Já passaram três anos desde que o RGPD entrou em vigor e a data pode ter sido interpretada como um “ponto de chegada” e “não como um verdadeiro ponto de partida” para implementar processos e procedimentos
25 de maio de 2018. Esta é a data que mudou para sempre a salvaguarda da privacidade dos dados por parte das organizações. Desde então – e, na verdade, já antes – muito se escreveu sobre o tema. Algumas multas foram sendo colocadas contra organizações que, num determinado momento, não cumpriram o Regulamento Geral de Proteção de Dados, ou RGPD. Portugal também aplicou multas. Cumprir o RGPDDaniel Reis, Sócio e Coordenador do setor de Tecnologia na DLA Piper em Lisboa (na foto à direita), indica que “o nível de cumprimento da lei varia muito”, até porque reflete “o nível de maturidade das organizações em relação ao tema da privacidade”. Para além da maturidade, Daniel Reis explica que “o facto que Portugal ter uma entidade reguladora muito passiva”, que se deve “em grande medida à falta de recursos humanos, técnicos e financeiros”, afeta de forma negativa “o cumprimento pelas organizações dos requisitos legais”. No entanto, ressalva, nos setores regulados e nas grandes empresas “o nível de cumprimento é elevado”. Baseando-se na sua experiência, Martim Bouza Serrano, Sócio e Coordenador da área de TMT da CCA, refere que, “independentemente do grau de maturidade das empresas face às exigências em privacidade bem como do investimento colocado nesta matéria, será praticamente impossível” cumprir o RGPD, “atendendo à extensão das obrigações, complexidade das atividades e necessidade de constante de monitorização e atualização, que muitas ou até alguma empresa (não apenas portuguesa) consiga atingir o cumprimento integral” da lei. Por seu lado, Elsa Veloso, Fundadora e CEO da DPO Consulting, acredita que, “em termos gerais”, as empresas portuguesas já cumprem o RGPD. “O RGPD deixou de ser um 'estranho' nas empresas para algo necessário com o qual é preciso estar alinhado e em conformidade no que diz respeito ao tratamento dos dados pessoais”, refere. Apenas o mínimo?Apesar de indicar que a proteção e a segurança da informação ser uma área em que existe bastante investimento por parte das organizações, Martim Bouza Serrano (na foto à esquerda) explica que “as obrigações em matéria de proteção da privacidade e defesa dos direitos, liberdades e garantias dos titulares dos dados” é “mais exigente” e que “carece de implementação de procedimentos”. Ao mesmo tempo, diz o Sócio e Coordenador da área de TMT da CCA, “existem ainda algumas lacunas na interiorização e adoção mais profunda das obrigações em matéria de privacidade”, até porque a “privacidade não é um tema prioritário para a maioria das empresas e o cumprimento do RGPD é abordado como mais uma formalidade”. “O dia 25 de maio de 2018, data em que o RGPD passou a vigorar, foi interiorizado pela grande maioria das organizações como um ponto de chegada e não como um verdadeiro ponto de partida”, acrescenta. Daniel Reis, por seu lado, afirma que “o problema está sobretudo relacionado com o comprometimento necessário para cumprir com as exigências do RGPD. É necessário criar - e manter - dentro das organizações um sistema completo de compliance. Isto dá trabalho e implica custos, custos esses que podem ser significativos”. Legislação diferente da realidadeEm março, o eurodeputado alemão Alex Voss afirmou, numa entrevista ao Financial Times, que o RGPD já estava desatualizado e que deveriam ser consideradas alterações na lei de forma a considerar a tendência de novas realidades, como o teletrabalho. Daniel Reis relembra que “a legislação em geral, e especialmente na área da tecnologia, não consegue acompanhar a realidade”. Neste sentido, “é a própria legislação e a sua aplicação concreta (pelos tribunais), que tem de conseguir adaptar-se à realidade em permanente mutação”. Martim Bouza Serrano explica que “o constante avanço dos sistemas e o natural desenvolvimento da tecnologia dificultam a implementação de regras uniformes que se mantenham atualizadas e consigam acompanhar esta constante evolução. Uma tecnologia que tivesse de esperar pela aprovação de regras e normas legais que a enquadrassem seria sempre obsoleta, mas uma lei que seja muito próxima dos desenvolvimentos tecnológicos, nunca terá a objetividade e distanciamento que se procura incutir ao estabelecer regras”. O Sócio e Coordenador do setor de Tecnologia na DLA Piper em Lisboa acrescenta, ainda, que não acredita que a Comissão Europeia “avance num futuro próximo para alterar o RGPD”, relembrando que o primeiro projeto legislativo data de 2012. “O RGPD tem diversos mecanismos de flexibilidade que permitem aplicar os seus princípios a tecnologias que ainda não conhecemos”, diz. DPOElsa Veloso (na foto à direita) refere que “o perfil do encarregado de proteção de dados”, ou Data Protection Officer (DPO), “assenta no espírito de liderança e autonomia, forte capacidade de implementação, análise de projetos, comunicação e trabalho de equipa”. O RGPD prevê que o tratamento de dados por entidades ou organismos públicos – com exceção dos tribunais – deve ser feito por um DPO. Simultaneamente, também existem determinados tipos de empresas que tenham que realizar operações de tratamento que “devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala”. Com base em dados de 2020 da Comissão Nacional de Proteção de Dados (CNPD), Elsa Veloso indica que “existem em Portugal cerca de três mil encarregados de proteção de dados para cerca de 1,3 milhões de empresas”. Na opinião da Fundadora e CEO da DPO Consulting, o CNPD devia “promover uma cultura de consciencialização junto das empresas sobre a importância da figura do encarregado da proteção de dados. É um trabalho árduo e que implica recursos humanos e financeiros, mas que necessita de ser feito”. |