Novas regras de proteção de dados na UE. O que muda para empresas e cidadãos?

por Andreia Martins - RTP
Empresas e entidades são obrigadas a esclarecer a sua política de privacidade e consentimento aos utilizadores dentro do espaço comunitário DR

Entra esta sexta-feira em vigor o novo Regulamento Geral de Proteção de Dados (RGPD) em todos os Estados-membros da União Europeia. O objetivo é tornar mais transparente a recolha e o tratamento de dados pessoais dos cidadãos – os 250 milhões de internautas no espaço comunitário - e penalizar empresas ou organizações que não cumpram as regras.

Nos últimos dias terá provavelmente recebido dezenas de e-mails de empresas e serviços a pedirem que aceite ou reveja as suas políticas de privacidade. É a resposta à entrada em vigor, a 25 de maio, de uma nova lei que vem alterar a forma como os nossos dados pessoais podem ser usados.

Este novo regulamento, aprovado em abril de 2016, prevê uma mudança no tratamento de informações como o nome, morada ou localizações, entre outro tipo de informações sensíveis, como as crenças religiosas ou informações de saúde, por exemplo. O controlo é ainda mais apertado quando se trata da recolha de dados de crianças e menores.  

Em declarações à Antena 1, Clara Guerra, porta-voz da Comissão Nacional de Proteção de Dados, sublinha que as novas regras obrigam a “uma maior transparência por parte das entidades públicas e privadas” na forma como estas tratam os dados.

“Há um conjunto de obrigações acrescidas dessas entidades que se refletem num direito, numa vantagem para os cidadãos”, esclarece a responsável numa entrevista conduzida pelo jornalista Nuno Rodrigues.


Clara Guerra explica ainda a importância do conceito de “consentimento”, que se traduz “numa lógica de crescente autodeterminação informacional”.
  
“Numa época em que parece que cada vez temos menos controlo sobre os nossos dados, há uma tentativa de recuperar esse controlo”, acrescenta.  

Na prática, a nova lei protege os dados pessoais de estratagemas anteriormente usados para recolha de informação pessoal. O Regulamento Geral de Proteção de Dados (RGPD) define agora como é que as empresas podem obter o consentimento dos cidadãos para usarem a informação pessoal.

A eurodeputada Ana Gomes destaca que a venda de dados dos cidadãos a terceiros é significativa nas “somas astronómicas que são ganhas pelas grandes plataformas digitais”.  
Novas obrigações para empresas

Até agora, as empresas podiam encobrir as suas políticas em longos textos dos habituais “Termos e Condições”. Agora, pelo novo regulamento, as entidades são obrigadas a esclarecer a sua política de privacidade e consentimento “de uma forma inteligível e de fácil acesso, numa linguagem clara e simples”.   

“Aquilo que era um consentimento implícito das pessoas, muitas vezes os dados eram tratados com base num consentimento implícito que a anterior legislação permitia, agora tem de ser explícito. As empresas têm de buscar esse consentimento, daí estarmos a ser inundados nesta reta final”, refere Carla Guerra sobre os e-mails e mensagens de consentimento enviados pelas empresas.  

As mensagens podem até chegar de serviços e newsletters que não foram subscritos pelo utilizador, uma vez que era admitida uma cedência de dados entre empresas sem a notificação dos interessados.  

Agora as empresas e serviços ficam obrigadas a explicar aos utilizadores de que forma as informações recolhidas vão ser utilizadas e com que fins. O utilizador pode pedir a determinada empresa uma cópia da sua informação pessoal, que terá de ser fornecida em 30 dias, no máximo. Pode igualmente exigir a correção ou apagamento de algum dado pessoal recolhido.  

As empresas estão também impedidas de requerer mais informação os cidadão em troca de mais regalias ou de um serviço premium, uma vez que não é considerado como consentimento livre, ou como “uma escolha verdadeira” por parte do consumidor, permitindo a retirada do consentimento sem que seja prejudicado.

Os cidadãos passam também a dispor do acesso aos dados que foram recolhidos, o direito a transferir os seus dados de uma empresa para outra e ainda o “direito a ser esquecido”, ou seja, a exigir o apagamento de dados de determinada plataforma.   

Exige-se ainda às empresas que assegurem a segurança dos dados recolhidos. Em caso de uma fuga de dados significativa, estas ficam obrigadas a avisar o regulador nacional – no caso português, a Comissão Nacional de Proteção de Dados – num prazo máximo de 72 horas.  
Multas pesadas

A Comissão Europeia admite que, mesmo depois de estar em vigor, o novo regulamento “continuará a necessitar de ajustamentos significativos”, desde logo nas alterações de regras nacionais existentes ou da atividade do Comité Europeu para a Proteção de Dados, que fica responsável pela aplicação de forma “uniforme” e “coerente” do novo regulamento de Proteção de Dados em todos os Estados-membros.

