QuiosqueAnteriorSeguinte

Entrevista Presidente da Comissão Nacional de Protecção de Dados (CNPD)

Filipa Calvão

Filipa Calvão

“Há um regime específico para o tratamento de dados pessoais no sistema judicial”

Filipa Calvão é doutorada em Direito e lidera a Comissão Nacional de Protecção de Dados (CNPD) desde 2012. Este ano, a responsável pela CNPD tem um grande desafio pela frente: o Regime Geral de Protecção de Dados, que entrou em vigor no dia 25 de Maio.

O que é o Regulamento Geral de Protecção de Dados (RGPD)? Porquê e quem são os agentes envolvidos neste tema?
O Regulamento Geral de Protecção de Dados (RGPD) é uma legislação da União Europeia (UE) que visa uniformizar as regras de tratamento de dados pessoais dentro da UE. A anterior directiva, que agora o regulamento vai afastar e que foi transposta pelos Estados membros, permitia alguma flexibilidade e diferenciação entre os vários Estados membros no que diz respeito a fiscalizações e sancionamentos por parte das autoridades de protecção de dados, podendo nuns Estados o tratamento de dados depender da autorização da autoridade nacional de controlo e noutros não. Este facto criou muitas diferenças de regime, fazendo com que certas empresas procurassem determinados Estados membros não apenas por benefícios fiscais, mas muitas vezes também por vantagens do ponto de vista de tratamento de dados pessoais e do regime de dados pessoais.

Portanto, o que o regulamento pretende é uniformizar, de forma a garantir um tratamento igual dos cidadãos e o livre fluxo de dados dentro do espaço europeu, para que não haja entraves à livre circulação desses dados dentro do mercado europeu.

Quem são os agentes envolvidos neste tema?
Os cidadãos, na medida em que são os titulares dos direitos que aqui se pretendem ver protegidos, aqueles que fazem tratamento de dados pessoais, que podem ser organismos públicos, empresas, associações de natureza privada ou outro tipo de entidades de natureza privada, e até pessoas singulares, a própria autoridade nacional de controlo em cada Estado, como é o caso da CNPD, que tem a função de garantir o cumprimento do regulamento, e, em alguns casos, dentro de cada organização terá que haver um outro actor, o denominado Data Protection Officer (DPO), que é o encarregado de protecção de dados e que vai ter funções de aconselhamento dentro da organização relativamente ao melhor modo de cumprir o RGPD. Por fim, outros actores importantes neste contexto são os subcontratantes, designados no regulamento, que são aqueles que processam dados por conta dos responsáveis.

Quais os principais impactos e transformações que irão ocorrer para as entidades públicas e privadas e para os cidadãos com o RGPD?
Genericamente, o que o regulamento traz quando pretendeu uniformizar o regime de protecção de dados foi a eliminação do controlo administrativo prévio e do dever de notificação por parte dos responsáveis, permitindo que se possa iniciar um tratamento de dados sem haver uma intervenção da autoridade nacional. Isto faz com que haja uma transferência de responsabilidade da realização desse tratamento de dados e do cumprimento das regras de protecção desses mesmos dados para as entidades que processam esse tratamento. Na realidade, recai agora sobre quem faz esse tratamento de dados o dever de verificar se está em conformidade com o novo regulamento, e para isso tem um conjunto de obrigações complementares que o regulamento fixa. E essas obrigações complementares é que são a grande novidade, que passam pela existência de um registo interno no tratamento de dados (com diferenciação do tipo de tratamento em função da finalidade, dos titulares que estão em causa e das categorias desses mesmos titulares); realizar estudos para analisar o impacto do tratamento de dados na esfera jurídica dos titulares de dados em casos de informações que envolvam um elevado risco para a privacidade, liberdade, igualdade e identidade dos titulares desses dados; a obrigatoriedade do encarregado de protecção de dados, que está previsto para organismos públicos e para entidades privadas nalguns casos que trazem maior risco e justificam um maior acompanhamento, e finalmente a obrigação de notificação quando há violação de dados pessoais, ou seja, quando se registem quebras de segurança com acessos indevidos à informação, perda de dados pessoais ou indisponibilidade temporária ou definitiva de dados, que são situações em que as medidas de segurança podem não ter sido as suficientes para proteger a informação e há obrigação de notificar essa quebra de dados quer à autoridade nacional de controlo (CNPD), quer, em alguns casos, aos próprios titulares de dados. Esta última medida é bastante importante, e até mesmo pedagógica, para garantir o cumprimento do regulamento, porque, em termos de reputação das instituições, dos organismos, das empresas, ter que fazer notificações destas, desde logo aos titulares de dados, tem um peso considerável.

