RGPD, quatro meses depois: afinal, o que mudou?
Como é do conhecimento comum, o Regulamento Geral de Protecção de Dados (RGPD) “entrou em vigor” (na verdade, “passou a ser aplicável”) no passado dia 25 de maio de 2018. Decorridos cerca de quatro meses desde essa data, as novidades não são muitas.
Por Pedro Vidigal Monteiro, of counsel, e Beatriz Reis Santos, associada da Telles
Por um lado, e a nível interno, de realçar o facto de a legislação portuguesa ainda não ter sido aprovada (recordemos que, apesar de o RGPD ser um regulamento e, como tal, ter aplicação directa em Portugal e nos restantes estados membros, certo é que há alguns temas que carecem de uma definição legislativa pelo legislador português).
Depois, e ainda a nível interno, nota-se alguma incerteza quanto ao funcionamento da Comissão Nacional de Protecção de Dados (CNPD), uma vez que o projecto de alteração da lei de organização e funcionamento da CNPD que implementava a sua reorganização, não foi aprovado pela Assembleia da República.
Por outro lado, a nível europeu, também o processo legislativo referente ao regime das comunicações efectuadas por via electrónica, conhecido como E-Privacy, que em algumas matérias complementa o RGPD, se encontra atrasado, já que deveria ter entrado em vigor na mesma data deste último.
Todos estes atrasos contribuíram para alguma indefinição no mercado, no qual algumas empresas, apesar de bastante preocupadas com estes temas, se vêm na dualidade de, por um lado, quererem implementar as medidas referentes ao RGPD; por outro, pretenderem aguardar uma definição do legislador nacional para não terem de alterar posteriormente algumas destas matérias.
Em nossa opinião, o cumprimento do RGPD deve ser uma prioridade, sendo certo que, em alguns casos, a implementação destas medidas terá de estar sujeita a “afinações” subsequentes, consoante o entendimento que lhes for dado pelo legislador nacional.
A alteração de paradigma do papel da CNPD – que deixa de fazer um controlo prévio dos tratamentos de dados realizados – apesar de ter a grande vantagem de trazer agilidade ao processo (uma vez que as empresas não necessitam de aguardar por uma autorização por parte da comissão, como acontecia em alguns casos,) e diminuição de custos (que desaparecem), acarreta a grande desvantagem de trazer incerteza sobre a interpretação, ao dar a alguns tratamentos mais “sensíveis”, com o ónus – leia-se “risco de coima” – que recai sobre um eventual tratamento que não seja conforme ao entendimento nessa matéria da CNPD.
No que respeita ao contexto laboral, o RGPD prevê que os Estados-membros possam prever regras específicas quanto ao tratamento dos dados pessoais nesse contexto. Pelo que é urgente definir alguns temas concretos quanto ao tratamento de dados pessoais dos trabalhadores, tais como o tratamento de dados biométricos, testes e exames médicos, meios de vigilância à distância, entre outros.
Não obstante esta indefinição, no âmbito laboral, sugerimos algumas acções imediatas, tais como a celebração de acordos de confidencialidade com os trabalhadores que tratem dados pessoais; a garantia do cumprimento do dever de informação aos candidatos a emprego ou trabalhadores; a elaboração de políticas de privacidade internas; a celebração de Acordos de Processamento de Dados com empresas que tratem os dados pessoais dos seus trabalhadores e a definição de prazos de conservação dos dados pessoais de candidatos a emprego e trabalhadores.
Na fiscalização concreta da legalidade do tratamento, deverá ser tido em conta que, ainda que muitas destas matérias não sejam novidade para os mais atentos, uma vez que os princípios básicos de tratamento não foram alterados, certo é que não constavam do léxico comum da maior parte das empresas em Portugal.
Em suma, apesar de em Portugal ainda existir alguma indefinição quanto a alguns dos temas referentes à protecção de dados, tem sido feito um esforço considerável pelas empresas para estarem em conformidade com o RGPD. Contudo, o caminho é longo e não termina aqui.
Veja também estas notícias.