a vida do dinheiro

Henrique Santos: “Quem fecha por não cumprir o RGPD não devia ter aberto portas”

A carregar player...
Henrique Santos: “Quem fecha por não cumprir o RGPD não devia ter aberto portas”

O regulamento RGPD chegou e o presidente da Associação de Proteção de Dados lamenta ausência de legislação e defende postura didática no início.

Os dados pessoais são o novo petróleo. A frase tem algum tempo, mas nunca foi tão atual. Esta sexta-feira começou a ser aplicado o novo Regulamento Geral de Proteção de Dados (RGPD), que está em vigor desde 2016. As avultadas multas às empresas que não respeitem a privacidade dos utilizadores de quem têm os dados assustaram muitos. Henrique Santos, o presidente da Associação Portuguesa de Proteção de Dados, explica porque a comissão que gere o RGPD não é uma ASAE e, provavelmente, só irá agir por denúncia e não como entidade fiscalizadora.

Toda a gente sabe se lembra do mito, chamemos-lhe assim, das colheres de pau e das bolas de berlima ASAE. Existe ou não o risco de as empresas perderem algo mais valioso desta vez?

Se existe o risco de perderem eu não posso garantir. Embora haja semelhanças com a situação da ASAE, há uma diferença aqui substancial. A ASAE tem um papel de fiscalização muito ativo e no caso do regulamento não existe esse papel. Não é nenhuma polícia, nem é nenhuma organização externa, que vai fazer esse policiamento, são as próprias pessoas.

A legislação portuguesa está atrasada. A proposta do Governo ainda está no Parlamento. Que consequências é que isso pode ter, nomeadamente para as empresas em Portugal?

Foi pena que estes dois anos não tenham sido usados para isso e não foi por falta de avisos. Essa legislação faz muita falta. Logo à partida para perceber bem qual é o papel da antiga Comissão Nacional de Proteção de Dados em todo este processo. Por outro lado, mesmo os mecanismos legais para conduzir estes processos até tribunal para pedir indemnizações, para tudo isto há um vazio enorme.

A Ministra da Presidência defendeu um prazo maior para a implementação do novo regulamento e que as multas se possam adaptar em Portugal. Concorda?

Não é a minha função concordar ou discordar de uma decisão dessas. Mas que existem realidades diferentes, existem. Se existe um crime, vamos chamar de abuso de dados, não me parece que seja relevante se esse crime é executado por uma grande organização ou uma pequena organização. A consequência, o impacto que tem esse crime, é que deve ser julgado. Senão, numa multa por excesso de velocidade íamos ter valores diferentes consoante a capacidade que cada um tem de pagar.

A Comissão Nacional de Proteção de Dados diz que não tem meios para fiscalizar. Fala-se que pode agir mais por denúncia do que fiscalizando. O que é mais provável de acontecer?

As autoridades, neste caso de supervisão, quer europeia, quer nacionais, vão ter esse papel de resposta e não um papel de fiscalização. O papel da CNPD, como eu entendo, não é de fiscalizar, o que não significa que não o faça. Na pior das hipóteses, se dez milhões de portugueses se sentirem sossegados e acomodados com a situação atual que temos, não vai haver queixa nenhuma. Não havendo queixa, a CNPD não vai começar a perguntar quem é que tem encarregados de proteção de dados, nem quem está a fazer o pedido de informação da aceitação das regras de privacidade pelos cidadãos.

Deverá ter uma abordagem mais didática inicialmente?

Sim, sem dúvida. Mais didática, porque, na essência, é tudo novo e irá lidar com algo que tem uma escala alargadíssima. Lá fora já se pratica com alguma frequência. O que o regulamento diz é: “atenção, vocês agora têm o controlo dos vossos dados”. Se se sentirem perfeitamente bem com o que o Facebook ou a Google estão a fazer, e já começa a haver uma consciência de como estas empresas usam a informação das pessoas, tudo bem. É evidente que há aqui uma falha do regulamento, porque a empresa deveria informar as pessoas “vamos usar esta informação para esta finalidade” e pedir o consentimento. Se não o está a fazer e se ninguém se queixar relativamente a isso, não vai acontecer nada. A não ser que haja uma organização que vá fazer essa fiscalização. É importante que as pessoas saibam que agora podem reclamar por abusos e que vão ser ouvidas.