Na sua opinião, as entidades públicas e privadas estão preparadas para a entrada em funcionamento do regulamento?
Esperemos que sim. Sabemos que há muitas empresas e organismos públicos que estão a fazer a adaptação do seu sistema de informação e da sua organização ao regulamento, outros estão mais atrasados, outros, porventura, estão mais relaxados. Admito que o ritmo não seja igual para todos, mas já começa a haver uma certa noção de que é preciso garantir o cumprimento destas obrigações complementares. Na prática, aquilo que se exige hoje, materialmente, a nível de protecção de dados já era o que se exigia nos últimos 20 anos. O que existe é um conjunto de obrigações complementares que as entidades têm que cumprir.

Qual é o maior desafio que o RGPD apresenta para as organizações?
É reorganizar. O RGPD traz um conjunto de obrigações novas, que obrigam a uma reorganização interna com maior consciencialização de protecção de dados, e nesse ponto de vista obriga a criar quem internamente garanta o cumprimento do regulamento, tem obrigação de registo, uma obrigação nova, que até aqui se fazia por notificação à Comissão, e agora tem essa obrigação de o fazer internamente. Depois, é importante o cuidado de garantir a efectiva protecção desses dados, que na realidade já resultava da lei actual, mas que agora está reforçado com este conjunto de obrigações novas.

Que oportunidades o RGPD traz para as empresas?
Muitas oportunidades de negócio, que se têm notado bastante no mercado, e traz, sobretudo, a oportunidade de criar certificação de marcas ou selos de protecção de dados, que, no fundo, dão a indicação à sociedade ou ao mercado que um determinado organismo público ou empresa está a cumprir o regulamento.

Pode o RGPD alavancar processos de transformação digital nas organizações? Quais?
Admito que nalguns casos isso se possa justificar, dado que alguns sistemas de informação assentam em sistemas informáticos que já têm muitos anos. Noutros casos, as organizações podem aproveitar a oportunidade para renovar os seus sistemas de informação. No entanto, penso que as entidades não têm de “correr” atrás de uma oferta de novos produtos que alegadamente garantem o cumprimento do regulamento; tem que haver alguma razoabilidade e ponderação.

Como vão ser definidas as coimas a pagar? As multas podem chegar aos 20 milhões de euros ou 4% do volume de negócios anual. Esta medida é universal ou vai ter em conta o nível de vida nacional e a capacidade financeira das empresas em incumprimento?
O regulamento fixa um quadro sancionatório muito pesado e assustador, na ordem dos milhões, o que, olhando para a realidade portuguesa, parece um pouco desfasado. O regulamento manda atender a um conjunto de critérios que obrigam a quem vai aplicar a sanção, a CNPD e os Tribunais, em sede porventura de reacção contra a sanção aplicada, a considerar diferentes factores, entre os quais a situação económica da empresa ou entidade que está a ser objecto de aplicação da sanção e a realidade económico-financeira do país em questão. A ideia não é andar a “matar” empresas porque não cumprem a lei de protecção de dados, mas antes aplicar sanções razoáveis, suficientemente dissuasoras da repetição do comportamento ilícito, mas que não arruinem a actividade ou existência de determinada organização, seja ela pública ou privada.

