Proteção de Dados. "Principio da igualdade justifica a mesma medida para todos"

O regulamento significa um novo paradigma na proteção dos cidadãos e no controlo do comportamento das empresas. As multas para quem não cumprir podem chegar aos 20 milhões de euros.

Há uma semana denunciou que o Governo não consultou nem deu conhecimento à Comissão sobre a nova legislação da proteção de dados pessoais. Já foi entretanto contactada?

Pelo Governo sobre essa proposta-lei, não. Recebemos da AR a proposta ontem, deu entrada ontem na Comissão a proposta-lei para apreciação para efeito de emissão do parecer da Comissão nacional da Proteção de Dados.

Já passou os olhos pela legislação. Alguma coisa lhe chamou a atenção?

Ia evitar pronunciar-me sobre a proposta-lei porque como a Comissão vai emitir o parecer não queria pronunciar-me sobre as soluções que lá estão emitidas.

Essa análise à legislação vai ser demorada, complexa?

Tem alguma complexidade mas vamos dar prioridade à emissão do parecer. Será relativamente rápido.

Faz sentido que uma legislação deste tipo, com a importância que este tem, não tenha tido mais cedo o pedido de acompanhamento por parte da entidade reguladora do setor?

Temos alguma dificuldade em compreender. Na CNPD, desde o início, em 2016, quando o regulamento entrou em vigor (e agora vai passar a ser aplicado no final do mês de maio), manifestamos disponibilidade perante o Governo de colaborar no que fosse preciso para facilitar a preparação da legislação necessária para ?? do regulamento. A opção do Governo não foi a de solicitar uma específica colaboração da CNPD quanto ao regulamento, há outra legislação que está a ser agora transposta e preparada por iniciativa do Ministério da Justiça e nessa estamos a colaborar, mas em relação ao regulamento a opção não foi essa. Tivemos duas reuniões, no ano passado uma, no início deste ano outra, em que não foi dada qualquer oportunidade de vermos que opções é que o governo estava a seguir em termos de texto nessa proposta-lei. A CNPD tem dificuldade em perceber essa opção. Entretanto houve uma série de entidades, organismos públicos e privados, que foram chamados a pronunciar-se sobre a proposta-lei e a CNPD não foi e isso temos dificuldade em compreender. Mesmo que não fosse para dar razão ou para acolher as nossas observações valeria a pena ponderar essas observações e avaliar a sua pertinência.

Sem o aconselhamento da Comissão, sem pareceres prévios, a probabilidade de haver falhas na legislação será maior...

Nós somos, de facto, o organismo que percebe mais de proteção de dados no país. Desse ponto de vista, tendo em conta a nossa experiência, é de estranhar que isso não tenha sido feito. Acho que os nossos contributos podiam ter sido pertinentes nalguns aspetos.

imagem TSF\2018\04\ng-22d56f40-9c92-486a-9396-5586fb146ab7.jpg

Quanto ao espírito da diretiva europeia, que está na origem da discussão, faz sentido que passem a ser as empresas a autorregular-se? Como é que vê isto?

É uma opção política que a Europa tomou e não vou discutir essa opção. Admito que possa trazer maior agilidade na atividade económica e de uma série de iniciativas de outros organismos e portanto de alguma forma o regime que tínhamos em Portugal, que era de controlo prévio da CNPD do tratamento de dados trouxesse algum entrave, alguma demora na realização de um conjunto de finalidades por parte de organismos públicos e privados. Entendo que a intenção é uma tendência do direito europeu de transpor para as empresas a responsabilidade por aquilo que fazem e pelo respeito pela lei, no fundo pôr o ónus de verificar o cumprimento da lei para as empresas noutros campos e não apenas na proteção de dados pessoais... podemos percebê-la. Tem aqui agora o problema que as empresas estão a sentir em Portugal que é não se sentirem preparadas para terem esta responsabilidade toda do seu lado. Estavam habituadas a ter um certo apoio nas autorizações da Comissão e portanto estão a perder esse conforto e sem saberem o que fazer. Isso traz alguma angústia, que se percebe.

Referiu que as empresas não estão preparadas. Quais são as maiores dificuldades na preparação para as regras que vão entrar em vigor?

