Regulamento Europeu de Proteção de Dados: o que mudou?

O Regulamento Europeu de Proteção de Dados foi publicado em 2016 e vigora desde Maio de 2018. Durante os 2 anos que se passaram entre a publicação do Regulamento e a entrada em vigor do mesmo, a maioria das organizações não se preocupou muito com o tema. Quando se aproximou a data da entrada em vigor, e à boa maneira Portuguesa, começaram a surgir algumas dúvidas sobre o assunto. Gerou-se até algum alarmismo, houve mediatização e muita informação errada que passou como verdade absoluta.
Surgiram formações, certificações e soluções de implementação, um pouco como cogumelos, aqui e ali! Certamente algumas seriam idóneas, mas na sua maioria contribuíram para a confusão geral.
Correu muita tinta sobre o assunto, e foi investido muito dinheiro em formação e mesmo em ações de certificação de Encarregados de Proteção de Dados!
É importante referir que, apesar de todo o mediatismo desta questão – em Maio de 2018 não existiam orientações expressas – e atualmente continuam a não existir.
Encarregado de proteção de dados Certificado? A Comissão Nacional de Proteção de Dados (CNPD) diz que não! Não existe essa obrigação, nem essa certificação!
Organizações obrigadas a ter Encarregado de Proteção de Dados? Continua sem se saber quais são exactamente. Só se sabe que são aquelas que tratem dados sensíveis e as que tratem dados em larga escala. Sendo que o conceito de larga escala não está definido no Regulamento e a CNPD dá exemplos quase ridículos do conceito, deixando esta matéria no âmbito da interpretação livre.
Também muito se falou sobre o Encarregado de proteção de Dados ter de ser um jurista ou informático – e logo apareceu mais uma área de negócio, com pessoas destas áreas a disponibilizar-se para assumir esse papel nas empresas, possivelmente sem consciência da responsabilidade associada.
Quando surgiu a legislação parecia uma completa novidade e foi como se Portugal não tivesse já normas relativas à recolha e tratamento de dados, nomeadamente na área de marketing! Choveram mensagens e emails de pequenas e de grandes empresas a referir que se não dessemos o nosso consentimento para constar na base de dados, iriam deixar de nos enviar quaisquer tipo de comunicações. Passado este ímpeto inicial, e se formos verificar quantas dessas mensagens ignorámos, constatamos que quase nenhuma dessas empresas deixou de proceder como até então, continuando a enviar a sua informação publicitária ou as faturas de serviços. Fruto de toda a confusão e “desinformação” que se gerou, as empresas assumiram que teriam de ter autorização para proceder ao envio de uma fatura, e algumas, tendo feito a recolha para uma base de dados fidedigna, julgaram ter de pedir novo consentimento.
Por momentos parecia que teríamos de ter um papel e uma autorização a cada pedido feito! Numa fatura, num contrato, numa inscrição. E embora tal não corresponda às obrigações inerentes ao Regulamento, foi assim que a informação passou, e muitas entidades continuam a pedir autorizações em cima de autorizações, para situações que teriam toda a legitimidade legal quer na sua recolha quer no seu tratamento. Se vou celebrar um contrato de trabalho, é evidente que tenho de fornecer o meu nome, nº de segurança social e NIF, por exemplo. Se não o fizer, a empresa não poderá processar o meu salário – parece óbvio, não?
Mas passado todo este tempo, o que realmente mudou? Além de agora existir mais uma série de burocracia, na nossa perspetiva pouco mudou nas organizações. Em momento algum o facto de dar uma autorização permite salvaguardar que os dados não se extraviam e não são utilizados para outros fins. Será a forma como os dados são recolhidos, tratados e destruídos que pode representar riscos. Mas como é que essa situação é controlada e fiscalizada? Tal competência compete, em teoria, à CNPD, mas se a Comissão não tem sequer uma dezena de funcionários – como vai chegar às organizações?
Desta reflexão retiramos que, muita tinta correu, e muita ainda poderá correr, mas na prática ainda muito pouco mudou.
Do ponto de vista Empresarial e Organizacional, cada entidade deve organizar os seus procedimentos e criar estratégias que visem salvaguardar o tratamento em segurança de todos os dados pessoais recolhidos. Apesar de estar ainda muito por esclarecer, não podemos fingir que a legislação não existe, e como tal, temos de trabalhar na mesma, sensibilizando os colaboradores nesse mesmo sentido.