Há um
mês a esta parte, mais propriamente a 14 de junho, o Parlamento aprovou a versão
final do RGPD (Regulamento Geral sobre
a Proteção de Dados),
depois de os deputados do grupo de trabalho terem chegado a acordo em relação à
versão final no dia 12 do mesmo mês.
Tal
normativo surge na sequência do Regulamento (UE)
2016/679, do Parlamento Europeu e do Conselho,
de 27 de abril de 2016, que apresenta um conjunto único de regras
relativas à proteção das pessoas singulares no atinente ao tratamento de dados
pessoais e à livre circulação desses dados, ficando sujeitas à sua aplicação as
empresas que tenham o seu estabelecimento no território da União Europeia (UE), independentemente da localização, ainda que o tratamento
dos dados seja feito fora da UE.
O
diploma do Parlamento contou com os votos favoráveis do PS, PSD e do deputado
não inscrito Paulo Trigo Pereira, tendo os restantes partidos – BE, PCP,
CDS-PP, PEV e o deputado do PAN André Silva – optado pela abstenção na votação
final global. E com igual votação foi aprovada a lei de tratamento de dados dos
tribunais e do MP (Ministério Público), mantendo-se a exclusão da CNPD
(Comissão
Nacional de Proteção de Dados)
da supervisão dessas operações.
É certo
que o RGPD passou a ter aplicabilidade direta na UE a 25 de maio de 2018, após
um período de transição, que vigorava desde 2016, mas a aplicabilidade direta
não dispensava cada Estado-membro de criar legislação nacional em observância das
normas da diretiva europeia.
Já em
janeiro, a Comissão Europeia pressionara Portugal à finalização da legislação
nacional do RGPD, pois a falta de legislação nacional adequada, com o intuito
de concretizar alguns aspetos do documento europeu, era uma das críticas feitas
pelos especialistas da área.
Um ano
depois do dia 25 de maio de 2018, a CNPD, a autoridade de controlo em Portugal,
apresentava como balanço seis coimas aplicadas, no montante global de 424 mil
euros, até ao dia 30 de abril. Entre essas, está uma coima de 400 mil euros aplicada
ao Hospital do Barreiro, em outubro de 2018, alegadamente por acesso indevido a
dados de utentes. Não são conhecidas as restantes entidades penalizadas. E
Clara Guerra, consultora coordenadora da CNPD, refere que a divulgação das
entidades “funcionaria como uma sanção acessória”.
De
acordo com o site “Enforcement Tracker”, onde são listadas
coimas aplicadas na UE, a coima ao hospital do Barreiro é a segunda mais alta,
só ultrapassada pela multa à Google em França, no valor de 50 milhões de euros.
Para
muitos, 25 de maio de 2018 era o “dia D” para a privacidade na UE. Punha-se fim
ao período de transição e o RGPD passava a ter aplicabilidade direta. Porém, um
ano depois da entrada em vigor do regime de aplicação, os especialistas avisavam
que há empresas “em estado de negação” num mercado que precisa de amadurecer,
pelo que o mercado português pedia maturidade e legislação adequada. Entre as
mudanças introduzidas pelo RGPD, em 2018, estão conceitos como: o pedido de consentimento expresso aos utilizadores,
com a indicação do fim dos dados e respetivo tratamento; o direito a ser esquecido; o direito
à portabilidade dos dados; ou a aplicação
de avultadas multas caso a privacidade do utilizador não seja tida em
conta.
Elsa
Veloso, advogada e CEO da empresa DPO
Consulting, que dá formação profissional a encarregados de proteção de
dados, refere que se tratou de “um ano ainda de muita seleção de mercado, em
que apareceram muitas empresas e algumas delas só sabem duas palavras –
consentimento e encriptação. O mercado foi tomado por pessoas com pouco estudo
nesta matéria, que é uma matéria densa, complexa e sensível”. Para a
especialista, há que “ganhar maturidade e conhecimento profundo”, ressalvando
que “surgiram imensos especialistas que já causaram muitos prejuízos às
empresas, pela destruição de bases de dados nesta febre do consentimento”. Elsa
Veloso sublinha que “tem de se legalizar, legitimar as bases de dados, mas que
não se podem destruir os valores das empresas”. E Daniel Reis, advogado da
PLMJ, referindo haver quem não tenha plena consciência do RGPD, diz:
“Há muitas empresas (e entidades do setor público) que continuam em
estado de negação em relação à necessidade de alterarem a forma como tratam
dados pessoais. Apenas um grupo pequeno de empresas (sobretudo as empresas
grandes, multinacionais e empresas que atuam em setores regulados) cumpre o
RGPD.”.
