Quatro anos passaram desde a entrada em vigor da legislação europeia que regula a proteção de dados para as pessoas singulares, o Regulamento Geral de Proteção de Dados.
Três anos desde a entrada em vigor da transposição nacional portuguesa para a execução dessa regulação, na figura da Lei 58 de 2019. Proteção de Dados: Oito ou Oitenta?
Tanto no regulamento europeu como na lei portuguesa, está prevista a figura do “Encarregado de Proteção de Dados”, que em boa verdade trata-se dum agente que promove aquilo que gosto de chamar “a função dos três A’s”, sendo estas “Alertar”, “Acautelar” e “Aconselhar”.
Gostava de deixar claro que esta ultima frase é puramente uma interpretação pessoal minha, que tem vindo a desenvolver-se na origem da minha atividade como EPD em mais duma organização desde a entrada em vigor do regulamento europeu. Uma quarta função que tem também deambulado nas minhas lides de EPD, é o “Apoiar.” Mas esta temática fica para uma próxima oportunidade, uma vez que não quero tornar este artigo demasiado longo.
Nestes quatro anos de RGPD e três de Lei 58/2019, tenho assistido a vários cenários que de certa forma definiram padrões nas instituições e organizações:
- o momento choque; “O que ?! E agora ? O que temos de fazer ?” . Apesar do regulamento ter sido publicado em 2016 para as instituições e organizações poderem se preparar e dotar das medidas de adaptação necessárias, muitas (para não dizer quase todas) as organizações só acordaram no início de 2018 quando o regulamento entraria em vigor em maio,
- o assumir da inevitabilidade; “Ok é Lei, temos de implementar. Quem contratamos?”. Quando as organizações perceberam que o não cumprimento desta regulação podia levar a consequências graves, iniciou-se um processo de “nascimento de serviços de privacidade de dados em estilo surgimento de cogumelos” convenientemente disponíveis para “resolver o problema”,
- a ilusão da simplicidade; “Pronto! Já está , agora podemos esquecer o assunto.” . Depois das organizações percorrerem o ciclo de solicitar uma proposta, contratar o serviço, e literalmente virar as organizações “de patas para o ar” durante vários meses para implementar o que os “magos do RGPD” instruíam, instalou-se em muitas organizações um sentimento de “missão cumprida”,
- voltar à postura “business as usual”: “RGPquantos ? Ah sim ! … aquela formação que tivemos!” . Rapidamente as “pessoas” nas instituições tentaram voltar à sua rotina habitual, ainda que agora nos processos e normas das organizações existiam mais umas linhas que dizem “para cumprimento do RGPD”. Mas será que o verdadeiro objetivo da proteção de dados foi compreendido?
- voltar ao momento choque; “Eh pá ! Afinal já foram autuadas organizações em falta”. À medida que as várias entidades supervisoras de vários países aplicavam coimas por violação de privacidade de dados ou incumprimento do regulamento, assistimos em muitas organizações a uma contração da desburocratização dos processos, introdução de muitas regras e normativos de prevenção, e tudo fundamentado nos requisitos do RGPD. Ou será que o RGPD não exige nada disso?
Citando um artigo de opinião do Miguel Gonçalves no Pplware em 18 de maio de 2018, “O RGPD não foi feito para infernizar as empresas. Ele existe com o propósito claro de proteger os dados pessoais dos cidadãos.” No entanto, pelo pequeno périplo que vos desenhei, das fases em que assisti várias instituições seguir neste quatro anos, parece que este simples objetivo ainda não foi compreendido.
Podemos ver a regulação da proteção de dados por dois prismas:
- por um lado as instituições e organizações que são obrigadas a cumprir requisitos da regulação quando tratam os dados de pessoas singulares,
- por outro as pessoas singulares, titulares dos dados pessoais requerem que os seus dados não sejam tratados de forma abusiva e exploratória.
Até poderíamos dizer que estes dois pontos de vista são opostos, cada um do seu lado da muralha. Mas quem compõe a primeira não são os mesmos elementos que pertencem à segunda?
Então é que quando estamos dum lado da muralha atuamos baseado na “regra do oito” e quando vamos trabalhar para as nossas organizações adotamos a “regra do oitenta” ?
Artigo escrito por Júlio Fernandes da MetaRed para o Pplware.
A MetaRed Portugal, parceira do Pplware, promove, no próximo dia 27 de outubro, pelas 14h30m, o webinar “Para que nos Serve a Proteção de Dados?”, uma sessão focada nos aspetos práticos do dia a dia e de como a proteção de dados e a aplicação do RGPD traz benefícios para cada um de nós. Esta iniciativa está integrada no Kit Sensibilização para a Cibersegurança desenvolvido pela MetaRed em colaboração com as Instituições de Ensino Superior (IES). Podem-se inscrever aqui.