Nunca as questões da privacidade e da utilização indevida de dados dos utilizadores estiveram tão na agenda como nos últimos tempos, depois do escândalo que envolveu Cambridge Analytica, Facebook e alegadas manipulações de eleições e referendos. A Cambridge Analytica já fechou, o Facebook desculpou-se, mas muitas das questões mantiveram-se: de que forma é que as empresas estão a usar os nossos dados? A quem os passam? Para que os utilizam? Como sabemos quando foram usados por terceiros? Quando podemos vetar o acesso a informação que anteriormente não nos importámos de partilhar?

As novas regras de proteção de dados, que entram em vigor esta sexta-feira, 25 de maio, pretendem diminuir alguns dos riscos associados à facilidade com que hoje se trocam dados pessoais de utilizadores de serviços. O chamado Regulamento Geral da Proteção de Dados (RGPD) foi desenvolvido a pensar na harmonização da legislação europeia em matéria de dados e traz inúmeras mudanças, quer para as pessoas quer para as empresas ou outras entidades que lidam com informações pessoais. Protege os direitos do utilizador em praticamente todas as formas concebíveis e entende que a recolha e o manuseamento de dados deverão estar sempre protegidos em todas as fases do processo. Mais: os consumidores podem saber, sempre, o que as empresas estão a fazer com eles, algo que até agora era praticamente impossível.

O RGPD consagra direitos que, apesar de já estarem definidos na lei que se encontra em vigor desde 1995, não eram respeitados, como, por exemplo, a alteração do consentimento e o direito ao esquecimento. No fundo, o que o RGPD quer é que os utilizadores voltem e ter controlo sobre aquilo que são os seus dados pessoas e a informação que partilham – a ideia ficou um bocado esquecida com a Internet, em que facilmente e quase sem nos apercebermos disponibilizamos informações que são, tantas vezes, utilizadas por entidades terceiras.

No primeiro caso, sempre que uma pessoa disponibiliza os dados num determinado serviço, este pede-nos que aceitemos algumas regras. Esse acordo ficava em vigor e era muito difícil de mudar. Agora, as empresas são obrigadas a ter um sistema que permite ao utilizador alterar o seu consentimento sempre que deseje.

No segundo caso, o utilizador pode, em qualquer altura, pedir que os seus registos na base de dados sejam apagados, o chamado direito a ser esquecido. Para as empresas, este é um dos casos mais complicados de resolver, porque muitos dos sistemas que processam estes dados estão replicados. Por exemplo, a quem nunca aconteceu pedir que apaguem o nome de uma base de dados para efeitos de marketing, mas, passado um mês ou dois, estão a ligar outra vez porque o nome estava noutra base de dados da empresa? Com o RGPD, esta situação terá de mudar. O pedido de esquecimento obriga a que tudo seja apagado.

Essa é a razão pela qual tem recebido tantas mensagens de texto e mensagens de correio eletrónico nos últimos dias: é que as empresas precisam de garantir que estão a utilizar os seus contactos com o seu consentimento, razão pela qual estão a pedir que confirme a sua intenção de continuar a fazer parte das suas bases de dados. Se não o fizer, com as novas regras, as empresas serão obrigadas a deixar de lhe enviar qualquer tipo de informação.

Empresas na mira do regulador

Mas além das multas, outra grande mudança das regras assenta na necessidade de notificação do regulador sempre que haja uma falha na segurança das bases de dados – como, alegadamente, terá havido quando a Cambridge Analytica acedeu a dados de utilizadores do Facebook sem a sua autorização. Entende-se como falha de segurança a destruição, perda, alteração, divulgação não autorizada ou acesso a dados pessoais – ataque de um hacker, roubo de um computador ou de uma pen com informações, entre outras. Sempre que tal aconteça, a empresa é obrigada a reportar o sucedido à Comissão Nacional de Proteção de Dados e, em caso de ser uma situação grave, terá de fazê-lo também aos seus titulares.