Até ao momento, e ao longo de mais de 20 anos, a CNPD tem aplicado sanções com grande razoabilidade. Isto é, é uma prática que será sempre seguida por parte desta entidade.
De todo o modo, está a ser discutida no Parlamento uma proposta de lei, apresentada pelo Governo, que prevê molduras sancionatórias distintas em função da dimensão das empresas. A CNPD tem dúvidas quanto à conformidade dessa diferenciação com o regulamento de protecção de dados, mas não sei qual vai ser a posição final do Parlamento nesta matéria.

Qual a sua opinião sobre a nova legislação da proteção de dados pessoais? A CNPD já emitiu o seu parecer junto do Governo? Por que só agora esta aproximação do Governo à CNPD, que poderia ter sido um aliado de peso em toda a preparação destas normas?
O Governo não pediu à CNPD parecer sobre esta proposta de lei. Mas a proposta de lei foi aprovada pelo Governo e submetida à Assembleia da República, e junto desta já emitimos um parecer que foi enviado para a 1.ª Comissão do grupo parlamentar.

De acordo com a directiva europeia, vão passar as empresas a auto-regular-se? As empresas portuguesas estão preparadas para essa responsabilidade?
As empresas têm que assumir essa responsabilidade. Isto não é totalmente novo, tem vindo a acontecer no domínio do direito administrativo e do direito público uma passagem de funções que até aqui eram asseguradas por entidades públicas, transferindo essa obrigação de verificação do cumprimento da lei para as empresas. Até aqui era confortável ter uma autorização da comissão para proceder ao tratamento de dados; agora as empresas passam a ter que desenvolver essa actividade numa lógica de auto-responsabilização. É certo que podem vir ter com a CNPD em busca de orientações concretas e esperamos ter meios e recursos suficientes para responder a essas solicitações. Alguns esclarecimentos estão no site da CNPD, relacionados com os princípios e o modo de aplicação do novo regulamento. Relativamente a novas questões que o regulamento coloque, estamos envolvidos com um grupo de trabalho consultivo da União Europeia, onde estão consagradas as diferentes autoridades de protecção de dados dos diferentes Estados membros, e neste seio temos aprovadas várias directrizes em relação a questões que o regulamento coloca.

Agora o que se pretende é uma auto-regularização das empresas, que as empresas assumam o papel de verificar o cumprimento do regulamento antes de prosseguirem com o tratamento de dados pessoais.

Além das empresas, o próprio Estado está preparado para as novas regras?
No Estado, tal como nas empresas, verificam-se vários níveis de preparação para a aplicação do regulamento. Existem organismos onde sempre houve uma grande preocupação no cumprimento da lei de protecção de dados pessoais, e para essas entidades o trabalho não vai ser muito diferente daquele que foi feito até então. Claro que há obrigações complementares que vão ter que cumprir, mas na verdade já tinham bons sistemas de tratamento de dados pessoais e com garantias de protecção desses dados. Outros organismos, eventualmente, estarão mais atrasados. Sei que há algum atraso, mas não tenho noção do ritmo a que está a ser feito.

É verdade que a proposta de lei invoca que “para causar a menor perturbação institucional” se vai adiar por três anos o regime sancionatório aos organismos públicos? Concorda com esta medida? Está em conformidade com a norma europeia?
Está consagrado na proposta de lei, que prevê que não seja aplicado o regime sancionatório às entidades públicas alegando “causar perturbação institucional”. Saliento que este regime é permitido pelo RGPD, apesar de a CNPD não concordar com a solução, entendendo que viola um outro princípio, o da igualdade dentro da nossa ordem jurídica. Eu tenho dúvidas na percepção do que possa ser a “perturbação institucional”, porque há mais de 20 anos que as entidades públicas estão sujeitas a sanções por parte da CNPD. O regime actual não distingue entidades públicas de entidades privadas e algumas vezes são aplicadas sanções a entidades públicas. Portanto, não percebo o que pode ser “perturbação institucional”, e não há aqui novidades na ordem jurídica que justifiquem isto. Se for o montante das coimas, este é tão perturbador para as entidades públicas como para as privadas, e não vejo razão para diferenciar. Esta é a posição da CNPD, que entende que há um tratamento desigual de quem faz tratamento de dados pessoais. E, mais ainda, porque estamos a falar de entidades públicas. O Estado, por exemplo, que faz tratamentos de dados pessoais muito intrusivos na vida dos cidadãos para garantir o funcionamento dos serviços, portanto, por maioria de razão, não pode fugir desse quadro sancionatório. A menor liberdade dos cidadãos perante o tratamento de dados pessoais feito pelo Estado justifica ainda mais a sujeição do Estado a regras sancionatórias.

