Filipa Calvão. "Princípio da igualdade justifica mesma medida para todos"

Filipa Calvão é doutorada em Direito e lidera a Comissão Nacional de Proteção de Dados (CNPD) desde 2012.

A partir de 25 de maio terá pela frente um dos maiores desafios que já enfrentou no cargo, quando entrar em vigor o Regulamento Geral de Proteção de Dados (RGPD), um novo paradigma na proteção dos cidadãos e no controlo do comportamento das empresas. As multas para quem não cumprir podem chegar aos 20 milhões de euros ou 4% do volume de negócios anual.

As empresas serão obrigadas, por exemplo, a categorizar os dados pessoais que possuem e adotar mecanismos que garantam a segurança desses dados, sejam eles dos próprios trabalhadores ou de clientes. Poderá ser necessário substituir sistemas informáticos ou nomear um Encarregado de Proteção de Dados, se a empresa for responsável por dados sensíveis. O processo terá custos e Filipa Calvão admite que as empresas estão “angustiadas”.

Há uma semana denunciou que o Governo não consultou nem deu conhecimento à CNPD sobre a nova legislação da proteção de dados pessoais. Já foi entretanto contactada?

Pelo Governo sobre essa proposta de lei, não. Recebemos na quarta-feira a proposta de lei da Assembleia da República para apreciação e para efeito de emissão do nosso parecer.

Já passou os olhos pela legislação? Alguma coisa lhe chamou a atenção?

Ia evitar pronunciar-me sobre a proposta de lei, porque a CNPD vai emitir o parecer e não queria pronunciar-me sobre as soluções que lá estão emitidas.

Essa análise à legislação vai ser demorada ou complexa?

Tem alguma complexidade mas vamos dar prioridade à emissão do parecer. Será relativamente rápido.

Face à importância que a legislação tem, a entidade reguladora deveria ter sido chamada mais cedo?

Temos alguma dificuldade em compreender. Desde 2016, quando o regulamento entrou em vigor, manifestámos disponibilidade para colaborar com o Governo para facilitar a preparação da legislação. A opção do Governo não foi a de solicitar uma colaboração específica da CNPD. Há outra legislação que está a ser transposta e preparada por iniciativa do Ministério da Justiça, e nessa estamos a colaborar. Tivemos duas reuniões, uma no ano passado e outra no início deste ano, em que não nos foi dada qualquer oportunidade de ver que opções é que o Governo estava a seguir em termos de texto na proposta de lei. A CNPD tem dificuldade em perceber essa opção. Entretanto houve uma série de entidades, organismos públicos e privados, que foram chamados a pronunciar-se sobre a proposta de lei e a CNPD não foi. Mesmo que não fosse para dar razão ou para acolher as nossas observações, valeria a pena ponderá-las e avaliar a sua pertinência.

Sem o aconselhamento da CNPD e sem pareceres prévios, a probabilidade de haver falhas na legislação é maior?

Nós somos o organismo que percebe mais de proteção de dados no país. Desse ponto de vista, tendo em conta a nossa experiência, é de estranhar que isso não tenha sido feito. Acho que os nossos contributos podiam ter sido pertinentes nalguns aspetos.

Quanto ao espírito da diretiva europeia, que está na origem da discussão, faz sentido que passem a ser as empresas a autorregular-se? Como vê isto?

É uma opção política que a Europa tomou e não vou discuti-la. Admito que possa trazer maior agilidade. O regime que tínhamos em Portugal, que era de controlo prévio por parte da CNPD, poderia trazer alguma demora. Entendo que a intenção é transpor para as empresas a responsabilidade por aquilo que fazem. O problema é que as empresas portuguesas sentem que não estão preparadas para essa responsabilidade toda. Estavam habituadas a ter um certo apoio da CNPD e sem esse conforto não sabem o que fazer. Isso traz alguma angústia, que se percebe.

Referiu que as empresas não estão preparadas. Quais são as maiores dificuldades na preparação para as regras que vão entrar em vigor?

Elas alegam que não estão preparadas, não sou eu que o digo. O regulamento não diz muito de novo, os princípios para se tratar de dados pessoais são aproximadamente os mesmos que estiveram em vigor nos últimos 20 anos. Existe é um conjunto de obrigações novas que vão trazer peso e estão a criar dificuldades. Não sabem se têm de ter encarregados de proteção de dados ou não, não sabem em que circunstâncias têm de fazer estudos para avaliar o impacto que o tratamento de dados pode ter nos cidadãos. Há também dificuldade em saber como deve ser formulado um registo do tratamento de dados e aí a CNPD está a ultimar modelos de registo para ajudar, sobretudo as pequenas empresas.

Além das empresas, o próprio Estado está preparado para as novas regras?Não tenho a certeza porque na proposta de lei invoca-se que, para causar a menor perturbação institucional possível, se vai adiar, digamos por três anos, a ponderação de estender o regime sancionatório aos organismos públicos. Aparentemente na base desta opção estará uma ideia de que as organizações públicas não estarão ainda preparadas para aplicar as regras de proteção de dados, coisa que eu estranho porque este regime está essencialmente em vigor há 20 anos.

O que está a dizer é que o Estado está isento de cumprir estas obrigações durante 3 anos?