Este comité fica também responsável por tomar decisões vinculativas sobre eventuais litígios relativos ao tratamento transfronteiriço de dados. Isto porque a nova lei é aplicável a todos os cidadãos e empresas da União Europeia, mas também a empresas internacionais, com sede noutro ponto do mundo, que terão de assegurar a observância destas regras na relação com os cidadãos da União Europeia.  
 
“As regras não são assim tão diferentes. Há um conjunto de princípio e regras que são idênticas. As empresas que atualmente já têm um nível de cumprimento da legislação razoável, aceitável, teriam de fazer pequenos ajustes, mas não sentiriam esse impacto tão grande”, esclarece Clara Guerra, da Comissão Nacional de Proteção de Dados.  

O impacto deste novo regulamento só existe, explica, porque “há um grande número de empresas que atualmente não cumprem a legislação”.  


Outro fator que ajuda a explicar o “desnorte” que algumas empresas possam sentir é também inflacionado pelas possíveis multas de que poderão ser alvo. É que, caso não cumpram as regras, as empresas poderão ser multadas de forma significativa. O teto máximo de multa é de 20 milhões de euros ou 4 por cento do volume global de negócios de uma empresa, dependendo de qual deles é superior.  

“Houve um discurso público muito aterrorizador que deixou as empresas em pânico apenas pela questão do quadro sancionatório. As coimas agora poderão ser a valer, e isso é que acordou as empresas”, refere Clara Guerra na entrevista de quinta-feira à Antena 1. 

De acordo com o regulamento, um conjunto de fatores será tido em conta para decidir que tipo de multa ou penalização é aplicada, dependendo da gravidade ou duração da violação, do número de sujeitos afetados e a que nível ficaram lesados, o eventual caráter intencional da infração, e os possíveis esforços no sentido de mitigar os estragos provocados.  

No entanto, a responsável sublinha que nem todas as obrigações de regulamento se aplicam a todas as empresas e que dependerá muito do “tipo de tratamento de dados” que é feito pela empresa. “As empresas não são todas iguais”, enfatiza.  

Clara Guerra, da Comissão Nacional de Proteção de Dados, prevê dificuldades na “interpretação” das novas leis uma vez que estas contam, além de uma matriz europeia, no sentido em que é muito regulado, conta também com uma matriz norte-americana, de “autorregulação” por parte das próprias empresas.   


A atual legislação é “transversal à sociedade” e abrange vários setores de atividade, desde os bancos, à saúde, marketing, telecomunicações ou finanças. Uma das raras exceções é o setor das polícias, que contará com uma legislação própria.  
Empresas portuguesas preocupadas

Em declarações à Antena 1, Luís Henrique, da Confederação Empresarial de Portugal (CIP), refere que as empresas portuguesas, que estão também abrangidas por este novo regulamento, estão “extremamente preocupadas” perante a complexidade das leis e que estas podem colocar em causa a “competitividade” de algumas entidades.
 
O responsável destaca que esta regulação “vem trazer um conjunto de novos encargos junto das empresas que são extremamente relevantes e cujo impacto financeiro ainda nem sequer foi analisado”.  

“As empresas vão ser obrigadas a mudar políticas de privacidade, manuais internos de procedimento, inúmeras obrigações de informação de obtenção de consentimento, acordos de confidencialidade, novos acordos com subcontratantes. É necessário fazer avaliações de risco, auditorias regulares, uma panóplia de obrigações que vão cair sobre as empresas”, lembra.  


O responsável da Confederação Empresarial não tem dúvidas quanto ao cenário em Portugal e avisa que “a maioria das empresas não está preparada”, sobretudo as micro e pequenas empresas, que não têm “recursos humanos em número necessário, nem competências para tratar destes assuntos”.  

Em declarações à rádio pública, Luís Henrique refere ainda que seria importante “uma posição mais ativa da Comissão Nacional de Proteção de Dados”, com um papel “mais pedagógico” e de apoio das empresas. Recorre ao exemplo de Espanha, onde a entidade responsável criou simuladores para as empresas que auxiliam a implementação da GRPD. 

A Comissão de Proteção de Dados responde a estas críticas, reconhecendo o que foi feito em Espanha, mas assinala as dificuldades sentidas em Portugal.  

“Os nossos colegas espanhóis têm feito um trabalho meritório, mas eles têm 150 pessoas, mas nos temos 20, isto faz toda a diferença”, refere Carla Guerra.  

Em janeiro de 2018 a Comissão Europeia anunciou que iria disponibilizar um fundo de 1,7 milhões de euros para ajudar as autoridades responsáveis pela proteção de dados, mas também para a formação de profissionais, a que se juntam mais 2 milhões de euros para apoiar as 28 autoridades nacionais dos estados-membros a prestar apoio às empresas para a aplicação deste regulamento.  

(Fotos: agência Reuters)
Tópicos
pub