X




X
O dia D – de RGPD

26 Mai
Escrevemos este artigo no dia 24 de maio e, portanto, um dia antes da data de início de aplicação do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho de 27 de abril de 2016, designado de Regulamento Geral de Proteção de Dados e conhecido pela abreviatura RGPD. Chega, assim, ao fim o período de transição previsto no Regulamento publicado em abril de 2016 e, aqui chegados, parece existir apenas uma certeza: hoje, as dúvidas são mais do que muitas.

A Proposta de Lei n.º 120/XIII, do Governo, para execução, na ordem jurídica interna, do RGPD previa, entre outros aspetos, uma distinção no valor das coimas aplicáveis consoante estejamos perante uma grande empresa, PME ou pessoas singulares e também a não aplicabilidade das coimas às entidades públicas, durante um período de três anos, sendo tal não aplicabilidade objeto de reavaliação após tal período. Esta Proposta de Lei não foi aprovada pelo Parlamento, não sendo previsível que tenhamos legislação interna aprovada nos próximos dias. Por outro lado, segundo informações apresentadas pela própria Comissão de Proteção de Dados, na Assembleia da República, a Comissão, esta enfrenta graves problemas financeiros, e a 10 dias do início da aplicação do RGPD, declarou publicamente, através da sua presidente, não ter meios de fiscalizar o cumprimento do RGPD.

Num estudo revelado esta semana pelo Jornal de Negócios, efetuado com base num inquérito realizado a 1500 empresas durante os meses de março e abril de 2018, apenas 8% das empresas inquiridas se afirmam aptas a cumprir com o disposto no RGPD.

Contudo, tratando-se de um Regulamento e não de uma Diretiva, como a que o mesmo revoga, o RGPD é diretamente aplicável, não carecendo de legislação de transposição na ordem jurídica interna. A isto acresce o chamado princípio do «balcão único» criado pelo RGPD para o caso de tratamentos transfronteiriços, o que pode afetar empresas que pertençam a grupos com estabelecimento principal noutros países da União Europeia.

Concorde-se ou não com o (por vezes excessivo) alarmismo criado em torno deste tema, a verdade é que a proteção de dados passa a ser, com a nova legislação europeia, um elemento a ter em conta na gestão de qualquer empresa. E mais: com o RGPD, o ónus da prova da conformidade é transferido para os responsáveis pelo tratamento e desaparecem as autorizações da CNPD e mesma as autorizações já obtidas não isentam os responsáveis do cumprimento do RGPD.

O RGPD, no seu artigo 24.º, dispõe que «Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades».

Cremos, assim, que o RGPD prevê, na sua essência, a raiz de um processo de certificação futuro. As empresas que já tiverem feito o caminho da certificação de acordo com a norma ISO 27001 terão boa parte do trabalho efetuado. Contudo, mesmo para estas, e para as restantes, consiste numa decisão estratégica e de gestão saber quais as medidas a aplicar com vista à conformidade com o RGPD e respetiva prova.
Para terminar com uma nota positiva, não podemos deixar de notar que, como todos os grandes desafios, o novo quadro legal em matéria de proteção de dados encerra em si também uma grande oportunidade, já que se vislumbra na matéria da proteção de dados um claro fator de diferenciação: no futuro, a proteção conferida aos dados pessoais vai constituir, cada vez mais, uma vantagem competitiva no mercado global. Urge, por isso, agarrar esta proteção de dados do futuro que é agora, que começa amanhã, 25 de maio de 2018.