25 de maio de 2018 era para muitos o “dia D” para a privacidade na União Europeia. Punha-se fim ao período de transição e o Regulamento Geral de Proteção de Dados (RGPD) passava a ter aplicabilidade direta. Um ano depois, a Comissão Nacional de Proteção de Dados (CNPD), a autoridade de controlo em Portugal, apresenta como balanço seis coimas aplicadas, no montante global de 424 mil euros, até ao dia 30 de abril. Desse bolo, é conhecida uma coima, aplicada ao hospital do Barreiro. O acesso indevido a dados de utentes resultou numa multa de 400 mil euros, em outubro de 2018. As restantes entidades alvo de coima não são conhecidas – Clara Guerra, consultora coordenadora da CNPD, refere que a divulgação das entidades “funcionaria como uma sanção acessória”.

De acordo com o site Enforcement Tracker, onde são listadas coimas aplicadas na União Europeia, a coima ao hospital do Barreiro é a segunda mais alta, só ultrapassada pela multa à Google em França, no valor de 50 milhões de euros.

Elsa Veloso, advogada e CEO da empresa DPO Consulting, que dá formação profissional para encarregados de proteção de dados, refere que se tratou de “um ano ainda de muita seleção de mercado, em que apareceram muitas empresas e algumas delas só sabem duas palavras – consentimento e encriptação. O mercado foi tomado por pessoas com pouco estudo nesta matéria, que é uma matéria densa, complexa e sensível”.

Para a especialista em legislação e proteção de dados, há que “ganhar maturidade e conhecimento profundo”, ressalvando que “surgiram imensos especialistas que já causaram muitos prejuízos às empresas, pela destruição de bases de dados nesta febre do consentimento”.

Elsa Veloso sublinha que “tem de se legalizar, legitimar as bases de dados, mas que não se pode destruir os valores das empresas”. Daniel Reis, advogado da PLMJ, refere que há quem não tenha plena consciência do RGPD. “Há muitas empresas (e entidades do setor público) que continuam em estado de negação em relação à necessidade de alterarem a forma como tratam dados pessoais. Apenas um grupo pequeno de empresas (sobretudo as empresas grandes, multinacionais e empresas que atuam em setores regulados) cumpre o RGPD.”

Falta legislação nacional

Portugal continua sem lei de execução nacional, embora Daniel Reis considere que “a discussão do diploma está quase concluída e que a votação final deverá ocorrer antes do verão”. Sónia Queiroz Vaz, advogada da Cuatrecasas, explica que a atual proposta em cima da mesa “quer concretizar alguns aspetos deixados em aberto no RGPD”, dando como exemplos “a clarificação do papel da CNPD ou a lei a estabelecer o limite mínimo para as coimas”.

Elsa Veloso espera que a “legislação venha a acontecer rapidamente”, apontando a perda de competitividade do mercado português. “A falta de lei tem consequências no tecido empresarial, quer em integrar cadeias de valor altamente competitivas, que exigem conformidade com RGPD, quer em oportunidades de negócio, de atrair para Portugal empresas ou representações de empresas estrangeiras que estão a atuar no espaço da União Europeia”.