“O RGPD aplica-se a qualquer profissão ou área de atividade em que circule informação pessoal”
Professor da Faculdade de Direito da Universidade de Lisboa, doutorado com a dissertação: “Privacy e proteção de dados: a construção dogmática do direito à identidade informacional”, Alexandre Sousa Pinheiro foi ainda membro do Grupo de Trabalho constituído para a implementação do Regulamento Geral Proteção de Dados (RGPD) em Portugal. Foi vogal da Comissão Nacional de Proteção de Dados (2001-2006) e presidente do Multidisciplinary Group on Organized Crime, do Conselho da União Europeia - Data Protection. Sobre esta temática, não tem dúvidas: “existiu, e existe, muita desinformação”
Quais as consequências, na prática, para quem a partir de 26 de maio não tenha o RGPD implementado?
O RGPD tem um quadro de novas obrigações que, em caso de incumprimento, podem levar a autoridade de controlo, no caso português a Comissão Nacional de Proteção de Dados (CNPD) a adotar medidas de caráter sancionatório ou corretivo. De qualquer forma, importa tomar em consideração a legislação nacional a aprovar para tornar de pleno exequível o RGPD. Por exemplo, importa conhecer as molduras inferiores das contraordenações e não apenas os limites máximos de J20.000, ou de 4% do volume de negócios anual de uma empresa a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado. O RGPD impõe a elaboração de registos de tratamentos de dados que o que abrange a grande maioria das médias empresas (artigo 30.º) e estabelece medidas de segurança mais exigentes do que as que se encontravam previstas na Diretiva (artigo 32.º). E estas obrigações carecem de ser seguidas desde a produção de efeitos do RGPD. O fundamental dos direitos dos titulares dos dados já se encontrava previsto na Diretiva de 1995 e na Lei n.º 67/98, pelo que nesta vertente não pode dizer-se que existam novidades de vulto. Entre 2016 e 2018 houve um período de dois anos que devia ter sido utilizado para adaptar as empresas e a Administração Pública ao novo quadro jurídico. Na maior parte dos casos tal não aconteceu, o que não é obviamente positivo nem para os titulares dos dados nem para os responsáveis pelos tratamentos de dados. Haverá que seguir processos de implementação que carecem de algum tempo de maturação e de percorrer um conjunto de fases que vão desde um diagnóstico de apuramento do tratamento de dados até ao momento da verificação das tarefas de compatibilização com o RGPD.
Apesar de nos últimos meses se terem multiplicado as informações relativas ao RGPD, a verdade é que já existia uma legislação de proteção de dados. A razão deste renovado interesse, e preocupação, prende-se apenas com as sanções pecuniárias?
Existiu, e existe, muita desinformação sobre este tema. O valor máximo das sanções que, obviamente, não vai ter uma aplicação quotidiana foi utilizado como argumento de terror para promover formações e intervenções junto de empresas de fraquíssima qualidade, muitas delas que carecem já de modificações. Quantas empresas conseguem produzir o suficiente para pagar uma coima de J20.000 ou de J10.000? Mas é assim que se semeia o pânico para instaurar o pânico. Não há dúvida de que serão aplicadas sanções e outras medidas de caráter corretivo, que podem culminar com a proibição de um tratamento de dados, mas a preocupação deve ser a de implementar o RGPD, perceber as novas exigências e aproveitar as mudanças organizacionais que serão necessárias para criar organizações mais eficientes. Com base nestas oportunidades, as obrigações de cumprimento do RGPS vão exigir um investimento evidente. Não deve, porém, ser movido pelo medo do pagamento de milhões que a maior parte das empresas de que a maior parte das empresas não dispõe.
Trabalhou na elaboração da nova legislação de proteção de dados. Pode referir em que medida consistiu esse trabalho e também qual a sua análise, resumida, à nova legislação, em termos positivos e negativos?
Na última semana de agosto de 2017 foi constituído um grupo de trabalho, por despacho da Ministra da Presidência, para preparar entre outros elementos um anteprojeto para apresentação ao Governo sobre a legislação de execução do RGPD. Dentro do prazo definido (até 30 de dezembro), o trabalho foi entregue. Posteriormente, seguiu a tramitação governamental definida na Constituição e no Regimento do Conselho de Ministros. É necessário notar que o que o Governo apresentou na Assembleia da República foi uma proposta de lei e não uma futura lei. Há um evidente debate a fazer no Parlamento, considerando, por exemplo, o parecer da CNPD. Houve, nomeadamente, o objetivo de garantir que fosse garantida a proteção de dados no domínio da videovigilância, quanto à privacidade no contexto laboral, no que respeita aos direitos de pessoas falecidas e fossem mantidas as regras de constituição da autoridade de controlo.