Elas alegam que não estão preparadas, não sou eu que o digo que ainda não fui verificar. Há de facto alguma angústia por parte das empresas na dificuldade em se adaptarem ao novo regulamento. Achamos que em rigor o problema... o regulamento não diz muito de novo em termos de regime de proteção de dados, ou seja os princípios e as condições para se realizar tratamento de dados pessoais são aproximadamente as mesmas que estiveram em vigor nos últimos 20 anos portanto as empresas não podem vir agora dizer que há uma coisa completamente nova. Não é novo, o regime é essencialmente o mesmo, o que há de facto é que como desaparece a intervenção da CNPD passam a ter de desempenhar a tarefa de elas próprias verificarem se estão a cumprir as regras, portanto têm um conjunto de obrigações novas que vão trazer peso à organização e estão a criar dificuldades. Há dificuldades de perceção se têm de ter encarregados de proteção de dados ou não, que é uma nova obrigação prevista no regulamento, há dificuldades de perceção em que circunstâncias é que têm de fazer estudos para avaliar o impacto que o tratamento de dados pessoais pode ter nos cidadãos, há também alguma dificuldade de como deve ser formulado e elaborado um registo do tratamento de dados pessoais que estão a realizar e aí a CNPD está, nesta fase, a ultimar modelos de registo para ajudar sobretudo as pequenas empresas, porque as maiores têm um tratamento mais complexo que implicam transferência de dados internacionais.

Além das empresas, o próprio Estado está preparado para as novas regras?

Não tenho a certeza disso porque o que nos apercebemos na proposta de lei o que se invoca é que para causar a menor perturbação institucional possível se vai adiar, digamos por 3 anos, a ponderação de prever ou de estender o regime sancionatório aos organismos públicos. Aparentemente na base desta opção estará uma ideia de que as organizações públicas não estarão ainda preparadas para aplicar as regras de proteção de dados, coisa que eu estranho porque este regime está essencialmente em vigor há 20 anos.

O que está a dizer é que o Estado está isento de cumprir estas obrigações durante 3 anos?

Não está isento, está obrigado a cumpri-las, portanto está sujeito aos restantes poderes que a CNPD tem e vai continuar a ter mas não estará, de acordo com a proposta, sujeito à aplicação de sanções pecuniárias. Mas ordens de cumprir e corrigir o tratamento, de adotar determinado tipo de segurança, existe.

Mas dito de forma simples...

Não terá um castigo se não cumprir.

imagem TSF\2018\04\ng-2fed0f57-f7c8-4d3e-bf9d-28a3bce676ea.jpg

No que toca a custos para as empresas, será provavelmente uma das angústias das empresas. Este novo regime terá custos pesados?

Em termos de organização, nesta fase, sei que algumas empresas estão a fazer investimentos consideráveis por causa deste novo regulamento. As obrigações implicam algum investimento e alguns custos. Por exemplo quem tiver de ter um encarregado de proteção de dados terá de pagar mais um vencimento dentro da instituição. A elaboração de um registo dá trabalho e implica algum investimento no levantamento dos dados que estão a ser tratados. Isto não significa ter de reformular e instalar todo um novo sistema informático. Algumas empresas estarão a fazer isso mas admito que seja por sentido de oportunidade, porque há de facto um conjunto de deveres, de garantir a segurança informação dos dados pessoais que, repito, já existia, mas que vem um pouco mais densificado nas medidas a dotar e no regulamento e nesse sentido algumas empresas estão a entender que os sistemas informáticos que têm não cumprem essas regras e daí estarem a remodelá-lo. Se isso for feito, implica um investimento maior.

Que tipo de empresas vai ter mais dificuldade? As mais pequenas?

Diria que sim. A CNPD tem organizado algumas conferências e sessões de esclarecimento e quando estamos em contacto com as micro e pequenas empresas percebe-se a dificuldade de perceberem o que é que resulta do regulamento e o que é que relevante para a sua atividade. As maiores empresas já estão habituadas a cumprir a lei de proteção de dados.

Até em termos de custos para as pequenas empresas, dado que a nomeação obrigatória do encarregado da proteção de dados, numa empresa que tenha só 3 pessoas, significa um acréscimo da massa salarial.

Pode significar mas é preciso ver que a generalidade das pequenas empresas não tem de ter encarregado de proteção de dados, a não ser que o tipo de tratamento de dados que faça sejam impactantes. Portanto serão empresas ligadas mais à área da tecnologia que fazem tratamentos de dados mais agressivos e essas também têm de ter um especial dever de cuidado, daí essa necessidade de aumentar o investimento.

Antevê necessidade de aplicar multas pesadas em Portugal?

O quadro sancionatório do regulamento é de facto um bocadinho assustador, percebo que as empresas e organismos estivessem assustados. É preciso dizer que não é assim tão assustador se olharmos para o quadro que já está em vigor há alguns anos em Portugal e na Europa na privacidade das comunicações eletrónicas, que é bastante pesado. Não há grande novidade nisto. Em todo o caso, comparado com o atual regime, que é de há 20 anos, pode assustar. É evidente que as sanções maiores estão pensadas para todo o espaço europeu, portanto grande empresas, multinacionais que têm um lucro bastante elevado e que fazem lucro com dados pessoais... O legislador europeu, composto por todos os estados membros da UE, entendeu que esta matéria de proteção de dados era para ser levada a sério... os valores que estão aqui afetados de cada vez que se faz um tratamento de dados pessoais, privacidade, liberdade, igualdade, são valores que merecem uma especial proteção e por isso o quadro sancionatório tem de ser suficientemente assustador para que as pessoas se consciencializem disso. Não quer dizer que em termos práticos se vá aplicar uma coisa de 20 milhões porque evidentemente tem de se adaptar ao nível de vida nacional, ao nível das próprias atividades lucrativas das empresas...