Por estes dias temos tido as nossas caixas de e-mail inundadas de pedidos do RGPD. Muitos limitam-se a dizer para fazermos clique em determinado botão para continuarmos a receber informação. Isto cumpre as novas regras do consentimento?

Uma ou outra já vi que sim, mas a maioria é um disparate autêntico, uma forma de dizer apenas que se está a fazer alguma coisa e denota que várias organizações não sabem bem o que hão de fazer. Na pior das hipóteses consultam os seus clientes com “introduza aqui o seu endereço de e-mail” e isso não tem nada a ver com o RGPD. O regulamento tem a ver com o esclarecimento objetivo, simples e informado de para que é que as organizações estão a pedir informação.

Mas é de facto assim, se não respondermos os nossos dados têm de ser apagados do lado de lá?

Não, os dados só são apagados se houver um pedido explícito para serem apagados. Isso não significa que as empresas estejam a cumprir o regulamento. Têm, na mesma, de dar a informação de para que é que os dados são utilizados, como vão ser utilizados e durante quando tempo, de forma clara e objetiva.

Que garantia é que o utilizador tem, por exemplo, de que os seus dados são mesmo apagados caso o peça?

Não há, porque a empresa não diz, a organização não está a informar aquilo que faz com os dados e como. Se a organização não explicar de forma clara como contactar o seu encarregado de proteção, para solicitar que os dados sejam eliminados, quer dizer que não está a cumprir o regulamento.

Não acha preocupante o Estado estar fora das punições, de acordo com a proposta do governo?

Tenho de ser muito cauteloso, porque há muitas sensibilidades diferentes. Vamos aqui distinguir o que é a multa e o que é a indemnização, porque ao detetar um abuso dos dados eu posso sentir que fui lesado nos meus direitos e interesses e posso acionar um pedido de indemnização. Nessa vertente, o Estado não está de forma nenhuma liberto. A estrutura da multa, que é algo que o regulamento prevê que cada Estado como a vai estruturar, no nosso caso está estruturada para reverter a favor do próprio Estado uma componente e outra componente a favor da CNPD. Isto era o que estava no projeto inicial, que ainda não foi aprovado, mas que em princípio será. Neste aspeto em particular não deve haver grandes reclamações ou alterações. Se a multa está estruturada dessa forma, vamos ter o Estado a pagar a ele próprio, de alguma forma. Se pensarmos assim vemos que é um pouco inconsequente.

Mas a multa também serve como um incentivo para cada entidade poder cumprir a sua parte, não é?

Claro que sim e eu sou da opinião de que, em relação ao próprio Estado, deveria haver ações disciplinares para o não cumprimento do regulamento, penalizações que, de alguma forma, pudessem ser contempladas na própria estrutura. Mas a multa em si, a ser aplicada, ou é em título individual e tem impacto ou então vamos ter a situação de o Estado estar a pagar a ele próprio, dando uma comissão à CNPD, basicamente é isso que acontece.

As novas regras estão a criar problemas às seguradoras com seguros de saúde. A associação que as representa diz que é impossível confirmar se todas as apólices (são 2,5 milhões) cumprem os requisitos legais. Como se pode resolver isto?

A questão dos dados de saúde dos seguros é um problema grave. Vai ser difícil de lidar e nem tanto pela natureza dos dados, sendo críticos, muitos deles, mas porque ao longo dos tempos em que aumentou a digitalização, não houve regulamentação. Tem havido algum abuso da utilização dos dados. É uma flexibilidade que permite ter processos de negócio mais simples, mas que põe em risco a segurança. Nunca fiz nenhuma auditoria a nenhuma empresa de seguros, mas o próprio Estado devia exigir essas auditorias para perceber qual é a situação. Se formos partir para uma situação em que bloqueia tudo, vamos ficar com a nossa vida bloqueada. Ninguém quer isso. Mas os processos têm mesmo de ser todos revistos, porque muitos não estão a acautelar nem as medidas de segurança nem de privacidade.

Quando se subscreve um seguro de saúde, não se está a autorizar logo o uso dos dados?