Portugal
continuava sem lei de execução nacional, embora Daniel Reis considerasse que a
discussão do diploma estava quase concluída e que a votação final ocorreria
antes do verão. Por sua vez, Sónia Queiroz Vaz, advogada da Cuatrecasas,
explicava que a proposta que estava em cima da mesa “quer concretizar alguns aspetos deixados em aberto no RGPD”, dando
como exemplos “a clarificação do papel da
CNPD ou a lei a estabelecer o limite mínimo para as coimas”. E Elsa Veloso,
esperando que a legislação viesse a acontecer rapidamente, apontava a perda de
competitividade do mercado português, explicitando:
“A falta de lei tem consequências no tecido empresarial, quer em
integrar cadeias de valor altamente competitivas, que exigem conformidade com
RGPD, quer em oportunidades de negócio, de atrair para Portugal empresas ou
representações de empresas estrangeiras que estão a atuar no espaço da União
Europeia”.
O certo
é que, desde o ano passado, muitas empresas e serviços já mostravam cuidado
explícito na obtenção no consentimento por parte do cliente para a utilização
de dados e, eventualmente, para a circulação dos mesmo no interesse mútuo.
***
Porém, o
que está a acontecer nalgumas escolas é lamentável, doloroso e ridículo.
Já há alguns meses, algumas faculdades ou serviços equivalentes em instituições
do ensino superior não exibiam as pautas com as classificações nas diversas
disciplinas, tendo cada aluno acesso à sua classificação através de conversa
com o respetivo professor. Desta feita, como refere alguma imprensa hoje, dia
14 de julho, muitos
alunos que se deslocaram às escolas a saber das notas tiveram uma surpresa: em
vez de, como era habitual, aparecer na pauta o nome seguido da classificação na
disciplina, o estudante encontrou o seu número de aluno ou o número de processo
seguido da classificação. Quem o refere é Filinto Lima, diretor do
Agrupamento de Escolas Dr. Costa Matos, em Vila Nova de Gaia, e presidente da ANDAEP
(Associação
Nacional de Diretores de Agrupamentos e Escolas Públicas), que garante haver várias escolas a optar por esta
solução para evitar multas pesadas por violação do novo RGPD. Diz a este
respeito:
“Há escolas, e eu sei porque já há vários exemplos, que estão a deixar
de publicar os nomes nas pautas e a substituir pela identificação da turma e o
número de aluno ou um número de processo (…) Não direi que seja já a regra, mas
há cada vez mais escolas a optar por essa solução para se protegerem.”.
E o
Presidente da ANDAEP exemplifica as dificuldades que ameaçam as escolas ainda
com outras alterações nas pautas: as escolas deixaram de dizer se os alunos têm necessidades educativas
especiais ou se frequentam a disciplina de Educação Moral e Religiosa.
Num guia de
preparação para a aplicação do RGPD, que entrou em vigor a 25 de maio de 2018,
a CNPD alertava para a atenção particular a “ser dada ao consentimento dos menores ou dos seus representantes legais”,
um dos pontos que mais implicam com as escolas públicas e que gerará dúvidas
nos diretores, que já estão proteger-se numa das práticas mais habituais na
educação, a publicação de pautas com avaliações. E o guia adverte que as
convicções religiosas ou filosóficas estão entre “as categorias de dados sensíveis que não podem ser objeto de tratamento
a não ser em casos excecionais”, mas acaba a lembrar que tem de ser
garantida “a formação dos funcionários que trabalham com dados pessoais”. E
Filinto Lima aponta:
“É um terreno pantanoso, este do novo regulamento, e as escolas precisam
de orientação”.
