O regulamento que veio uniformizar a proteção de dados na Europa era aplicável desde maio de 2018, mas a concretização na legislação portuguesa tardou, chegando mais de um ano depois, com a Lei 58/2019.
No verão passado, Portugal, Eslovénia e Grécia compunham o trio de países da União Europeia que fugia à regra, ainda sem atualização das respetivas leis nacionais para estar de acordo com o Regulamento Geral de Proteção de Dados (RGPD). As críticas sucederam-se, com os especialistas a apontar que poderia representar uma perda de competitividade para as empresas portuguesas.
Apesar da demora, Portugal não foi o pior “aluno” entre os três Estados-membros que mais demoraram a concretizar o RGPD na legislação nacional. A Grécia atualizou a legislação em outubro de 2019. Entre os países da União Europeia, só a Eslovénia continua sem fazer esta alteração, algo que já levou a Comissão Europeia a pedir explicações.
O RGPD veio uniformizar as diferentes leis de proteção de dados entre os Estados-membros, substituindo a antiga diretiva em vigor, que deixava alguma margem de manobra aos países europeus para legislação própria. Com o objetivo de uniformizar, a introdução nas leis nacionais do RGPD pretendia apenas responder às chamadas “cláusulas abertas”, conforme explica Ricardo Henriques, advogado da Abreu Advogados. “A própria lei era necessária para haver uma concretização para a aplicação das coimas”, exemplifica, recordando que o RGPD estabelecia coimas máximas a aplicar mas não as mínimas.
“Houve críticas [relativamente à demora na publicação] e várias questões que se colocaram e que ainda estão um pouco por resolver”, resume Ricardo Henriques. “Logo na altura da implementação houve algumas questões que foram suscitadas em relação à própria legislação”. O advogado recorda também o desalinho de posições entre a Comissão Nacional de Proteção de Dados [CNPD] e a legislação aprovada. “Foi uma situação diferente entre o regulador e entidade que fiscaliza, a dizer que não ia aplicar a lei como foi publicada."
Em setembro do ano passado, após a publicação em Diário da República dos diplomas, a CNPD indicava em comunicado que iria “desaplicar algumas normas da lei” por “estas contradizerem manifestamente” o regulamento. A autoridade que fiscaliza a aplicação do RGPD por cá referia que a lei aprovada “prejudicava seriamente o funcionamento do mecanismo de coerência” da aplicabilidade das regras de privacidade europeias.
Um ano depois da publicação, o advogado da Abreu reconhece que alguns pontos continuam a gerar questões, como o tema “da videovigilância nas empresas, o tratamento de dados pessoais por parte dos trabalhadores ou a legitimidade dos dados de saúde nas seguradoras”.
Dados CNPD
A propósito do segundo aniversário do RGPD, em maio, a Comissão indica que, a nível nacional, foram abertos 2030 processos de averiguação, emitidos 152 pareceres e 557 violações de dados (data breach) e 46 casos de cooperação.
Com o RGPD, foi também criada a figura de Encarregado de Proteção de Dados (EPD). Até maio, tinham sido notificados à Comissão 3467 encarregados. Na altura do segundo aniversário do RGPD, estavam em atividade 3379 EPD.
No primeiro ano de RGPD, a Comissão Nacional dava conta de coimas num valor total de 424 mil euros. A identificação das entidades que pagaram coimas não é divulgada na maior parte dos casos, já que “funcionaria como uma sanção acessória”, conforme já esclareceu a CNPD.