Qualquer pessoa com assinaturas por correio eletrónico deve ter notado nos últimos dias uma avalanche de "emails" a pedir a renovação das mesmas. Não ocorre por acaso, mas porque o comunitário Regulamento Geral sobre a Protecção de Dados (RGPD) vai começar a ser aplicado a partir de 25 de maio, após ter entrado em vigor em maio de 2016. A União Europeia quis assim reformular o quadro da proteção de dados pessoais, que datava de 1995 e entrou em vigor em 1998.
A Google tinha sido criada nesse ano, o Facebook em 2004, mas a questão dos dados pessoais e da harmonização europeia para a sua proteção estava em foco.
Em 2009, a Comissão Europeia lança uma consulta pública sobre a privacidade, que leva os grupos de trabalho Article 29 Working Party e Working Party on Police and Justice a publicar o documento "Future of Privacy".
Por um lado, pretendia-se então ter uma legislação mais protetora para os cidadãos europeus perante as multinacionais mas, em sentido inverso, que essas empresas pudessem lidar com um quadro legal coerente para o espaço europeu e não terem de lidar com legislações nacionais, muitas vezes diferenciadas.
A proposta original do RGPD data de janeiro de 2012. Três anos depois, a Comissão Europeia anunciou ter chegado a acordo com o Parlamento e o Conselho europeus para um "pacote de propostas de reforma [que] põe termo à fragmentação das normas de proteção de dados actualmente em vigor na UE".
À época, um inquérito Eurobarómetro apontava que "dois terços dos europeus (67%) se declaravam preocupados por não terem controlo total das informações que fornecem em linha. Sete em cada dez europeus estão apreensivos quanto ao potencial de utilização das informações fornecidas por parte das empresas".
A Comissão Europeia anuncia ainda em 2015 que, durante a fase de transição, vai informar "os cidadãos dos seus direitos e as empresas das suas obrigações". No entanto, um esclarecimento da Comissão de janeiro passado afirma que só em 2018-2019 pretende "cofinanciar acções de sensibilização realizadas pelas autoridades de proteção de dados a nível nacional".
Apesar dos dois anos para adaptação do novo quadro jurídico, a preparação para o RGPD foi sendo adiada e está, a poucos dias, a gerar uma enorme confusão nas empresas, administração pública e até nas entidades nacionais de protecção de dados.
Como regulamento, entra em vigor sem necessidade de transposição formal para a lei nacional. Como explicitou a Comissão em janeiro, o RGPD "passará a ser diretamente aplicável, dois anos após a sua adoção e entrada em vigor". Desta forma, garante-se "a livre circulação de dados pessoais entre os Estados-Membros da UE e reforçará a confiança e a segurança dos consumidores" no mercado único digital.
O que são exatamente dados pessoais?
Segundo o regulamento, dados pessoais são informação de "uma pessoa singular identificada ou identificável", sendo esta registada por "um nome, um número de identificação, dados de localização, identificadores por via electrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social".
O objectivo do RGPD é garantir uma harmonização do tratamento dos dados pessoais na União Europeia, dando aos utilizadores um maior conhecimento do que é registado, como podem eliminar esses dados e ainda uma proteção quando do acesso ilegítimo aos seus dados, penalizando as organizações com multas substanciais.
O RGPD abarca ainda a movimentação dos dados pessoais entre plataformas, nomeadamente entre redes sociais ou operadoras de telecomunicações móveis (para a portabilidade dos contactos, por exemplo), ou o "direito ao esquecimento" (o utilizador pode requerer que os seus dados sejam eliminados, embora a comunicação social não seja abrangida por esta medida).
No entanto, o jornal The Guardian está a alertar os seus assinantes para que algumas das suas mensagens de email para notícias podem incluir conteúdos publicitários ou financiados por entidades externas, e daí requerer uma nova confirmação.
Nos emails recebidos nos últimos dias, há de tudo, desde os que dizem não ser necessário renovar a assinatura de qualquer campanha de "email marketing" se a mesma já tiver sido autorizada antes, outras que pedem a renovação (por segurança mas também para conseguirem mais dados pessoais dos utilizadores ou obterem autorização para envio dos dados para países fora do espaço europeu - algo que só pode suceder para nações que tenham um nível de proteção semelhante ao do espaço europeu) e ainda umas que pedem essa renovação mas afirmam que qualquer queixa sobre violação de direitos deve ser apresentada à Comissão Nacional de Proteção de Dados (CNPD), omitindo que uma empresa que faça a gestão de dados pessoais deve ter um responsável desses dados - o chamado Encarregado de Proteção de Dados ou "Data Personal Officer" (DPO).
Qualquer pessoa que tenha requerido não receber um email ou deixado de ser assinante de uma qualquer lista, é melhor não ser importunada. E se uma empresa tem três listas de interesses (por exemplo, marketing, produtos e serviços), o utilizador tem de dar autorização específica para cada uma dessas listas. O silêncio ao envio de um email não é uma resposta afirmativa.
O que se está a constatar é um abandono de "emails" antigos, nota um estudo da Accenture. Mais de metade dos inquiridos britânicos por esta consultora não renova a sua relação com as marcas e apenas 10% o faz para as pequenas empresas.
