Falta esclarecer “interacção com autoridades” para o RGPD

Há vários aspectos legislativos por definir e apesar de certas medidas tenderem a atrasar-se por isso, os riscos de incumprimento persistem. avisa a advogada, Magda Cocco.

A quatro meses da aplicação prática do RGPD, há uma série de aspectos que falta esclarecer, incluindo a “interacção com as autoridades de controlo”, lembra Magda Cocco, da sociedade de advogados Vieira de Almeida. Até o posicionamento dessas autoridades de controlo.

A advogada recorda que o Regulamento Geral de Protecção de Dados atribui um posicionamento diferente para as autoridades de controlo, “a autoridade pública independente criada por um Estado-membro com responsabilidade pela fiscalização da aplicação do regulamento”, segundo o próprio regulamento.

Em Portugal, tudo indica que a responsabilidade deverá ser atribuída à Comissão Nacional de Protecção de Dados (CNPD).  Antes do RGPD, as autoridades de controlo tinham uma função preventiva de fiscalização que implicava o pedido de autorização/notificação  por parte das organização para o tratamento de dados.

Agora a autoridade de controlo irá pronunciar-se ‘a posteriori’ sobre as condições de legitimidade, na prática quando a empresa já tem o tratamento em curso, motivada quer por alguma denúncia ou por iniciativa da própria. Esta mudança no papel do controlo “dá mais responsabilidade às empresas”, destaca Cocco.

Mesmo com vários aspectos legislativos por esclarecer, a advogada Magda Cocco (Vieira de Almeida) reitera que é possível trabalhar para ficar em conformidade.

Mas não é apenas este tema que falta esclarecer. Neste momento, é também necessária a adopção do “quadro legal nacional que vai ‘densificar’ algumas disposições do regulamento”, assinala Magda Cocco.

A advogada recorda que a Comissão Europeia enviou uma mensagem aos vários Estados-membros para que acelerem a adopção da legislação nacional.  Até agora, apenas dois países aprovaram a legislação em causa, a Alemanha e a Áustria

Esta falta de “densificação” dificulta “a implementação do regulamento em alguns aspectos”, mas a advogada alerta: até 25 de Maio, “as empresas têm de estar todas em condições de cumprir o regulamento”. Não obstante haver algumas “coisas que poderão, pelo risco que representam, ser relegadas para outro plano por uma questão de tempo”, esta decisão “não isenta” as empresas “dos riscos de incumprimento”, salienta.

Gera-se um paradoxo. As empresas que quiserem cumprir vão ter “aguardar” e “adiar a implementação de algumas medidas” e “algumas poderão já não ter tempo” de estarem conformidade em alguns aspectos.

A indefinição (legislativa) “é preocupante”, mas a advogada reitera que é possível trabalhar para ficar em conformidade.

A legislação nacional deverá “endereçar uma maior graduação, um maior detalhe na aplicação dos valores das coimas”, Magda Cocco (Vieira de Almeida & Associados)

Embora não conheça a legislação nacional em preparação, Magda Cocco pensa que aquela deverá, por exemplo, “endereçar uma maior graduação, um maior detalhe na aplicação dos valores das coimas”. Falta definir “critérios e especificidades” das coimas.

É necessária também a definição da idade mínima a partir da qual deixa de ser necessário obter o consentimento dos pais para o tratamento de dados de menores no contexto digital (NR: poderá ser entre 13  e 16 anos). Sem saber qual é a idade não é possível criar processos. Magda Cocco assinala que são aspectos que ainda estão muito vagos.

É necessária ainda alguma legislação europeia que, de certa forma, cruza directamente com o RGPD e que está ainda por definir. É o caso da legislação europeia e-Privacy,  “o regulamento de protecção de dados aplicável ao meio digital, ao sector das comunicações electrónica, que está ainda a ser discutido”, explica a advogada.

Cocco recorda que este diploma deveria “ser eficaz na ordem jurídica dos vários países” na mesma data do RGPD, mas “já se chegou à conclusão de que tal não seria possível”.  Esta ausência tem “implicações importantes sobretudo para as empresas que trabalham mais na economia digital”.

Em Portugal, apenas 2,5% dos gestores sintam que a sua organização está preparada para o Regulamento Geral de Protecção de Dados, segundo o estudo realizado pela IDC para a Microsoft, divulgados esta terça-feira. O cenário não difere do que se passa noutras regiões do globo

Magda Cocco foi oradora, de uma perspectiva jurídica, num encontro que reuniu mais de um milhar de profissionais que, no desenvolvimento do seu trabalho, têm de tomar contacto com o RGPD, organizações que prestam serviços de consultoria nas áreas jurídica, processual e tecnológica, procuraram tirar as principais dúvidas sobre o que já se sabe, sobre o que se pode fazer e também sobre o que falta saber. 

“RGPD é uma oportunidade de reorganizar processos”

Paula Panarra, directora-geral da Microsoft, empresa que promoveu o evento, explicou ao Computerworld, que “o RGPD é muito positivo na medida em que reforça os direitos individuais dos cidadãos em relação a uma área tão sensível como a privacidade”. Destaca a “oportunidade para as empresas porque lhe permite reorganizarem processos e revisitarem a sua política de dados criando condições para extraírem todo o potencial e valor dessa informação”.

“Com o tempo que falta ainda há muito para fazer”, é a ilação que Paula Panarra retira do estudo. A directora-geral assinala que não obstante os resultados do estudo, as empresas estão atentas e “tem sido feito o trabalho de levantamento de necessidades e de diagnóstico nas organizações” e as prestadoras de serviço (consultoras na área jurídica, de processos ou tecnologia) já estão preparadas para fazer um trabalho mais rápido do que anteriormente.

E esse diagnóstico é fundamental para delinear os planos de acção para adequar e implementar os processos onde a tecnologia terá um papel relevante. “A tecnologia como serviço na cloud pode acelerar aquilo que é a conformidade”, defende Panarra, que destaca que os serviços da Microsoft já estão preparados para assegurar contratualmente essa conformidade.

O Regulamento Geral de Protecção de Dados entrou em vigor em Maio de 2016 e é aplicável a partir de 25 de Maio de 2018, dentro de menos de quatro meses. Os regulamentos europeus, ao contrário das directivas europeias, são directamente aplicados nas legislações nacionais sem necessidade de adaptação.  

O RGPD requer no entanto legislação complementar, que deverá ser aprovada, durante o mês de Fevereiro, apurou o Computerworld. Esta densificação está relacionada com legislação nacional que tem impacto ou é impactada pelo regulamento.




Deixe um comentário

O seu email não será publicado