Outra das maiores mudanças trazidas pelo RGPD é a forma como se inicia um procedimento que envolva o tratamento de dados. Até agora, a lei previa que, antes de começar a recolha ou o processamento de dados, a entidade tinha de pedir autorização ou notificar a Comissão Nacional de Proteção de Dados (CNPD). Por exemplo, tinha de se pedir autorização antes de se instalar câmaras de videovigilância ou quando se fazia bases de dados que definiam características ou padrões de comportamento (profiling) dos clientes, etc. Esta necessidade de autorização desaparece. Cada empresa pode, pura e simplesmente, começar a fazê-lo sem necessitar de autorização – mas não para todos os tipos de dados. Está ainda por publicar uma lista de quais os dados mais sensíveis que obrigam a um pedido de autorização à CNPD para fazer o seu processamento.

Contas feitas e o regulador dá mais liberdade por um lado, mas impõe multas elevadas que se espera que sirvam de fator de dissuasão perante o incumprimento. A título de exemplo, as coimas podem chegar aos 20 milhões de euros ou a 4% da faturação de uma empresa, consoante o valor mais elevado. Este é o montante máximo das multas, mas cada Estado-membro pode fazer uma graduação dos valores em função do tipo de incumprimento. Em Portugal, o Governo português já definiu os valores mínimos das coimas a aplicar no país: Para pessoas individuais, o valor será 500 euros para as contraordenações graves, e mil euros para as muito graves. Para as pequenas e médias empresas, as coimas serão mil e dois mil euros, respetivamente, e, para as grandes, os valores sobem para 2 500 e 5 000 euros. O Estado fica, para já, isento de multas, mesmo em caso de infrações, numa decisão que já valeu muitas críticas dos especialistas.

Isto tem obrigado as empresas a munirem-se de uma quantidade de medidas e a levarem a cabo um conjunto de procedimentos que ajudará neste controlo. Uma delas é o Privacy by Design, que significa que todos os sistemas informáticos desenhados para o processamento de dados terão de ser concebidos já com estes novos parâmetros previstos no RGPD.E as empresas terão de criar um sistema de autoavaliação permanente da proteção das bases de dados (Privacy Impact Assessement) que estão na sua posse, bem como arquivar todos os procedimentos feitos com esses dados, incluindo a tipologia, o tempo durante o qual estiveram na sua posse e se foram exportados para países fora a União Europeia.

O RGPD cria ainda uma nova figura para os quadros das empresas que lidem com dados: o encarregado de Proteção de Dados, do inglês Data Protection Officer (DPO).

Apesar de tudo isto lhe poder parecer confuso, há coisas boas que advêm de todas estas alterações: nesta altura, em que todas as empresas estão ao rever as suas políticas de privacidade, vai conseguir ter uma ideia de quantas (e de quais) têm os seus dados. Mais, vai ter oportunidade de perceber que dados cada uma tem sobre si, e atuar perante isso: quer receber menos marketing? Menos newsletters? Quer escolher a informação que lhe chega? Aproveite para seguir os links e mudar as suas políticas de privacidade ou para garantir o “esquecimento” dos seus dados. E se, mais tarde, se der conta de que a entidade não está a cumprir as regras, fique [mais] descansado. Agora, a probabilidade de o regulador atuar em conformidade aumentou exponencialmente.

Apesar de ainda haver muita legislação para trabalhar e muitas regras para definir neste campo, uma coisa é certa: a primeira empresa a ter um problema de violação da lei após o dia 25 de maio irá abrir as manchetes em todo o mundo. Falta saber o valor das primeiras multas. Estas poderão determinar se os reguladores terão ou não mão pesada para os prevaricadores. No mundo digital há o antes e o depois do RGPD. E a proteção de dados nunca mais será a mesma.

Publicado em: http://visao.sapo.pt/exame/2018-05-25-Novas-regras-de-protecao-de-dados-a-partir-de-hoje