Curiosamente, estas medidas ocorrem 40 anos após a primeira mensagem de email não autorizada ter sido distribuída a 1 de Maio de 1978 a centenas de pessoas ainda antes de existir a Web e na rede ARPANet, a origem técnica da Internet, e 25 anos após o termo "spam" ter sido usado pela primeira vez em Abril de 1993.
Cookies e aquilo que ferramentas como Google Analytics sabem sobre nós
O problema para as organizações não se restringe aos "emails" ou à gestão destes por entidades externas às organizações. O processamento analítico dos comportamentos do utilizador (usando ferramentas como o Google Analytics ou outras em "sites") tem de lhe ser comunicado.
Quem recolhe dados de analítica e quer monitorizar as preferências dos seus utilizadores pode ter problemas com a colocação de "cookies" no equipamento do utilizador para fins publicitários, de inquéritos ou até de conversações pessoais, como sucede no WhatsApp ou no Facebook. A informação recolhida pode ser considerada como um dado pessoal, caindo na alçada do RGPD. E obriga a ter autorização expressa do utilizador.
A Google já enviou avisos aos utilizadores alertando para estes terem "atenção que estas definições não afetam os relatórios baseados em dados agregados" mas para quem nem sequer está sedeado na União Europeia, aconselha que, "em conjunto com os seus conselheiros ou o departamento jurídico se a sua empresa será abrangida pelo RGPD ao utilizar o Google Analytics e o Analytics 360".
Num manual da Ordem dos Contabilistas Certificados, esta esclarece ser necessário "informar os titulares dos dados dos seus direitos e de que métodos deverão utilizar para os activar. Na maioria dos casos, informar por email os atuais clientes dos seus direitos ao mesmo tempo que se pede o consentimento para o processamento dos dados é suficiente. Será necessário também informar do método de contacto para que o titular possa ativar os seus direitos. Normalmente será o email do DPO".
SMS a marcar consultas ou alertas de incêndio podem estar em causa
A potencial confusão surge noutros domínios. O serviço nacional de saúde britânico (NHS) está a enviar mensagens de texto por telemóvel a avisar que, após 25 de maio, não o poderá fazer para alertar sobre consultas médicas.
O mesmo poderá suceder em Portugal, não só para as consultas mas para os anunciados avisos de incêndios por SMS? Provavelmente não.
Segundo o RGPD, este tratamento de dados pessoais é "lícito" quando necessário para a protecção da "vida do titular dos dados ou de qualquer outra pessoa singular", nomeadamente "para fins humanitários, incluindo a monitorização de epidemias e da sua propagação ou em situações de emergência humanitária, em especial em situações de catástrofes naturais e de origem humana".
Mas Filipa Calvão, presidente da CNPD, considerou em 2017 que listas como as dos devedores ao fisco ou à Segurança Social estavam fora da lei, no âmbito do RGPD.
Qualquer organização que processe dados pessoais tem de cumprir com o RGPD, garantir tecnicamente a segurança dos dados contra acessos ilegais ou destruição não autorizada. No caso de isto ocorrer, o utilizador deve ser informado num prazo de 72 horas.
Quem é que tem um plano?
Em maio de 2017, 85% de uma centena de empresas portuguesas entrevistadas não tinha medidas para a conformidade com o novo regulamento, segundo a consultora KPMG Portugal. Saúde e retalho eram os sectores mais bem preparados, mas apenas 43 dessas empresas tinha um DPO.
A 25 de maio do ano passado, apenas 3% de 1.600 pequenas e médias empresas nacionais dizia estar em conformidade com o RGPD, num inquérito do Instituto de Apoio às Pequenas e Médias Empresas e ao Investimento (IAPMEI) e associações para a Promoção e Desenvolvimento da Sociedade de Informação (APDSI) e Portuguesa de Gestão das Pessoas (APG). 44% não tinha qualquer plano.
Portugal é também criticado por não ter ainda adotado a legislação complementar ao RGPD mas, segundo dados da semana passada, apenas a Alemanha, Áustria, Croácia, Eslováquia, França, Holanda e Suécia tinham legislação interna sobre o RGPD. Em resumo, sete em 28 países. "Inevitavelmente, haverá algum grau de incerteza legal e a Comissão não quer isso", explicou Vera Jourova, comissária europeia da justiça, citada pelo EUobserver.
Num inquérito da agência Reuters, no início de Maio, 17 das 24 autoridades nacionais de proteção de dados afirmaram não terem fundos ou capacidades para responder às exigências do RGPD. E apenas cinco confirmaram ter o quadro legislativo em vigor.
Em Portugal, a CNPD criticou a adoção da proposta e a sua falta de meios, humanos e técnicos. A Comissão, que depende da Assembleia da República, tem todo o interesse num quadro para fiscalização e aplicação de sanções por estas reverterem para o seu orçamento.
Filipa Calvão apontou na Comissão de Assuntos Constitucionais que a CNPD continuava com o mesmo número de funcionários e não conseguia garantir a aplicação do RGPD e a sua fiscalização.
