“O desafio passa por saber o que é razoável e, em princípio, a lei permite o que é razoável.”

Filipa Calvão, Presidente da Comissão Nacional de Proteção de Dados

Todos já ouvimos falar no Regulamento Geral sobre a Proteção de Dados. Todos já ficámos a conhecer a sigla RGPD. Mas, afinal, o que mudou? Filipa Calvão, Presidente da Comissão Nacional da Proteção de Dados (CNPD), considera que o grande objetivo deste novo regulamento passou pela uniformização da aplicação num espaço onde também a circulação de dados se pretende livre de fronteiras. Entre receios e dúvidas, a CNPD tem percorrido um país feito de tantas realidades distintas e procurado “acalmar” e clarificar. Valorizando o esforço que tem encontrado, não nega o caminho que há pela frente e sabe que também este estará em constante mutação, ao ritmo da evolução tecnológica e da vontade humana. Por isso e embora a lei deva trazer muitas respostas, Filipa Calvão apela ao bom senso e, acima de tudo, à manutenção do esforço em prol do respeito pelos direitos dos cidadãos.

Qual a missão reservada à CNPD?
A missão da CNPD é a de garantir os direitos dos cidadãos no âmbito de tratamento de dados pessoais, verificando a conformidade dos tratamentos de dados com a lei e procurando repor o respeito por aqueles direitos.

Os cidadãos já têm uma noção mais clara do que está em jogo?
Este novo regime jurídico veio criar mais consciência desse conjunto de direitos. A verdade é que, com a evolução tecnológica, as pessoas têm vindo a ter maior noção de que, por exemplo, nos acessos à internet ou quando se descarrega uma aplicação, há recolha de dados. Também notámos, desde a alteração legislativa, um aumento de solicitações junto da CNPD por parte de cidadãos, tanto para garantir os seus direitos, como para pedir esclarecimentos.

Há alguns anos, a Sollicitare veio conhecer o projeto DADUS. É cada vez mais importante criar mecanismos de sensibilização que cheguem a públicos mais jovens?
Sim. É importante sensibilizar crianças e jovens, são eles os grandes utilizadores destas tecnologias. Também é uma forma de, através dos mais novos, conseguirmos chegar aos seus pais, às suas famílias. É uma forma de passar a mensagem. Para isso, o programa DADUS foi muito importante e, neste momento, organizamos ações de sensibilização em escolas, alertando e despertando a consciência para estas questões.

O que representou este novo regulamento? Trouxe novas exigências ou reforçou as que existiam?
Com este novo regime, a União Europeia pretendeu garantir uma aplicação uniforme das regras de proteção de dados no espaço europeu, para que a liberdade de circulação que hoje temos acompanhe também a liberdade de circulação dos dados dos cidadãos. Ao mesmo tempo, atendendo a que as novas tecnologias nos trouxeram novos desafios, procurou-se reforçar os direitos. A grande novidade, em termos práticos, é que deixa de ser necessária uma autorização prévia para os tratamentos dos dados. Isto significa que cada entidade que queira fazer um tratamento de dados tem que analisar o RGPD e avaliar se cumpre as regras e os princípios nele definidos.

É nessa lógica de responsabilização que surge a figura do encarregado de proteção de dados?
Sim, pretende-se assegurar que estas entidades que fazem tratamento de dados têm alguém, dentro da sua organização, que verifique se os dados estão a ser tratados em conformidade com a lei.

Como se pode explicar o papel da figura do encarregado de proteção de dados? Quem pode assumir esta responsabilidade?
Tem existido alguma confusão no que diz respeito às funções deste encarregado de proteção de dados. A ideia não é ser ele a tomar as decisões e a determinar como vão ser feitos os tratamentos de dados pessoas. Ele está lá para, com independência, aconselhar, acompanhar e, porventura, alertar caso alguma coisa esteja a funcionar mal. A responsabilidade é sempre da entidade que está a fazer o tratamento dos dados. O encarregado tem um papel que de algum modo está entre a função de um consultor e de um fiscalizador.

O país, os cidadãos, as entidades e as empresas têm conseguido dar resposta ou sentem que ainda há um caminho por percorrer, nomeadamente quando falamos em organizações de pequena ou média dimensão?
Tivemos empresas e organismos públicos que se prepararam com tempo, até porque o regulamento já estava em vigor desde 2016. Adaptaram os seus sistemas de informação, garantindo o cumprimento dos princípios do regulamento. Outras entidades esperaram por 25 de maio de 2018 para começarem a rever os seus tratamentos de dados. E, por fim, outras ainda nem olharam para o regulamento. A verdade é que o RGPD diz praticamente o mesmo que a anterior legislação de proteção de dados, quanto aos princípios e às condições para tratamento de dados. Contudo, algumas empresas e entidades não estavam sensibilizadas para o anterior regime legal e, por esse motivo, estarão agora um pouco assustadas.

