Perspectivas para a protecção de dados pessoais
Todas as regras de protecção de dados devem ser aplicadas a todos os tipos de dados pessoais, através de todos os tipos de tecnologias e em todos os sectores.
As notícias sobre o tema da protecção de dados durante o ano de 2015 foram muitas e significativas, ao ponto de muitos considerarem que foi um dos mais importantes da história da privacidade e protecção de dados. Decorridos vinte anos da publicação da Directiva 95/46/CE, a qual ainda hoje serve de base às leis europeias de protecção de dados, provavelmente o evento mais importante do ano terá sido o alcance tão ambicionado do acordo político que actualizará as leis de protecção de dados na União Europeia: o Regulamento Geral de Protecção de Dados.
Este Regulamento trará alterações que irão mudar o modo como se recolhe e trata dados não só dentro da UE – uma vez que sendo um Regulamento Comunitário terá aplicação directa em todos os Estados-Membros, sem necessidade de qualquer transposição, colmatando assim a actual falta de harmonização existente – mas também fora da UE. Isto porque as disposições do Regulamento são aplicáveis às empresas mesmo que estas não tenham um estabelecimento na UE, desde que as suas actividades de tratamento de dados visem a oferta de bens e serviços aos titulares de dados pessoais, ou a monitorização dos seus comportamentos, na UE.
Outras regras importantes serão revistas, tais como: as regras sobre consentimento; o direito de apagamento (também conhecido como “direito a ser esquecido”); o direito à portabilidade dos dados; entre outros. Mas a maior novidade e que terá mais impacto na vida das empresas, procurando assim motivar o seu cumprimento da lei, é a responsabilização das empresas que tratam dados pessoais ou a obrigação de prestação de contas. Aqui inclui-se, entre outras, a obrigação de manutenção de registos por responsáveis e subcontratantes; de cooperação com autoridades de supervisão; de avaliações de impacto (de medidas) sobre a protecção de dados; de consulta prévia com as autoridades de protecção de dados em casos de alto risco; de notificação de violação de dados às autoridades de protecção de dados no prazo de 72 horas após detecção de um incidente; e, por último, mas talvez a mais relevante, maiores penalizações em caso de incumprimento, podendo atingir até 20 milhões de euros, ou até 4% do volume de negócios anual total a nível mundial, o que for maior.
Também restrições sobre transferências internacionais de dados serão objecto de alterações com o Regulamento. No entanto, este tópico motivou um outro evento que marcou, também, o final de 2015 e está a marcar o início de 2016: a invalidação do Acordo Safe Harbor entre os Estados Unidos da América e a UE, na sequência da decisão Schrems, proferida pelo TJUE, que pôs fim ao mecanismo de transferência de dados preferido da maior parte das multinacionais com empresas no outro lado do Atlântico.
Têm decorrido intensas negociações entre a UE e os EUA sobre o já apelidado “Safe Harbour 2.0”, mas nenhuma solução política foi ainda alcançada. A Comissão Europeia tinha desenvolvido recomendações para alterar o acordo Safe Harbor depois das revelações de Snowden e do impacto estas tiveram na opinião pública europeia, procurando melhorar e reforçar o acordo de Safe Harbor. Contudo, os EUA têm demonstrado alguma dificuldade na implementação das referidas recomendações e principalmente em dar garantias às autoridades europeias que será concedido aos cidadãos europeus o seu direito fundamental à tutela jurisdicional adequada. No entanto, 2016 trará novidades sobre o tema, uma vez que a as autoridades de protecção de dados da UE declararam que iriam “tomar todas as medidas necessárias e adequadas, que podem incluir acções de fiscalização coordenadas” caso até ao final de Janeiro as empresas não tivessem adoptado medidas alternativas ao acordo de Safe Harbor para salvaguardar as suas transferências internacionais. Irão agora reunir-se a 2 de Fevereiro para adoptar uma posição comum sobre o tema que, caso não seja resolvido poderá representar uma importante perturbação do comércio entre a UE e os EUA.
Surgiram nos últimos dias alguns estudos que procuram demonstrar que as protecções nos Estados Unidos são "essencialmente equivalentes" às leis europeias a um "nível prático". Procura-se fazer crer que, na Europa, apesar de os direitos de privacidade terem o estatuto de direitos fundamentais, na verdade nem sempre os mesmos são respeitados e existem inúmeras excepções. Parece também existir uma crescente aceitação por parte dos governos e mesmo da opinião pública que a tão criticada recolha de dados e permanente vigilância que os EUA fazem, poderá em alguns casos ser essencial para lidar com situações como a ameaça terrorista que assombra o mundo.
Quando a lei deixa de ter aderência à realidade, todos ignoram os seus comandos, a prática impõe-se e a lei torna-se irrelevante, abrindo caminho para repensar o tema e criar novas leis mais ajustadas às necessidades e aos objectivos que visam alcançar. Todas as regras de protecção de dados devem ser aplicadas a todos os tipos de dados pessoais, através de todos os tipos de tecnologias e em todos os sectores, pelo que devem manter-se flexíveis e adaptáveis ao “mundo real” mantendo o estímulo à inovação. De igual modo, as restrições à exportação de dados devem ter um quadro regulamentar que reconhece esta realidade e exige que as empresas se mantenham a protecção de dados e responsabilizem as empresas quando não o conseguem fazer.
Advogado, membro da sociedade PBBR