Parcialmente. Há aspetos contratuais que têm justificação para a recolha dos dados e do seu tratamento. Qualquer organização deve fazer o levantamento de todas as justificações legais que lhe permite ter certos dados. O problema são os outros dados, que foram recolhidos sem necessidade. Por exemplo: nós sabemos que circulam frequentemente, folhas de cálculo Excel nas caixas de correio entre entidades e organizações de uma forma que viola alguns dos princípios do regulamento – mesmo que não façam por mal. Permitem que uma folha de cálculo dessas caia na mão de alguém, possa ser abusada abusivamente e nem se sabe quem é o responsável. Na verdade, o regulamento agora estabelece que quem fez a recolha dos dados é responsável.

Há serviços que estão a sair da Europa por causa do RGPD. Por exemplo, alguns media americanos estão a bloquear o acesso a utilizadores europeus. Pode haver um problema de competitividade?

Eu não creio. Se olharmos para a China, publicou uma lei de proteção de dados parecida com a europeia. E temos de nos lembrar de uma coisa. Os Estados Unidos neste momento, com toda a aparente liberdade que têm… Onde é que ouvimos falar de mais quebras de privacidade? Provavelmente é nos Estados Unidos. Se formos ver com cuidado, nos EUA se há uma fuga de dados, no dia seguinte sabe-se. É espantoso porque isto na Europa não acontece. Se houver uma fuga de dados num hospital, nós não vamos saber com essa dimensão. Isto nos EUA nem é recente. Eles estão à frente da Europa nesse aspeto. Isto faz-me lembrar o problema do ano 2000, em que também houve muita gente a reagir de maneira impulsiva, lançou-se também oportunidades de negócio no meio daquilo tudo. Acho que mudanças radicais na sociedade traduzem-se nestes cenários?

O que acontece às empresas que vivem da compra e venda de dados?

Elas podem existir. Algumas empresas seriam já ilegais antes e estariam à margem da lei mesmo antes do RGPD, por isso houve algumas multas pagas usando as leis de privacidade de cada país. Em Espanha, na banca, algumas bem avultadas. Isso vai continuar a acontecer. O regulamento o que vem fazer é dar às pessoas a hipótese de controlarem os seus dados pessoais. Essa responsabilização, ara mim, é a grande diferença.

Há startups que fecharam portas devido ao RGPD. Acha que pode acontecer com outras? Isso é bom ou mau, no sentido em que pode trazer maior segurança na forma como os dados pessoais são tratados?

Se há uma empresa, que vai fechar portas por causa do regulamento, então provavelmente nunca deveria ter aberto as portas. O regulamento não está a criar nenhuma barreira ao negócio, apenas está a dizer: “Querem fazer negócio com dados de pessoas? Podem fazer, mas peçam às pessoas e informem-nas”. Se uma empresa me pedir os meus dados geográficos, vai saber onde estou durante todo o dia, em troca dá-me alguma coisa. Se eu aceitar de forma informada que esses dados vão ser usados dessa forma, não há problema nenhum em o fazer, o que não pode é usar os dados para algo para o qual eu não aprovei. Isso não pode acontecer e acho muito bem.

 

Perfil – Quem é o líder da associação de proteção de dados?
É professor no Departamento de Sistemas de Informação da Escola de Engenharia da Universidade do Minho e, desde 2016, que aceitou o repto dos seus alunos e passou a presidir à nova Associação Portuguesa de Proteção de Dados. Aos 58 anos, Henrique Santos desenvolve o seu trabalho docente e de investigação nas áreas da Segurança dos Sistemas de Informação e da Arquitetura de Computadores. Integra um grupo de trabalho sobre Segurança na Sociedade da Informação e outro de Gestão do Risco em CiberSegurança. Fundou a associação, com a missão de promover a consciencialização e discussão da problemática da proteção de dados pessoais na sociedade.

Comentários
Outras Notícias que lhe podem interessar
Hoje
Bosch Aveiro

Investimento estrangeiro cria quase 8 mil empregos em 2017

Pedro Mota Soares, deputado do CDS-PP. Fotografia: Filipe Amorim/Global Imagens

Aprovado diploma do CDS que elimina taxa dos combustíveis

Carlos Costa, governador do Banco de Portugal Fotografia: REUTERS/Rafael Marchante

Guerra comercial generalizada rouba 2,5% à economia portuguesa até 2020

Outros conteúdos GMG
Henrique Santos: “Quem fecha por não cumprir o RGPD não devia ter aberto portas”