Sentem que poderemos assistir a algumas situações de exagero de burocracia num momento em que o grande objetivo passa por simplificar?
O RGPD não promove a burocracia, mas, nalguns casos, os responsáveis por tratamentos de dados têm multiplicado procedimentos, porventura por receio de não cumprirem aquelas regras. O regime jurídico está assente numa lógica de responsabilização e, a partir do momento em que deixamos de ter o conforto de uma autorização prévia da CNPD, o receio é maior. Sobretudo porque o quadro sancionatório se alterou substancialmente e é muito mais pesado. Existem, por vezes, exageros, existe má interpretação das normas. Por exemplo, na semana de 25 de maio, todos recebemos inúmeros e-mails solicitando consentimento para tratamento de dados. Muitos desses pedidos não tinham razão de ser, porque os tratamentos estavam legitimados pela lei (por exemplo, casos em que há obrigação das empresas de transmitir dados ao Estado) ou por contrato. Outros pedidos não estavam corretos, pois indicavam que a ausência de resposta significaria o consentimento quando isso já não é válido, pois o novo regulamento exige que o consentimento para os tratamentos de dados seja explícito.

Podemos dizer que houve também um impacto derivado da mediatização da questão?
A mediatização é sempre importante. Durante o ano de 2017 e o início do ano de 2018, corremos o país com conferências e sessões de esclarecimento sobre esta matéria, para conseguirmos consciencializar as pessoas para as alterações e para o que era necessário fazer. E, na maior parte das vezes, com o sentido de acalmar, diminuir a ansiedade. A este propósito, lembro que, no âmbito da fiscalização a empresas, é completamente diferente uma empresa que não fez absolutamente nada para se adaptar ao novo regulamento ou uma que procurou cumprir, mas que ainda está a meio do processo de adaptação ao novo regime.

Os Solicitadores e os Agentes de Execução também lidam diariamente com dados pessoais. Que parte da missão fica reservada para estes profissionais e que alertas é que gostaria de deixar?
Desde logo, o exercício destas profissões exige tratamentos de dados, seja por força de um contrato ou com base na lei e, por isso, os tratamentos estarão legitimados nestes termos. O grande desafio passa pelo juízo de proporcionalidade que é necessário fazer em cada caso. Ou seja, deverá ponderar-se se os dados que estão a ser recolhidos são efetivamente adequados e necessários para a finalidade visada com o seu tratamento.

Numa questão mais prática, os solicitadores e advogados têm sentido algumas dificuldades dessa natureza. Por exemplo, os cidadãos que querem conhecer o dono do prédio rústico que se localiza ao lado do seu, seja para o demarcar ou para denunciar situações de risco - podem obter esta informação ou falamos de dados confidenciais?
Com este regulamento, será possível continuar a obter essa informação. Na base do regime de proteção de dados está o bom senso, como deve suceder em todos os regimes jurídicos. O desafio passa por saber o que é razoável e, em princípio, a lei permite o que é razoável. Essencialmente, o que está em causa é este juízo de razoabilidade.

Para que o regulamento comunitário esteja completamente operacional é necessária uma lei da Assembleia da República. Qual a perspetiva da CNPD sobre o que deve ser regulado nessa lei?
Existe uma proposta de lei que foi apresentada à Assembleia da República e que está a ser alterada em sede de especialidade, no sentido de corrigir alguns dos aspetos dessa primeira proposta de lei que não estavam completamente enquadrados com o RGPD. Há questões que têm de ser tratadas pelo legislador português e no âmbito das quais o regulamento deixou espaço para o legislador decidir. E, aliás, há mesmo tratamentos que precisam de lei nacional para poderem ser feitos.

Podemos afirmar que a tecnologia continuará a trazer, todos os dias, novos desafios difíceis de antecipar?
A regulamentação tem de ser dinâmica. É difícil pedir a uma lei que seja dinâmica, por isso cabe à CNPD ir adaptando o regulamento aos desafios colocados pelas novas tecnologias. Por exemplo, um tratamento que hoje esteja a ser feita de uma forma considerada correta, amanhã pode já não o ser. Este é o grande desafio que a tecnologia nos coloca. Por outro lado, a tecnologia pode passar, muitas vezes, de aparente inimiga da proteção de dados a aliada. A tecnologia cria problemas, mas também é capaz de oferecer soluções para os mesmos.

O futuro trará uma sociedade assustada ou mais informada e capaz de lidar com esta matéria?
Identifico duas posições extremas na nossa sociedade: aqueles que estão a ficar obcecados por este tema, que não querem sequer utilizar um computador porque têm medo de um qualquer ataque aos seus dados; e aqueles que são indiferentes a esta questão e que dizem nada ter a esconder, o que claramente, para mim, é um princípio errado. Cada um de nós tem direito à sua privacidade. Eu tenho direito a que a minha informação esteja protegida, pelo menos numa determinada medida.