No dia 25 de maio, assinala-se os três anos de aplicação do Regulamento Geral de Proteção de Dados (RGPD). O RGPD constituiu e continua a ser um "marco" para a privacidade e proteção de dados pessoais, com repercussões não apenas na União Europeia, mas em todo o mundo. Muitos países, como o Brasil, Canadá, Austrália e Japão, seguiram o exemplo da União Europeia e, inspirados no RGPD, têm revisto a sua legislação de proteção de dados.

Nunca, como em 2017 e 2018 (principalmente, nos meses que antecederam a aplicação do RGPD), se falou tanto em proteção de dados pessoais. Deve ainda estar na memória de muitos as caixas de correio eletrónico inundadas com pedidos de consentimento.

É verdade que se chega a maio de cada ano e se multiplicam as estatísticas, os estudos, os artigos de opinião sobre o RGPD. Continua a falar-se sobre o RGPD e ainda bem, é sinal de que as pessoas estão "despertas" para o tema, que não se limita a ser sobre um regulamento com interesse escasso para o cidadão comum, pois faz parte do dia-a-dia de todos nós. Na verdade, sem nos apercebermos, "partilhamos cama, comida e roupa" com os dados pessoais e sem termos, muitas vezes (embora menos, diria), uma verdadeira consciência disso.

No atual contexto de economia digital, os dados pessoais representam uma enorme mais-valia, pelo seu gigantesco valor e potencial. Logo, quando usados, de forma incorreta, podem ter efeitos negativos e até causar, de forma irremediável, danos. Pense-se, por exemplo, em fotografias partilhadas em redes sociais ou de dados pessoais que são recolhidos sem nos lembrarmos já qual o motivo da recolha e que podem circular incessantemente na Internet e que, mais tarde, até podem servir para justificar (mas, em silêncio, pois, o "direito ao esquecimento" não o permitiria) a recusa de uma entrevista de emprego, de um crédito a habitação ou de um seguro de saúde.

Percebe-se, assim, qual a importância dos dados pessoais, pelo que assinalar a data da aplicação do RGPD não será certamente contraindicada, pois, na verdade, a todos nós interessa, porque se torna praticamente impossível, na sociedade em que vivemos, não termos uma "vida virtual" a sobrepor-se e a fundir-se constantemente com a parte não virtual das nossas vidas. E é precisamente essa consciencialização que nos permite relembrar (para quem se esqueceu) que o RGPD existe e que tem de ser aplicado de forma rigorosa e eficaz, e já agora de forma uniforme na União Europeia. A consciencialização para a necessidade de proteção dos dados pessoais é transversal a estes últimos três anos e, sem dúvida, muito positiva.

Fazendo um balanço do último ano, é inevitável assinalar que, com a pandemia, começaram a surgir diferentes preocupações para a proteção de dados, em particular no âmbito do tratamento de dados de saúde, com novas questões em torno da aplicação "StayAway Covid", da medição da temperatura corporal dos trabalhadores, bem como preocupações associadas ao contexto de teletrabalho e de ensino à distância e de um consequente aumento dos ataques cibernéticos.

Também o Covid-19 acabou por refrear os trabalhos da CNPD, pois as preocupações passaram a ser de outra ordem. Ao mesmo tempo, não deixaram, todavia, de aparecer novos desafios em nada relacionados com a Covid-19 (afinal nem tudo foi Covid-19 no último ano), nomeadamente ao nível das transferências internacionais de dados. Questões associadas ao Brexit já eram previsíveis, o que não era previsível era repetir-se o cenário de anulação da solução de "Porto Seguro" com o "Escudo de Proteção de Privacidade" nas transferências de dados para os EUA, na sequela "Schrems II" (acórdão do TJUE). A este nível ainda se mantém a incerteza, não se revelando suficiente a solução de recurso a cláusulas contratuais tipo e que contou com uma proposta de revisão pela Comissão Europeia, mas que, ao que parece, em nada alterará este cenário.

Em Portugal, com exceção da multa de €400.000 aplicada ao Hospital do Barreiro, dando nota que a Comissão Nacional de Proteção de Dados (CNPD) seria desfavorável a uma possível dispensa de aplicação de multas às entidades públicas, as multas têm sido escassas.

Isto não significa que tudo esteja bem, antes pelo contrário. A falta de atuação da CNPD, em grande medida justificada pela Covid-19, padece de outra doença: a falta de recursos humanos e de meios para que a CNPD possa realizar o papel que lhe compete.

A sua atuação (ou antes a falta dela) contrasta com a das suas congéneres, em particular as autoridades inglesa, francesa, alemã, italiana e até a espanhola, e com repercussões nas multas, onde se destaca a multa aplicada à Google (€50.000.000), pela CNIL francesa; à H&M (€35.258.708) pela autoridade de controlo alemã; à British Airways (€22.046.000) e à cadeia de hóteis Marriott International (€20.450.000) pelo ICO Information Commissioner"s Office; à Telecom Italia (€27.800.000), Vodafone Italia (€12.251.601) e ENI Gas e Luce (€8.500.000) pela autoridade italiana; e à Vodafone Espanha (€8.150.000) pelo regulador espanhol.

Os gigantes tecnológicos também continuam sob a "mira" das autoridades de controlo, com a partilha de dados entre o WhatsApp e o Facebook a ser alvo de recente escrutínio, fruto da nova política do Facebook (em vigor desde o dia 15 de maio) que está a ser contestada pela autoridade de controlo alemã, depois de ter sido aceite em outros países.

Uma pergunta (pelo menos, uma) é, por conseguinte, inevitável fazer: se o RGPD é o mesmo e visa uma aplicação uniforme, porque razão não foi a política do Facebook contestada por outras autoridades de controlo? Esta questão parece que irá ficar por responder, pelo menos a breve trecho, mas é muito provável (não querendo fazer um exercício de futurologia), que ainda se venha a falar dela, mas numa outra perspetiva: a da defesa dos direitos dos utilizadores e com um aumento da litigância, em particular ao nível de ações coletivas e populares de indemnização.

Três anos depois, parece, assim, que caminhamos a diferentes velocidades, não funcionando o sistema de controlo em matéria de RGPD da mesma forma em toda a União Europeia. Espera-se que esta realidade possa, no entanto, vir a ser mitigada, tanto ao nível da implementação como do controlo/supervisão, mas, preferencialmente, sem que tenhamos que esperar por mais três anos.