A presidente da CNPD afirmou que não foi chamada a pronunciar-se sobre a lei. Faz sentido não ter sido ouvida?
Entre 2001 e 2006 fui vogal da CNPD, conheço, portanto, a instituição. Não comento o que possa ter referido a Professora Filipa Calvão, sendo certo que a CNPD já emitiu o parecer para que nos termos da lei é competente. É de sublinhar que a CNPD é competente para emitir parecer sobre qualquer legislação, regulamentos ou atos de Direito Internacional em que Portugal seja parte e que envolvam matéria de proteção de dados pessoais.
Acredita que a CNPD vá ter os meios suficientes de fiscalização no âmbito da nova legislação?
Não posso responder com uma crença. Espero e desejo que tenha os meios necessários para cumprir o que o RGPD impõe e a legislação nacional venha a impor.
Qual a sua opinião sobre o facto de o Estado adiar as sanções pecuniárias a organismos públicos por três anos, apesar de estar obrigado a cumprir as novas regras? Existe algum paralelismo na UE quanto a esta questão?
Trata-se de uma proposta que tem fundamento no n.º 7 do artigo 83.º do RGPD. É um facto de que até à data a CNPD aplica sanções a entidades públicas, embora seja comum em congéneres europeias tal não ocorrer. Parece-me, contudo, ainda precipitado afirmar que o Parlamento aprovará a proposta do Governo no que toca à fixação de um período de isenção para posterior reapreciação.
Para as várias profissões ligadas à área judiciária, principalmente a advocacia, quais considera serem os maiores desafios que este RGPD vem colocar?
O RGPD aplica-se a qualquer profissão ou área de atividade em que circule informação pessoal. Tal passa-se no exercício da advocacia. Uma pergunta interessante pode ser a que indague da possibilidade de um advogado ser, também, encarregado de proteção de dados. Penso que tal só poderá ocorrer se o advogado não prestar serviços de advocacia à entidade ou empresa em que seja encarregado de proteção de dados. Caso contrário, estar-se-á perante uma clara limitação de ambas as atividades, com prejuízos deontológicos, na medida em que um advogado que, como encarregado de proteção de dados, verifique a prática de um crime deve denunciá-lo ao Ministério Público. Não é esta a função dos advogados.
Com o RGPD, os contratos de trabalho podem ter de sofrer alterações mediante as áreas em que estão inseridos os trabalhadores (por exemplo, profissionais das áreas dos Recursos Humanos ou Contabilidade), de forma a que sejam inseridas cláusulas adicionais de sigilo nos seus contratos?
Existe muita incompreensão nestas áreas. As regras de sigilo constam do RGPD e, frequentemente, de legislação interna. É essa a fonte de onde decorrem. O problema de fundo é outro e respeita ao que saxónicos designam como need to know. Antes do sigilo, o problema que deve colocar-se respeita ao acesso à informação. O que se verifica em muitas situações, particularmente no que respeita aos recursos humanos ou ao capital humano, consiste no acesso muitas vezes de um número elevado de trabalhadores, quando a organização devia seguir regras de maior limitação em quem tem a possibilidade de conhecer penhoras salariais ou despesas médicas. Há óbvias exigências nesta área quer na administração pública, quer nas empresas.
Tendo em conta o preceito do direito ao esquecimento, por um lado, e a dificuldade na deteção do paradeiro efetivo dos dados – e consequente impossibilidade de eliminação dos mesmos do mundo digital, por outro lado, como pode alguma entidade efetivamente assegurar aquele direito, tendo em conta que no Direito não é admissível que se criem obrigações impossíveis?
O RGPD refere o direito ao apagamento de dados ou o direito a ser esquecido, não afirma expressamente o direito ao esquecimento. Trata-se de um desenvolvimento o direito à retificação que teve uma projeção universal com o acórdão do Tribunal de Justiça da União Europeia Costeja Gonzalez de 13 de maio de 2014. O artigo 17.º do RGPD não limita o apagamento ao mundo digital, nem o refere como uma regra na relação entre titulares dos dados e responsáveis pelo tratamento. Tem-se registado muita dificuldade na interpretação desta disposição. O que se deve apagar respeita, por exemplo, a dados que já não servem as finalidades para as quais foram recolhidos ou a dados pessoais que o foram ilicitamente. No caso dos motores de busca, o que pode verificar-se são casos de desindexação ou de insusceptibilidade de indexação. E estas situações constituem possibilidades fácticas.
Como se pode alcançar a autodeterminação informacional numa época de plena evolução dos sistemas de comunicações eletrónicas e de comunicação global em rede? É uma utopia?