Para quem reverte o valor das multas?

A regra geral nestas matérias é 40% para a entidade reguladora, 60% para o Estado. Na lei atual que está em vigor é 50/50.

Voltando ao tema da preparação do Estado e de o Estado não ser sujeito a penalizações durante 3 anos...

Se me permite, eu espero que isso ainda seja corrigido no Parlamento.

Já se antecipou à minha pergunta... isto devia ser mudado?

A CNPD não se pronunciou sobre isto, só eu é que falei e não estou a falar em nome da CNPD mas não me parece que haja razão para diferenciar. Ou seja o regulamento abre esta opção de não sancionar os organismos públicos e abre essa hipótese pensando naqueles estados membros... porque o atual regime resulta de uma diretiva e que deixou espaço aos estados membros para escolherem o regime que querem, se querem ou não estender o regime aos organismos públicos, e houve estados que não seguiram essa opção, portanto em que a lei da proteção de dados não se aplica aos organismos públicos ou onde não está prevista a aplicação de sanções aos organismos públicos. Portanto esta abertura que o regulamento deixa é para esse tipo de estados onde não há ou esta tradição de aplicar o regime de proteção de dados aos organismos públicos ou de aplicar sanções aos organismos públicos. Em Portugal há 20 anos que temos este regime: os organismos públicos estão todos sujeitos à proteção de proteção de dados, à exceção dos tribunais, e todos sujeitos à aplicação destas sanções. Não se consegue perceber qual é a razão desta diferenciação de tratamento entre organismos públicos e empresas ou associações de natureza privada. Diria que o princípio da igualdade, previsto na nossa Constituição, justificaria a mesma medida para todos.

imagem TSF\2018\04\ng-c2f06e38-fb20-49ec-9515-87f54f7acaed.jpg

Os dados são vistos hoje como a nova matéria-prima dos tempos modernos. Até agora, sem estas regras, as empresas têm abusado dos dados pessoais dos cidadãos?

As regras já existiam, o que há de facto é, porta parte das empresas, e temos detetado algumas delas, alguma descontração no tratamento de dados pessoais e muitas vezes até uma falta de consciência daquilo que está a ser feito. Outras vezes é oportunidade de negócio, ou seja, o assumir de um risco de que se vai tratar dados em condições mesmo sabendo que se está a violar a lei porque se quer tratar os dados porque daí vem um valor económico acrescido...

Há algum exemplo concreto?

Não, mas tem estes exemplos, não concretamente em Portugal, que têm ocorrido por estas empresas como a Google e o Facebook, que têm feito negócio com os dados e que ponderam que vale a pena violar as regras... ou seja, em que a infração pode compensar. Temos de distinguir estas situações: há empresas que não têm bem noção do regime, embora tenhamos todos obrigação de conhecer a lei, e outras que querem violar a lei e portanto atuam nessa medida. É evidente que esta questão do tratamento de dados pessoais tem justificado a aplicação de sanções ao longo do tempo.

Falou de empresas como o Facebook, que agora enfrenta esta polémica com a Cambridge Analytica, que expôs os dados de mais de 50 milhões de utilizadores. Corremos o risco de vir a ter conhecimento de mais dados destes?

Risco temos sempre. Enquanto houver tratamento de dados pessoais e na medida em que a tecnologia, hoje, permite um maior tratamento de dados, de maior quantidade e cada vez mais sensíveis, porque temos a nossa vida muito exposta na internet, diria que sim.

Ainda este ano a CNPD vai ter de se pronunciar sobre outro tema importante: a transposição para Portugal da nova diretiva de pagamentos na banca, que vai entrar em vigor já com alguns meses de atraso. Antevê complexidade ou demora na análise desse processo?

É uma tendência de utilização de sistemas eficientes e com recurso a tecnologias que implicam o tratamento de dados pessoais e nessa medida podem trazer riscos nesse sentido mas são coisas que vão surgindo diariamente. São tratamentos de dados que vão aparecendo sucessivamente e que os quais vamos ter de lidar, portanto diria que é mais um contexto de tratamento de dados que vamos ter de considerar.

Em relação a esta matéria tem sido consultada pelo Governo?

Salvo o erro, tivemos já a emissão de uma parecer sobre o diploma que transpõe a diretiva.