O Governo apresentou esta quinta-feira na Assembleia da República o RGDP português, mais light para as PME e comunicação social, virtual para o Estado. Mas a lei vai seguramente sofrer alterações na especialidade por imposição dos parceiros da maioria parlamentar. Dificilmente, porém, estará promulgada dia 25.
O RGPD português é um caso de estudo da habilidade lusa em “suavizar” o ímpeto legislativo da UE. Com a apresentação na Assembleia da República, nesta quinta-feira, dia 3, da proposta de lei do governo nº 120/XIII, o Regulamento Geral de Proteção de Dados Pessoais (RGPD) aplica-se em Portugal de forma diferente, mais suave para PMEs, para a imprensa e jornalistas, e para já virtual para o Estado.
Comum a todos os partidos na assembleia foi a estupefação de terem menos de 22 dias para legislar sobre uma matéria complexa que é conhecida há 2 anos.
E fica a pergunta de todos: “O que vai estar válido no dia 25 de maio?” Ao que a ministra diz ser “um processo em construção!”.
O início da proposta de lei explica o posicionamento do Governo face ao RGDP: “isto não se aplica às nossas empresas”. Ou, nas palavras do documento: “O paradigma que esteve subjacente ao legislador europeu foi o das grandes multinacionais que gerem redes sociais ou aplicações informáticas à escala global, envolvendo a recolha e utilização intensivas de dados pessoais.(…) algumas das soluções jurídicas que foram plasmadas para esse universo revelam-se por vezes desproporcionadas ou mesmo desadequadas para a generalidade do tecido empresarial nacional e para a Administração Pública”.
Independentemente da “bondade” legislativa, o problema para o Governo era como lidar com um Regulamento hierarquicamente superior, sem cometer ilegalidades jurídicas. A solução passa por dois aspetos na aplicação das coimas:
Estratégia 1: O gravíssimo e o grave
Esta é a primeira das originalidades lusa; distinguir entre vilões e os apenas incompetentes.
- Muito graves: a violação dos princípios dos artigos 5º e 6º do RGPD (“licitude, lealdade e transparência”); do artigo 7º (consentimento ); do 9º ( dados especialmente sensíveis); do artigo 12º ( gratuitidade); do artigo 13º e 14º (omissão de informação relevante); assim como dos artigos 44º a 49º (transferência internacional de dados fora dos acordos europeus). Todas elas penalizadas com os já famosos 4% do volume de negócios mundial da entidade.
- “Apenas” graves: com 2% de coima ficam a generalidade das infrações do RGPD, nomeadamente aquelas que mais importam aos profissionais das tecnologias de informação, como seja o artigo 32º do RGPD (segurança do tratamento) e o artigo 33º (avaliação de impacto sobre a proteção de dados).
É claro que o governo quis minimizar a “fatura tecnológica” que o RGDP traz ao tecido empresarial português.
Estratégia 2: Antes de multar, veja-se o balanço da empresa
A segunda das originalidades do RGPD nacional é que a lei dá instruções claras à CNPD para não inviabilizar o futuro das empresas nacionais com coimas. Num pedaço de prosa legal suficientemente vago para a U.E. não reclamar, mas suficientemente concreto para a CNPJ não provocar danos irreversíveis nas empresas, o artigo 39.º (Determinação da medida da coima) estabelece que esta seja aplicada tendo em consideração: “o volume de negócios e o balanço anual,” e “a dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados”. Ou, dito de outra forma, além do volume de negócios (dado suficiente para a U.E.), veja-se se a empresa tem capacidade efetiva para pagar a coima sem fechar portas a seguir.
Outro ponto que o RGDP nacional vai consignar no seu artigo 24º é o do direito à informação (tratamento de dados pessoais para fins jornalísticos), uma forma de compatibilizar a proteção de dados pessoais dos cidadãos com a do direito constitucional da liberdade de imprensa.
Mas este artigo não foi ausente de polémica parlamentar, porque dá à CNPD uma competência de “arbitragem” de interesses entre a comunicação social e os eventuais queixosos. Ser colocada essa capacidade num regulador é algo totalmente intolerável, um órgão que é, em última instância, um órgão de nomeação governativa.
Favorável neste artigo 24º é que, num mundo onde cada cidadão parece ser produtor de informação, o ponto 5º deixa claro que as exceções ao RGPD são aplicáveis apenas aos órgãos de comunicação social e aos jornalistas cuja legislação nacional dá o acesso ao exercício da profissão.
Se a esquerda é a grande defensora da grandeza e bondade do Estado, então fica para o registo histórico que nem o Bloco de Esquerda concorda com as exceções propostas pelo governo para isentar o Estado de obrigações com o RGPD.
A intervenção do deputado bloquista, José Manuel Pureza, é especialmente relevante quando a lei tem oposição segura do CDS e do PSD, que adjetivam de vergonhoso a forma como o Estado se isenta por 3 anos (no mínimo) face ao setor privado.
O que o governo vai agora negociar com o BE é uma dúvida, mas seguro é que o BE colocou publicamente linhas vermelhas, entre as quais a possibilidade de o Estado usar dados pessoais para fins que não os consentidos pelos cidadãos.
Existem duas possibilidades para o governo ter apresentado, a 22 dias do RGPD, a lei nacional quando conhecia a regulamentação europeia há 2 anos, que tem prevalência hierárquica sobre a lei nacional: ou pela total incompetência do governo ou pela apresentação à assembleia de um facto consumado.
Se foi o último caso não resultou. Todos os partidos (à exceção do PS) querem levar a proposta de lei à especialidade e os deputados afirmam que não vai estar pronto a tempo de o Presidente assinar, a 24 de maio.
Portanto, no dia 25, pode ocorrer uma situação insólita: o RGPD entra em vigor, a atual lei de 67/98 não estará revogada, a CNPD provavelmente não terá o seu novo estatuto pronto, e a proposta de lei 120/XIII estará ainda em trabalhos de especialidade.
Salve-se o facto de estarmos em Portugal.
Pode ler a proposta de lei na íntegra aqui