CNPD e Governo: um confronto que tem passado despercebido
O confronto entre CNPD e Governo está consubstanciado no parecer do passado dia 2 de maio, em que a Comissão criticou e alertou para "imprecisões" relativas à adoção nacional do RGPD, bem como por não ter sido ouvida na preparação do documento (que foi aprovado em Conselho de Ministros a 22 de Março passado).
Por exemplo, enquanto o Governo aponta para uma posição do legislador europeu a visar as "grandes multinacionais que gerem as redes sociais ou aplicações informáticas", o que gera soluções "desproporcionadas ou mesmo desadequadas para a generalidade do tecido empresarial nacional e para a Administração Pública", a CNPD responde que a proposta "visa conciliar a utilização de soluções tecnológicas no seu estado atual e futuro de desenvolvimento, e os riscos que comportam, com a defesa dos direitos e liberdades das pessoas cujos dados são objeto de tratamento".
A Comissão assinala ainda que "em alguns casos concretos", a adaptação nacional pode "desvirtuar por completo o teor do RGPD, contrariando-o grosseiramente", por querer adiar a sua aplicação para daqui a seis meses ou por considerar "um regime diferenciado para os tratamentos de dados em que os responsáveis ou subcontratantes são entidades públicas". Isto quando o RGPD "foi aprovado também pelo Estado português no seio das instituições europeias que intervieram no respetivo procedimento legislativo", pelo que não há "razão para excluir do regime sancionatório contraordenacional e penal as entidades públicas", diz a CNPD.
Um dia depois, a 3 de maio, a ministra da Presidência e da Modernização Administrativa, Maria Manuel Leitão Marques, respondeu na Assembleia da República que o RGPD prevê soluções que "parecem por vezes desproporcionadas para a generalidade do tecido empresarial nacional e também para entidades públicas onde se incluem (...) 3091 juntas de freguesia".
Assim, o Governo "tentou minimizar o impacto das coimas no setor privado ao estabelecer valores mínimos de coimas diferenciadas para grandes e pequenas empresas" e, no lado da Administração Pública, adaptar a medida do RGPD onde é dito que "os Estados-Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território".
O jornal Eco revelou este fim de semana que "o Executivo acredita que as empresas e o Estado vão suportar custos administrativos 'fortíssimos' com o RGPD" mas esse "impacto só será conhecido depois de as novas regras estarem em vigor".
A CNPD pode "impor coimas aos responsáveis pelo tratamento e subcontratantes", que "podem chegar aos 20 milhões de euros ou, no caso de uma empresa, a 4% do volume de negócios anual a nível mundial", diz o regulamento. Mas isso não vai acontecer por cá.
Em termos de coimas, o Governo decidiu pelos seguintes valores:
- Grandes empresas: 5.000 euros para contraordenações muito graves e 2.500 euros para contraordenações graves;
- PMEs: 2.000 euros para contraordenações muito graves e 1.000 euros para contraordenações graves;
Pessoas singulares: 1.000 euros para contraordenações muito graves e 500 euros para contraordenações graves.
Recomendações da Comissão Europeia para as empresas:
- Verifique os dados pessoais que recolhe e trata, o objetivo com que o faz e com que fundamento jurídico;
- Informe os seus clientes, funcionários e outros indivíduos quando recolhe os seus dados;
- Guarde os dados apenas durante o tempo necessário;
- Se armazenar estes dados num sistema informático, limite o acesso aos ficheiros com os dados, por exemplo, através de palavra-passe.
- Elabore um documento resumido no qual explica que dados pessoais detém e quais os motivos;
- Se subcontratar o tratamento dos dados pessoais a outra empresa, utilize um fornecedor de serviços que garanta o tratamento em conformidade com os requisitos do RGPD;
- Não tem de nomear um encarregado da proteção de dados se o tratamento de dados não for uma componente essencial do seu negócio, não se tratar de um tratamento que apresente riscos ou se a sua atividade não for em grande escala.
E estes são os direitos dos cidadãos:
- O direito de receber informações claras e compreensíveis sobre quem efetua o tratamento dos seus dados, quais os dados que estão a ser tratados e quais os fins desse tratamento;
- O direito de pedir o acesso aos dados pessoais detidos por uma organização;
- O direito de pedir a um prestador de serviços que transmita os seus dados pessoais a outro prestador de serviços;
- O "direito a ser esquecido", solicitando que os seus dados sejam apagados caso pretenda cessar o seu tratamento e se não houver motivos que justifiquem a sua conservação por parte da empresa que os detém;
- Nos casos em que as empresas necessitam do seu consentimento para tratarem os dados, terão de o solicitar e de indicar claramente qual a utilização que lhes será dada. O consentimento tem de reflectir os seus desejos de forma inequívoca e deve ser dado por acção afirmativa;
- Se os dados forem perdidos ou roubados, e se esta violação de dados for suscetível de constituir um prejuízo para si, a empresa que esteve na origem da violação de dados terá de o informar (e à CNPD) sem demora injustificada;
- qualquer informação dirigida especificamente a uma criança deve ser adaptada para ser facilmente acessível e formulada numa linguagem clara e simples.
Comentários