Assim, os diretores
queixam-se de falta de orientações e formação para lidar com os dados pessoais
de alunos, professores e encarregados de educação.
Ora, algumas diretrizes do RGPD chocam com o lançamento de um “simplex” nas escolas, pelo que Filinto Lima pede mais formação
para os diretores e funcionários que têm de lidar com dados de alunos,
professores e encarregados de educação. E confessa:
“O que
sabemos é que trabalhamos com um enorme volume de dados pessoais e não temos
orientações específicas para as escolas sobre o que fazer. Era muito importante
que o Ministério da Educação garantisse formação aos diretores e funcionários
sobre o regulamento, que, se for infringido implica multas pesadíssimas.”.
O
regulamento prevê dois escalões de coimas, em função da gravidade: nos casos
menos graves, a coima poderá ter um valor de até 10 milhões de euros ou 2% do
volume de negócios anual a nível mundial da empresa que cometa a infração,
consoante o montante que for mais elevado; nos casos mais graves, a coima
poderá ter um valor de até 20 milhões de euros ou 4% do volume de negócios
anual a nível mundial.
Ora, este
escalonamento das coimas desdiz da índole da escola pública ou do hospital
público que não se mede pelo volume de negócios, a não ser que se considere
negócio o serviço público à liberdade de aprender e de ensinar ou o serviço à
saúde a que são alocadas as verbas dos impostos, mas sem consignação
orçamental. A escola e o hospital são organizações, mas a sua gestão tem de
ultrapassar a lógica meramente empresarial. Que os privados negoceiem com a
saúde e a educação percebo; que o Estado o faça não é admissível. Por isso, a
ser considerada contraordenação por parte da escola ou do hospital ou centro de
saúde, os critérios de coima têm de ser outros. Tanto assim é que Tiago Antunes (Secretário
de Estado da Presidência do Conselho de Ministros) disse que o “regulamento foi feito a pensar nas
grandes multinacionais” e, para Portugal, algumas soluções (nomeadamente
as sanções até 20 milhões de euros ou 4% do volume de negócios por
incumprimento do regulamento)
eram exageradas. O objetivo da lei, entretanto aprovada, foi encontrar algum
equilíbrio, moderando alguns excessos. E, mais que evitar multas, cabe aos
gestores tornar o RGPD em alavanca para melhoria dos processos internos de
gestão dos dados pessoais, adoção de novas ferramentas e mudança de
mentalidades.
E, no
atinente à escola, é de citar o comentário de Paulo Guerra à informação veiculada no DN:
“Uma nota escolar a uma qualquer disciplina obtida numa escola pública é
um dado pessoal privado? Se assim é, a frequência de uma escola pública por um
cidadão não o será também? Como se resolve para evitar a multa? Os miúdos vão
passar a vestir uma burka como farda escolar? Por outro lado, ao ocultar-se a
associação entre alunos e notas não se está a privar os alunos de poderem
objetivar o seu desempenho em comparação com os colegas que conhecem? E não se
está também a retirar transparência às classificações dadas pelos professores?”.
Ora, listas
de turmas, registo de frequência de disciplinas opcionais, publicação de pautas
nominais de classificação, planos de atividades, listagem de auxílios
económicos e tantos outros instrumentos de gestão implicam necessariamente
manipulação de dados pessoais, que não podem ficar em segredo em nome da
transparência na gestão pública. Por isso, ou a matrícula pressupõe
automaticamente o consentimento ou então deve, aquando da matrícula ou sua
renovação, solicitar-se o consentimento para utilização dos dados pessoais
necessários para fins escolares. Continuar com a palhaçada que se está a
desenhar no panorama escolar é que não!