A autodeterminação informacional está necessariamente associada ao princípio da finalidade e visa garantir que os titulares tenham direito a intervir sobre a informação pessoal que lhes respeita. É certo que numa era em que a “informação é moeda” o sentido que a expressão originária informationelle Selbstbestimmung adquire não corresponde com exatidão à versão originária. Mas basta pensar na necessária articulação entre o direito à/de informação e as mais rigorosas exigências no que toca ao consentimento como fundamento de legitimidade para saber perceber que a autodeterminação informacional resiste e será assim muito na medida em que os titulares dos dados percebam que se trata de um direito.
Outra questão prática: como é que se exige que um terceiro – sem qualquer relação contratual com o consumidor – seja obrigado a eliminar e a esquecer determinados dados pessoais?
A resposta obriga a pensar na pergunta ao contrário. Só deve verificar-se tratamento de dados pessoais a existir uma condição de legitimidade, como, por exemplo, a execução de um contrato. Não se verificando uma situação dessa natureza, não há fundamento para a conservação dos dados.
Quais os países europeus onde a proteção dos dados está mais avançada?
A existência de legislação europeia conduz a que exista um padrão legislativo comum. Era assim com a Diretiva 95/46/CE e continuará a sê-lo com o RGPD. Existem, contudo, Estados que investem e investigam a proteção de dados de uma forma muito completa. As literaturas alemã e italiana têm um relevo extraordinário no tema, existindo trabalhos de muito mérito também na Holanda e no Reino Unido. Importa notar, por exemplo, que a figura do encarregado de proteção de dados tem uma forte projeção germânica, enquanto os códigos de conduta começaram a desenvolver-se na Holanda. A consulta dos sites da CNIL francesa ou da AEPD espanhola fornecem material do maior interesse para quem tem uma intervenção operacional na matéria nomeadamente através da realização de avaliações de impacte na área da proteção de dados. Apesar de dificuldades de funcionamento, a CNPD portuguesa é responsável por decisões muito relevantes em matérias complexas como, por exemplo, a videovigilância ou a geolocalização.
Qual o panorama na lusofonia?
O Brasil, apesar de dispor do designado “Marco Civil da Internet”, aprovado pela Lei n.º 12.965, de 23 de abril de 2014, e regulada em 2016, não dispõe de uma lei de proteção de dados, apesar de encontrar no Senado brasileiro uma iniciativa desde 2015, em que se apresentam já linhas de proximidade relativamente ao RGPD, apesar de o texto carecer de intervenções em áreas importantes como a criação do órgão competente. Em Cabo Verde existe legislação de proteção e dados e está constituída uma autoridade de controlo designada como Comissão Nacional de Proteção de Dados. Em Macau, o Gabinete para a Proteção de Dados Pessoais aplica legislação de 2005, muito semelhante à Lei n.º 67/98. Em Angola existe a Agência de Proteção de Dados criada em 2016, depois de lei substantiva datada de 2011, mas o sistema não está ainda em funcionamento. Em São Tomé e Príncipe existe legislação de proteção de dados (2016) e está criada a Agência Nacional de Proteção de Dados (2017). Em Moçambique não existe lei específica que contemple a matéria, apesar de a Constituição tratar do tema. O mesmo se passa em Timor-Leste.
A sua tese de Doutoramento versou sobre privacy e proteção de dados, na qual, entre várias outras coisas, demonstra as diferenças culturais entre o sistema norte-americano e europeu. Quais são, resumidamente, essas diferenças?
O que me preocupou na dissertação de doutoramento foi detetar as semelhanças entre a origem da privacy e da proteção de dados, que não é mais do que a tradução da expressão alemão datenschutz. Em ambientes culturais muito diferentes, e momentos históricos distanciados, a privacy nos Estados Unidos, em 1889, e a proteção de dados, nos anos 70 e 80 do século passado, no centro da Europa, tem por base a tecnologia como um perigo comum que afeta bens da personalidade. Quem lê o “The Right of Privacy”, de Samuel Warren e Louis Brandeis, verifica o relevo dado à proteção do indivíduo relativamente à curiosidade do mundo e à invasão através da fotografia, das então designadas Killer Kodak. No século XX, no pós-guerra, o desenvolvimento tecnológico – com a chegada do computador –, a par do desenvolvimento de políticas sociais que envolviam a recolha de informação diversa sobre os indivíduos para garantir a justeza das decisões públicas, levou a que se equacionassem os riscos da centralização de informação sobre os titulares dos dados pessoais, sobretudo no setor público. O medo orwelliano esteve, em farta medida, na origem da proteção de dados. Os norte-americanos concretizam a privacy ou em ilícitos civis, ou em direitos de natureza comportamental em formulações cunhadas pela Supreme Curt (matérias de costumes, com grande frequência).