RGPD: setores público e privado – dois pesos para a mesma medida?
Artigo de Opinião
Por ser um Regulamento e não uma Diretiva comunitária, o Regulamento Geral de Proteção de Dados (RGPD) não necessita de ser transposto para as legislações nacionais. No entanto, foi deixada a possibilidade de, em alguns pontos, os Estados-membros poderem aprovar regras nacionais mais específicas ou concretizadoras do RGPD. Na verdade, não foi produzido um, mas sim dois diplomas internos: a Proposta de Lei n.º 120/XIII e a Resolução do Conselho de Ministros n.º 41/2018.
Esta Proposta de Lei, que mereceu reparos por parte da CNPD e, entretanto, "chumbada” na Assembleia da República (e a aguardar reformulação), especificava questões como a idade mínima para prestação de consentimento pelos menores, montantes mínimos e máximos das coimas, funções do DPO, prazo para recuperação do histórico em termos de consentimento, entre outras clarificações. Uma das especificações que suscitou muitas dúvidas foi a de que as entidades públicas, apesar de sujeitas ao poder de correção da CNPD e de terem de cumprir as mesmas regras que as entidades privadas, não estariam sujeitas à aplicação de coimas em caso de violação/infração destas regras.
Este é, parece-nos, um dos pontos que terá de ser abandonado na nova proposta. Caso contrário, as entidades públicas ficariam isentas da aplicação de coimas. De facto, esta possibilidade foi deixada em aberto pelo próprio RGPD no art.º 83.º, n.º 7 e, por isso, está legitimada à luz da legislação europeia, mas estará legitimada face ao princípio da igualdade? Em Portugal, ao abrigo da anterior Lei 67/98, não existia este regime diferenciador e as entidades públicas, com a exceção dos Tribunais, estavam sujeitas à aplicação de coimas, tal como os privados. Por que se diferenciaria agora o que durante 20 anos foi igual?
Na exposição de motivos, refere-se que o RGPD "(…) foi especialmente pensado para a proteção de cidadãos face ao tratamento de dados pessoais em larga escala, por grandes empresas e serviços da sociedade de informação (…)”. A meu ver, não poderá ser este o critério para isentar ou não de coimas, pois avaliação semelhante teria de ser feita no setor privado. Não me parece haver justificação para a diferenciação entre as entidades públicas e as privadas quanto a este ponto e o princípio da igualdade, creio, justificaria a existência da submissão a um regime comum e sem diferenciações neste particular.
É difícil justificar que, por exemplo, uma PME com poucos recursos humanos e financeiros que cometa uma falha semelhante a uma entidade pública possa ser sancionada com uma coima e a entidade pública não.
Mas as diferenças entre os «mundos» público e privado não se ficam por aqui, parecendo existir realidades dessincronizadas. Vejamos: a Resolução n.º 41/2018, que entrará em vigor 18 meses após a sua publicação, prevê orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais. Estes requisitos – uns obrigatórios, outros recomendados –, aplicam-se à Administração Pública, sendo recomendados ao Setor Empresarial do Estado. De fora ficou o setor privado, mas terão estes requisitos de ser seguidos pelas entidades privadas? É certo que, desta forma, o setor privado tem mais liberdade para implementar os critérios que julgar adequados, mas também é verdade que os critérios de aferição de conformidade ficam mais obscuros.
Uma vez que a Resolução não inclui o setor privado, caberá a cada entidade privada escolher e adotar as medidas técnicas que entender para densificar e cumprir os requisitos que garantam e demonstrem a conformidade com as exigências do RGPD? Se seguirem estas orientações, poderá considerar-se que adotaram as medidas técnicas suficientes? Poderemos assumir que serão estes os pontos verificados em caso de auditoria? Poderemos olhar para estes requisitos como uma checklist seguida numa inspeção para avaliação de conformidade no que concerne à adoção de medidas técnicas adequadas a proteger a privacidade e proteção de dados?
Os critérios e o grau de exigência a aplicar em ambos os setores deveriam ser os mesmos, pelo que importaria esclarecer de forma inequívoca se as obrigatoriedades e recomendações previstas nesta Resolução serão consideradas suficientes e conformes quando seguidas no setor privado.
Já estando o RGPD em aplicação, são ainda muitas as nuvens que pairam sobre este tema e que urge dissipar.