A chamada de
atenção de Filinto Lima vem a propósito do lançamento do programa de
simplificação administrativa nas escolas, inserida na iniciativa “Simplex
+”, que tem como uma das principais propostas a assinatura digital e a
desmaterialização de atas de reuniões: atas mais simples que devem, ainda
assim, continuar a ser disponibilizadas aos interessados, omitindo todos os
dados pessoais de terceiros (nisto, concordo, a menos que haja implicação de
terceiros num mesmo caso). E o
programa “Escola + Simples” enumera
as áreas em que se pode diminuir a burocracia. Nas visitas de estudo, por
exemplo, pode um dos professores
responsáveis ser substituído por outro membro da escola (assistente operacional, assistente técnico, técnico, etc.), os pais podem participar nas atividade e deixa de
ser obrigatório o envio de relatório à DGEstE (Direção-Geral dos Estabelecimentos
Escolares); as visitas são alargadas à
educação pré-escolar; o prémio para os
vencedores dum concurso de ideias é o acesso gratuito de alunos e docentes das
escolas vencedoras à edição da Web Summit;
e, no caso dos manuais escolares, vale o que já se sabe:
“No âmbito da medida da gratuitidade dos manuais escolares para todos os
alunos do ensino público, e tendo em vista assegurar a simplificação dos
procedimentos implementados no ano letivo 2018-2019 para famílias e livreiros,
através da plataforma online MEGA, o Governo permitirá, em 2019-2020, que o
processo de faturação dos AE/ENA sob a tutela do Ministério da Educação se
centralize no Instituto de Gestão Financeira da Educação (IGeFE),
passando a ser este a emitir os compromissos aos fornecedores (livreiros) e a
efetuar o correspondente pagamento”.
Para Filinto
Lima, este simplex limita-se a relembrar procedimentos, como
na contratação de apoio jurídico, que em muitos casos as escolas já conhecem e
adotam. Este diretor prefere deixar uma outra proposta para diminuir a
burocracia nos serviços (a escravidão das plataformas) e diz:
“Preferia que se acabasse com a escravidão das plataformas. (…) Muita da burocracia resulta da falta de
organização das estruturas intermédias, das direções-gerais, que nos pedem os
mesmos dados à vez, com prazos diferentes e sempre muito curtos. Era importante
que se organizassem.”.
O
programa publicado na semana passada no site
da DGEstE prevê ainda o lançamento dum concurso de ideias, para que as
escolas (públicas e privadas) proponham soluções
desburocratizadoras e simplificadoras de práticas. O prémio, além do reconhecimento das ideias implementadas em
projetos-piloto, é o acesso gratuito de alunos e docentes das escolas vencedoras
à edição da Web Summit e eventual
apresentação das ideias no âmbito do encontro.
***
O enquadramento
sancionatório imposto pelo regulamento (20 milhões ou 4%
dos resultados globais da organização sancionada) ajudou a reforçar a preocupação das empresas em
cumprir a lei e a reforçar a consciência das pessoas acerca dos direitos de que
são titulares. Porém, tais “avanços” não foram isentos de vulnerabilidades,
tendo afirmado Alexandre Sousa Pinheiro (professor e investigador
especializado em proteção de dados na Faculdade de Direito da Universidade de
Lisboa) que as
empresas e entidades públicas ficaram “mais centradas na fuga à coima, do
que propriamente na correta execução das exigências do RGPD”. E, se
juntarmos a isto “o desconhecimento de medidas básicas de segurança da
informação no plano tecnológico na maior parte das entidades” (alerta
o especialista) e os
vários equívocos na interpretação e aplicação do Regulamento assumidos pela
própria CNPD, autoridade nacional de controlo para efeitos de RGPD, percebe-se que
há um longo caminho a percorrer que será “encurtado” pela entrada em vigor da
lei.
Paulo
Miranda (responsável
pela gestão digital da Axians,
consultora de tecnologias de informação e comunicação) dá o exemplo dos organismos
públicos para justificar a ideia de que ainda há muito a fazer. De acordo com o
especialista, “em muitas destas organizações praticamente ainda não foram
iniciados os programas de conformidade com o RGPD” e, “em muitas delas, o único
passo que foi dado, foi a nomeação de um EPC (Encarregado de
Proteção de Dados),
que é um dos requisitos (obrigatório para organismos públicos) de apenas um domínio específico
do RGPD”. Talvez por isso e embora não inclua a moratória de seis meses para o
cumprimento da legislação pelo setor público, o documento no Parlamento preveja
a exceção para o Estado durante 3 anos, mas apenas com autorização da CNPD.