Quais os principais desafios que o regime do Regulamento Europeu de Protecção de Dados coloca à comunidade jurídica no que respeita aos dados disponíveis no sistema judicial?
Há um regime específico para isso. O sistema judicial congrega dois regimes: o regulamento geral de protecção de dados e uma directiva para a protecção de dados no domínio da investigação criminal e da actividade policial. Portanto, é um regime que vai merecer uma atenção diferente por parte do legislador nacional. Tanto quanto sei, já existem propostas de lei, via Ministério da Justiça, que devem estar na Assembleia da República, que pretendem alterar e rever a lei que regula o tratamento de dados pessoais no contexto do sistema judicial. Depois existe a própria proposta de lei relativa à directiva de instigação criminal, portanto, no contexto dessa actividade dos Tribunais, há uma necessidade clara de rever o sistema judicial do ponto de vista de sistema de informação. O legislador também ponderou essas soluções na proposta de lei, e a CNPD emitirá o seu parecer sobre essa matéria.

No que diz respeito ao DPO (Data Protection Officer), o que entende ser “tratamento de dados em larga escala”, que é o conceito indeterminado utilizado no RGPD e que ainda não se consegue densificar?
É um contexto intencionalmente impreciso, portanto também não consigo dar uma definição do que seja a “larga escala”. São conceitos que têm que ser preenchidos em concreto, e existem já algumas orientações, quer nos próprios considerandos do regulamento quer nas tais directrizes do artigo 29, o tal órgão consultivo da União Europeia, mas na verdade é uma análise que tem que ser feita no caso, porque há situações que justificam esse conceito e outras não.

Para quem reverte o valor das multas?
Seguindo a regra geral no Estado Português, 60% para os cofres do Estado e 40% para a autoridade que aplica a coima, neste caso a CNPD.

Um outro desafio da CNPD para este ano é a transposição para Portugal da nova directiva de pagamentos na banca, que vai entrar em vigor já com alguns meses de atraso relativamente ao resto da Europa. Já estão a trabalhar neste tema?
Já enviámos parecer sobre esta matéria.

Que outros desafios vai enfrentar a CNPD este ano e em 2019?
O nosso maior desafio para este ano e para os próximos anos é o reforço de meios. É fundamental reestruturarmos todo o sistema interno da comissão em termos de organização. Estamos a aguardar aprovação da alteração da nossa lei de organização e funcionamento para poder reorganizar esses serviços, mas o Parlamento ainda não aprovou esse diploma. A CNPD não tem recursos suficientes; se numa actividade de controlo prévio era difícil, numa actividade de fiscalização é praticamente impossível.

A organização actual estava pensada para uma lógica de actividade de fiscalização e sancionamento, mas essencialmente de controlo administrativo prévio. Agora é evidente que precisamos de mais trabalhadores especializados, quer na área informática quer jurídica, e portanto é essencial que o diploma seja aprovado.

De ressalvar que todas as autoridades nacionais de protecção de dados nos Estados membros da União Europeia, ou quase todas, subscreveram um reforço substancial, quer orçamental quer de recursos humanos.
Texto Sofia Arnaud Fotos Fernando Piçarra