. «Será mais benéfico que a CNPD tenha um papel didáctico, apesar de obviamente o seu papel ser penalizar quem não cumpre».
Podemos fazer uma analogia entre o RGPD e a adopção do cinto de segurança. Ou a legalização do software. Em ambas as situações, apesar das multas já estarem em fase de aplicação e as coimas aplicáveis, a verdade é que as entidades que fiscalizavam os incumprimentos tiveram, numa primeira fase, uma acção claramente didáctica. Apesar de tudo, as empresas receiam que esta “arma” possa servir para um auto-financiamento ao regulador.
Uma coisa parece mais do que consensual a todos com quem falamos: a protecção dos dados é vital. E, num cenário perfeito, até seria desnecessário um Regulamento Geral da Protecção dos Dados. Os governos, as empresas, as entidades e insitutições, deviam já ter implementado medidas que garantissem a segurança e a privacidade das informações dos clientes e cidadãos. Até porque, comentava-nos alguém, esta é a era de ouro dos dados, sendo que é dos nossos dados pessoais que estamos a falar.