Assim, lê-se no documento:
“Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas,
mediante pedido devidamente fundamentado, podem solicitar à CNPD a dispensa da
aplicação de coimas durante o prazo de três anos a contar da entrada em vigor
da presente lei”.
As
coimas podem ir até 20 milhões de euros ou 4% do volume de faturação das
empresas, mas a lei de execução nacional introduz um valor mínimo: cinco mil euros no caso de
contraordenações muito graves e 2.500 euros para
contraordenações graves de grandes empresas. Já os valores
mínimos das pequenas e médias empresas
oscilam entre os mil e dois mil euros. O montante das coimas reverte
em 60% para o Estado e em 40% para a CNPD (Esta não é Estado?). Mas é de ressalvar que, exceto
em caso de dolo, antes da aplicação de qualquer sanção, é obrigatória a
advertência prévia dos agentes em incumprimento, por parte da CNPD.
Apesar
de, no último ano, se ter falado na eventualidade de Portugal optar pela idade
de 16 anos para consentimento de tratamento de dados pessoais, com validação
por chave digital, no documento final optou-se pela idade mínima de 13 anos,
sendo que para comprovarem este dado pessoal, as entidades têm de utilizar “de
preferência meios de autenticação segura”.
Entre as
principais novidades, destaca-se a legalização do tratamento de dados
biométricos para controlo de assiduidade (desde a entrada em
vigor do RGPD, tal tratamento era ilegal)
e acesso às instalações do empregador. Por outro lado, a lei permite
expressamente à entidade patronal a utilização de imagens gravadas em
processo disciplinar, desde que tenham sido usadas no âmbito dum
processo-crime e o processo disciplinar vise apurar a responsabilidade do
trabalhador pelos factos a ele relativos.
Além
disso, são de destacar os seguintes aspetos: o direito de portabilidade dos dados, previsto no art.º 20.º do RGPD,
abrange apenas os dados fornecidos pelos respetivos titulares e deve, sempre
que possível, ter lugar em formato aberto; o prazo de conservação de dados pessoais é o que estiver fixado por
norma legal ou regulamentar ou, na falta desta, o que se revele necessário para
a prossecução da finalidade (Logo que a finalidade que motivou o
tratamento, inicial ou posterior, de dados pessoais, cesse, o responsável pelo
tratamento deve proceder à sua destruição ou anonimização); quem,
sem a devida autorização ou justificação, aceder, por qualquer modo, a dados
pessoais é punido com pena de prisão até
um ano ou com pena de multa até 120 dias (A pena é
agravada para o dobro se se tratar dos dados pessoais dos artigos 9.º e 10.º do
RGPD ou se o acesso for conseguido por violação de regras técnicas de segurança
ou tiver proporcionado ao agente ou a terceiros benefício ou vantagem
patrimonial).
A lei
clarifica importantes questões na aplicação do RGPD, mas é de relembrar o que,
segundo Miranda, é o principal obstáculo à devida aplicação do RGPD: a cultura
empresarial portuguesa, que “potencia a
lógica da visão a curto prazo com resultados a muito curto prazo, com o mínimo
custo possível, ou, o mais baratinho possível” – cultura que, “pela falta
de investimento ou visão a médio, longo prazo, tem o efeito borboleta, com
impactos significativos para as organizações, um maior potencial de danos
reputacionais e no final de tudo, financeiros”.
***
Em suma,
deve saudar-se um RGPD exigente, mas com flexibilidade bastante para contemplar
a índole de determinados serviços, como a escola e o hospital/centro de saúde. Além
disso, deve promover-se a contenção da devassa invasiva da privacidade do
cidadão por parte de alguns serviços do Estado. E pergunto porque estão fora do
alcance da CNPD tribunais e MP.
2019.07.15 –
Louro de Carvalho
Sem comentários:
Enviar um comentário