Decorridos quatro anos após a sua entrada em aplicação, persiste algum ceticismo em relação ao RGPD. Muitos acusam-no de criar entraves à inovação e ao desenvolvimento tecnológico, outros, apontam a sua falta de clareza e objetividade.
Por Diogo Duarte Consultor Sénior, Privacy & Legal na VisionWare
Em vigor desde 2016, e em aplicação desde 2018, o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) n.º 679/2016, de 27 de Abril – RGPD) procedeu a uma das maiores e mais ambiciosas reformas jurídicas em matéria de dados pessoais. Empresas e entidades públicas passaram a estar sujeitas a um complexo e exigente corpo de normas jurídicas que, não raras as vezes, reclamaram a necessidade de uma transmutação profunda das suas atividades e procedimentos internos.
Decorridos quatro anos após a sua entrada em aplicação, persiste algum ceticismo em relação ao RGPD. Muitos acusam-no de criar entraves à inovação e ao desenvolvimento tecnológico, outros, apontam a sua falta de clareza e objetividade. Neste sentido, impõe-se a questão: qual o balanço a fazer relativamente ao RGPD, decorridos quatro anos desde a sua entrada em aplicação?
Sendo certo que uma resposta à presente questão varia em função da amplitude em termos de maturidade democrática e institucional dos Estados-membros da União, nem por isso deixa de ser aplicável a ideia de que, também no plano da proteção de dados, existe uma Europa a duas velocidades. No entanto, no caso português será mais rigoroso falar de uma terceira velocidade, ou até mesmo de uma quarta velocidade sempre que em causa estiverem as entidades públicas nacionais.
Com efeito, Portugal destaca-se negativamente no plano da proteção de dados. Veja-se o exemplo da Lei de Execução do RGPD (Lei n.º 58/2019, de 8 de agosto) que além de tardia, é a única lei de execução em toda a Europa que viola o princípio do Primado do Direito da União Europeia, contrariando parte das normas contidas no RGPD. Por consequência – e também de forma inédita em toda a Europa –, Portugal é o único Estado-membro cuja autoridade de controlo deliberou – e bem – não aplicar parte das normas estabelecidas na Lei de Execução do RGPD.
Ainda neste âmbito, afere-se a prerrogativa que a Lei de Execução concedeu às entidades públicas, permitindo a requisição da dispensa da aplicação de coimas, além de ter criado um desfasamento entre o sector público e privado, estimulando as entidades públicas a não tomar as devidas diligências para assegurar um nível satisfatório de conformidade com o RGPD. Não sendo caso único, os casos das Câmaras Municipais de Lisboa e Setúbal ilustram esta constatação na plenitude.
Porém não é apenas no plano legislativo que Portugal é apontado como um exemplo negativo no que respeita ao RGPD. De forma inédita – e insólita – Portugal foi o único Estado-membro em toda a União que reduziu o orçamento da sua autoridade de controlo, contrariando a tendência europeia de reforço orçamental das suas autoridades de controlo. Não surpreende, por isso, que a Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos do Parlamento Europeu haja apresentado à Comissão Europeia uma proposta de resolução para a abertura de um processo por infração contra os Estados-membros que não cumpriram as suas obrigações ao abrigo do RGPD, nos quais se inclui Portugal.
Por outro lado, verifica-se que as vicissitudes da própria autoridade de controlo portuguesa – a Comissão Nacional de Proteção de Dados (CNPD) –, a par da sua estratégia predominantemente pedagógica e acessoriamente corretiva, têm contribuído para a perceção generalizada de que o RGPD não logrou os efeitos desejados e que existe uma incapacidade geral de o tornar efetivo. Com efeito, a carência de recursos humanos e financeiros, ainda que atendível, não é suficiente para justificar a parca atuação da CNPD, sendo que, autoridades de controlo como a austríaca ou a grega – que operam na mesma amplitude orçamental – apresentam uma atividade quantitativa e qualitativamente superior.
A braços com deficiências legislativas e sem capacidade de tornar operante a sua autoridade de controlo, o balanço que se faz destes quatro anos desde a entrada em vigor do RGPD em Portugal é necessariamente insatisfatório. A mais, são plenamente visíveis as consequências deste balanço: além do reduzido número de profissionais e baixo nível de qualificação e especialização em matéria de proteção de dados, as empresas portuguesas revelam dificuldades em acompanhar a concorrência europeia. O facto de, enquanto prestadoras de serviços, as empresas portuguesas se encontrarem obrigadas a fazer prova de que dispõem de um nível adequado de conformidade com o RGPD, sem que efetivamente tenham capacidade de o garantir, leva a um atraso competitivo e, mais grave ainda, à perda de oportunidades de negócio.
Porém, as perspetivas futuras são de melhoria, e neste sentido, contribuem três fatores. Primeiro, o término da prerrogativa concedida às entidades públicas para a requisição da dispensa da aplicação de coimas, sujeitando-as à plenitude dos poderes de correção da CNPD, poderá conceder um impulso decisivo para que sejam encetados procedimentos sérios e robustos de conformidade com o RGPD. Segundo, os selos de maturidade digital – contando que, têm de conteúdo, o que têm de forma – poderão impulsionar e incrementar o nível de maturidade das entidades públicas e privadas. Por fim, sendo expectável que venha a ocorrer a consolidação do quadro de supervisão coordenada do Comité Europeu para a Proteção de Dados, assume-se como provável, a continuidade e o reforço das ações coordenadas, temáticas e setoriais a nível europeu, e como tal, uma atuação mais presente e constante da CNPD.