2018-5-03

SECURITY

O RGPD "light" português

O Governo apresentou esta quinta-feira na Assembleia da República o RGDP português, mais light para as PME e comunicação social, virtual para o Estado. Mas a lei vai seguramente sofrer alterações na especialidade por imposição dos parceiros da maioria parlamentar. Dificilmente, porém, estará promulgada dia 25.

O RGPD "light" português

O deputado José Manuel Pureza do BE impõe ao governo as suas "linhas vermelhas" e manda a proposta de lei para a especialidade

O RGPD português é um caso de estudo da habilidade lusa em “suavizar” o ímpeto legislativo da UE. Com a apresentação na Assembleia da República, nesta quinta-feira, dia 3, da proposta de lei do governo nº 120/XIII, o Regulamento Geral de Proteção de Dados Pessoais (RGPD) aplica-se em Portugal de forma diferente, mais suave para PMEs, para a imprensa e jornalistas, e para já virtual para o Estado.

Comum a todos os partidos na assembleia foi a estupefação de terem menos de 22 dias para legislar sobre uma matéria complexa que é conhecida há 2 anos. 
E fica a pergunta de todos: “O que vai estar válido no dia 25 de maio?” Ao que a ministra diz ser “um processo em construção!”.


PMEs - Cá, ninguém fecha empresas

O início da proposta de lei explica o posicionamento do Governo face ao RGDP: “isto não se aplica às nossas empresas”.  Ou, nas palavras do documento: “O paradigma que esteve subjacente ao legislador europeu foi o das grandes multinacionais que gerem redes sociais ou aplicações informáticas à escala global, envolvendo a recolha e utilização intensivas de dados pessoais.(…) algumas das soluções jurídicas que foram plasmadas para esse universo revelam-se por vezes desproporcionadas ou mesmo desadequadas para a generalidade do tecido empresarial nacional e para a Administração Pública”.

Independentemente da “bondade” legislativa, o problema para o Governo era como lidar com um Regulamento hierarquicamente superior, sem cometer ilegalidades jurídicas. A solução passa por dois aspetos na aplicação das coimas:


Estratégia 1:  O gravíssimo e o grave
Esta é a primeira das originalidades lusa; distinguir entre vilões e os apenas incompetentes.

- Muito graves: a violação dos princípios dos artigos 5º e 6º do RGPD (“licitude, lealdade e transparência”); do artigo 7º  (consentimento ); do 9º ( dados especialmente sensíveis); do artigo 12º ( gratuitidade); do artigo 13º e 14º (omissão de informação relevante); assim como dos artigos 44º a 49º (transferência internacional de dados fora dos acordos europeus). Todas elas penalizadas com os já famosos 4% do volume de negócios mundial da entidade.

- “Apenas” graves: com 2% de coima ficam a generalidade das infrações do RGPD, nomeadamente aquelas que mais importam aos profissionais das tecnologias de informação, como seja o artigo 32º do RGPD (segurança do tratamento)  e o artigo 33º (avaliação de impacto sobre a proteção de dados). 
É claro que o governo quis minimizar a “fatura tecnológica” que o RGDP traz ao tecido empresarial português.


Estratégia 2:  Antes de multar, veja-se o balanço da empresa
A segunda das originalidades do RGPD nacional é que a lei dá instruções claras à CNPD para não inviabilizar o futuro das empresas nacionais com coimas. Num pedaço de prosa legal suficientemente vago para a U.E. não reclamar, mas suficientemente concreto para a CNPJ não provocar danos irreversíveis nas empresas, o artigo 39.º (Determinação da medida da coima) estabelece que esta seja aplicada tendo em consideração: “o volume de negócios e o balanço anual,” e “a dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados”. Ou, dito de outra forma, além do volume de negócios (dado suficiente para a U.E.), veja-se se a empresa tem capacidade efetiva para pagar a coima sem fechar portas a seguir.


Jornalismo e Comunicação Social

Outro ponto que o RGDP nacional vai consignar no seu artigo 24º é o do direito à informação (tratamento de dados pessoais para fins jornalísticos), uma forma de compatibilizar a proteção de dados pessoais dos cidadãos com a do direito constitucional da liberdade de imprensa. 
Mas este artigo não foi ausente de polémica parlamentar, porque dá à CNPD uma competência de “arbitragem” de interesses entre a comunicação social e os eventuais queixosos. Ser colocada essa capacidade num regulador é algo totalmente intolerável, um órgão que é, em última instância, um órgão de nomeação governativa.

Favorável neste artigo 24º é que, num mundo onde cada cidadão parece ser produtor de informação, o ponto 5º deixa claro que as exceções ao RGPD são aplicáveis apenas aos órgãos de comunicação social e aos jornalistas cuja legislação nacional dá o acesso ao exercício da profissão.

....mas não faças o que eu faço !
Nem o Bloco de Esquerda defende as exceções para o setor púbico

Se a esquerda é a grande defensora da grandeza e bondade do Estado, então fica para o registo histórico que nem o Bloco de Esquerda concorda com as exceções propostas pelo governo para isentar o Estado de obrigações com o RGPD.
A intervenção do deputado bloquista, José Manuel Pureza, é especialmente relevante quando a lei tem oposição segura do CDS e do PSD, que adjetivam de vergonhoso a forma como o Estado se isenta por 3 anos (no mínimo) face ao setor privado.

O que o governo vai agora negociar com o BE é uma dúvida, mas seguro é que o BE colocou publicamente linhas vermelhas, entre as quais a possibilidade de o Estado usar dados pessoais para fins que não os consentidos pelos cidadãos.


A embrulhada legislativa

Existem duas possibilidades para o governo ter apresentado, a 22 dias do RGPD, a lei nacional quando conhecia a regulamentação europeia há 2 anos, que tem prevalência hierárquica sobre a lei nacional: ou pela total incompetência do governo ou pela apresentação à assembleia de um facto consumado.

Se foi o último caso não resultou. Todos os partidos (à exceção do PS) querem levar a proposta de lei à especialidade e os deputados afirmam que não vai estar pronto a tempo de o Presidente assinar, a 24 de maio.

Portanto, no dia 25, pode ocorrer uma situação insólita: o RGPD entra em vigor, a atual lei de 67/98 não estará revogada, a CNPD provavelmente não terá o seu novo estatuto pronto, e a proposta de lei 120/XIII estará ainda em trabalhos de especialidade.

Salve-se o facto de estarmos em Portugal.

 

Pode ler a proposta de lei na íntegra aqui

 

Recomendado pelos leitores

Commvault anuncia solução conjunta com Pure Storage para cumprir requisitos do DORA
SECURITY

Commvault anuncia solução conjunta com Pure Storage para cumprir requisitos do DORA

LER MAIS

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.