Seis meses de RGPD: o balanço possível

A área dos Recursos Humanos é, frequentemente, a área das empresas onde existe o maior número de tratamentos de dados pessoais. Por esta razão o impacto do RGPD é especialmente importante para quem tem responsabilidades nesta área.

Por Daniel Reis, sócio coordenador da equipa de Telecomunicações, Media E Tecnologias De Informação da PLMJ.

Volvidos seis meses desde a data de aplicação do Regime Geral de Protecção de Dados (RGPD) – 25 de Maio de 2018 –, ainda existem muito poucas certezas sobre o alcance e significado das novas regras. Senão vejamos:

1. Uma fonte de incerteza reside no facto de Portugal ainda não ter aprovado legislação de enquadramento. Apenas em Março de 2018 é que o governo apresentou uma proposta de lei, e o diploma continua a marinar na Assembleia da República, sem se vislumbrar quando é que será publicado. Sem legislação de enquadramento, não temos contra-ordenações para punir as infrações ao RGPD, e sem alterar a lei orgânica da Comissão Nacional de Protecção de Dados (CNPD) não temos um regulador com orçamento para realizar acções de fiscalização.

2. Acresce que a lei laboral contém inúmeras disposições que lidam com dados pessoais, as quais terão de ser compatibilizadas com o RGPD, tarefa que ainda não foi realizada. Pense-se em temas como exigir a entrega de certificados de registo criminal, utilização de sistemas de controlo de tempos de trabalho com recurso a dados biométricos, utilização de sistemas de geolocalização e acesso a mensagens de correio electrónico de carácter profissional, para dar apenas alguns exemplos. Continuamos a aguardar a posição do legislador.

3. Noutros temas já existe alguma clarificação. No que diz respeito à obrigatoriedade de nomear um encarregado da protecção de dados, por exemplo, existe informação útil no documento “Orientações sobre os encarregados da protecção de dados (EPD)” emitido pelo Grupo do Artigo 29.º para a Proteção de Dados e no recente parecer do Conselho Geral da Ordem dos Advogados, relativo ao Processo n.º 14/PP/2018-G, de 28 de setembro de 2018. Neste parecer, a Ordem dos Advogados afirmou (não sem alguma controvérsia) que os advogados estão impedidos de exercer o mandato forense ou a consulta jurídica para entidades para quem exerçam, ou tenham exercido as funções de Encarregado de Protecção de Dados.

4. Para além de alguma incerteza jurídica, ainda assistimos a muita incompreensão sobre os princípios legais aplicáveis à protecção de dados pessoais. O papel do consentimento é um tema em relação ao qual continua a existir muita ignorância, e o resultado é uma verdadeira febre na recolha de consentimentos um pouco por todo o lado. Continuamos a ser confrontados com inúmeros pedidos de assinatura de formulários, normalmente acompanhados de uma expressão constrangida a pedir desculpa pelo incómodo. Ora, o consentimento é apenas um entre seis dos fundamentos legais previstos no RGPD que legitimam o tratamento de dados pessoais. Em diversas circunstâncias o consentimento não é o fundamento adequado. O que muitas pessoas se esquecem é que o consentimento pode ser revogado a todo o tempo, o que pode colocar as empresas numa situação impossível quando o consentimento é revogado e é necessário continuar a tratar os dados em causa.

5. Outro tema que tem gerado muita confusão é a celebração de contratos de tratamento de dados. O RGPD exige que a relação entre um responsável pelo tratamento e os seus subcontratantes seja regulada por um contrato escrito. Em muitos casos não é fácil perceber se existe uma relação de subcontratação ou não; noutros, o fornecedor actua como responsável e como subcontratante, e as partes não chegam a acordo sobre como regular esta realidade. A consequência é que há inúmeros contratos ainda por assinar.

Veja também estes artigos.