Não está isento, está obrigado a cumpri-las. Mas não estará, de acordo com a proposta, sujeito à aplicação de sanções pecuniárias.

Dito de forma simples…

Não terá um castigo se não cumprir. Se me permite, eu espero que isso ainda seja corrigido no Parlamento.

Porquê?

A CNPD não se pronunciou sobre isto. Só eu é que falei e não estou a falar em nome da CNPD. Mas não me parece que haja razão para diferenciar. O atual regime resulta de uma diretiva que deixou espaço aos Estados membros para escolherem o regime que querem. Há países onde a lei da proteção de dados não se aplica aos organismos públicos ou não estão previstas sanções. Esta abertura é para esse tipo de Estados, onde não há tradição de aplicar o regime de proteção de dados ou sanções aos organismos públicos. Em Portugal há 20 anos que temos este regime: os organismos públicos estão todos sujeitos à proteção de dados, à exceção dos tribunais, e sujeitos à aplicação de sanções. Não se consegue perceber qual é a razão desta diferenciação. Diria que o princípio da igualdade, previsto na nossa Constituição, justificaria a mesma medida para todos.

No que toca aos custos para as empresas, serão pesados?

Sei que algumas empresas estão a fazer investimentos consideráveis. As obrigações implicam alguns custos. Quem tiver de ter um encarregado de proteção de dados terá de pagar mais um vencimento. A elaboração de um registo dá trabalho e implica algum investimento no levantamento dos dados que estão a ser tratados. Isto não significa ter de reformular e instalar todo um novo sistema informático. Algumas empresas estarão a fazer isso mas admito que seja por sentido de oportunidade. Algumas empresas estão a entender que os sistemas informáticos que têm não cumprem as regras. Se isso for feito, implica um investimento maior.

Que empresas vão ter mais dificuldades? As mais pequenas?

Diria que sim. A CNPD tem organizado algumas conferências e sessões de esclarecimento, e quando estamos em contacto com as micro e pequenas empresas percebem-se as dificuldades. As maiores já estão habituadas a cumprir a lei de proteção de dados.

Antevê necessidade de aplicar multas pesadas em Portugal?

O quadro sancionatório é um bocadinho assustador, percebo que as empresas estejam assustadas. Não é assim tão assustador se olharmos para o quadro que está em vigor há alguns anos em Portugal e na Europa na privacidade das comunicações eletrónicas, que é bastante pesado. Mas comparado com o atual regime pode assustar. As sanções maiores estão pensadas para todo o espaço europeu, portanto para grande empresas que têm um lucro elevado e que fazem lucro com dados pessoais. O legislador europeu entendeu que esta matéria era para ser levada a sério. Os valores aqui afetados merecem uma especial proteção e por isso o quadro sancionatório tem de ser suficientemente assustador para que as pessoas se consciencializem. Não quer dizer que, em termos práticos, se vá aplicar uma coima de 20 milhões, porque evidentemente tem de se adaptar ao nível de vida nacional e ao nível das próprias atividades lucrativas das empresas

Para quem reverte o valor das multas?

A regra geral nestas matérias é 40% para a entidade reguladora, 60% para o Estado. Na lei atual que está em vigor é 50/50.

Até agora, sem estas regras, as empresas têm abusado dos dados pessoais dos cidadãos?

As regras já existiam. Temos detetado alguma descontração no tratamento de dados pessoais e muitas vezes até uma falta de consciência. Outras vezes é oportunidade de negócio, ou seja, assumir o risco de que se vai tratar dados mesmo sabendo que se está a violar a lei, porque daí vem um valor económico acrescido.

Há algum exemplo concreto?

Não em Portugal mas há exemplos de empresas como a Google e o Facebook, que têm feito negócio com os dados e que ponderam que vale a pena violar as regras. Ou seja, que a infração pode compensar. É evidente que esta questão do tratamento de dados pessoais tem justificado a aplicação de sanções ao longo do tempo.

Falou de empresas como o Facebook, que agora enfrenta uma polémica com a Cambridge Analytica, que expôs os dados de mais de 50 milhões de utilizadores. Corremos o risco de vir a ter conhecimento de mais casos destes?

Risco temos sempre. Enquanto houver tratamento de dados pessoais, e na medida em que a tecnologia hoje permite um maior tratamento de dados, maior quantidade e cada vez mais sensíveis, porque temos a nossa vida muito exposta na internet, diria que sim.

Ainda este ano a CNPD vai ter de se pronunciar sobre outro tema importante: a transposição para Portugal da nova diretiva de pagamentos na banca, que vai entrar em vigor já com alguns meses de atraso. Antevê complexidade ou demora na análise desse processo?

É uma tendência de utilização de sistemas eficientes e com recurso a tecnologias que implicam o tratamento de dados pessoais, e nessa medida podem trazer riscos nesse sentido, mas são coisas que vão surgindo diariamente. São tratamentos de dados que vão aparecendo sucessivamente e que os quais vamos ter de lidar, portanto diria que é mais um contexto de tratamento de dados que vamos ter de considerar.

Em relação a esta matéria tem sido consultada pelo Governo?

Salvo o erro, tivemos já a emissão de uma parecer sobre o diploma que transpõe a diretiva.

Mais Notícias

Outros Conteúdos GMG

Patrocinado

Apoio de