Mais de seis meses depois da aplicação obrigatória do Regulamento Geral de Proteção de Dados (RGPD) aos Estados-membros da União Europeia (UE), a 25 de maio, ainda não existe legislação nacional aprovada que o adapte à realidade portuguesa. Portugal é um dos sete países — a par da Bulgária, Eslovénia, Estónia, Finlândia, Grécia e República Checa — que ainda não a tem. À falta de uma lei de execução do regulamento, continua a vigorar a atual Lei de Proteção de Dados no que não contrariar as regras europeias. Mas esse vazio do legislador português dá os incentivos errados às organizações e gera incertezas, especialmente em áreas que Bruxelas tinha deixado em aberto para serem definidas por cada país.

O atraso “cria uma má reputação e imagem de Portugal”, afirma ao Expresso a advogada Elsa Veloso. A especialista em proteção de dados adianta que o país está na cauda da Europa em relação à implementação das regras europeias, o que está a geral mal-estar na UE. “Estive há poucas semanas em Bruxelas, num congresso de profissionais de privacidade, onde estavam vários membros da Comissão, do Parlamento Europeu e da autoridade de supervisão europeia que se mostraram muito incomodados por Portugal não estar a cumprir”, conta. “Existir uma lei de execução nacional tem que se tornar uma prioridade da Assembleia da República (AR).”

Menos negócio, parcerias e investimento

O “mau exemplo de cima” gera indefinição em muitas organizações, que tardam em cumprir as regras europeias. “Há pessoas que não conseguem interiorizar que, mesmo sem lei nacional, o regulamento já está em vigor”, aponta Elsa Veloso. O que gera, muitas vezes, atrasos na implementação do RGPD, com consequências negativas para a competitividade das empresas portuguesas, exportações e captação de investimento em Portugal.

Até porque as multinacionais com sede fora da Europa estão entre aquelas que menos passos em falso querem dar. “Como estão mais longe e não controlam tanto o que se passa, as multinacionais estão a compelir as empresas com quem trabalham a assinar documentos onde fica explícito que se comprometem com o RGPD. As grandes empresas não querem contratar serviços de quem não está a cumprir”, adianta a advogada, acrescentando que isso gera menos negócio para as firmas portuguesas. A insegurança jurídica, o facto de a Comissão Nacional de Proteção de Dados (CNPD) ter aplicado uma coima de €400 mil ao Centro Hospitalar do Barreiro e Montijo (“a mais elevada da Europa, a seguir à da Uber”, por este ter dado acesso a dados de doentes a pessoal não médico) e de não existir legislação nacional não contribui para atrair as empresas estrangeiras, acredita Elsa Veloso. “Como se capta investimento quando o que temos para oferecer são coimas elevadas e a ausência de lei?”

Os riscos não atingem apenas o sector empresarial, a academia sofre também com esta incerteza. Uma das matérias deixadas em aberto pelo regulamento, para ser regulada por cada país, é o tratamento de dados para efeitos de investigação e estatística. “Como não temos lei portuguesa, não sabemos bem o que fazer”, realça Graça Canto Moniz. A investigadora e coordenadora do Observatório de Proteção de Dados Pessoais da Universidade Nova refere as candidaturas a financiamento de projetos de investigação para exemplificar como a ausência de legislação pode prejudicar a competitividade das universidades e institutos de investigação. “Se o concurso exigir respeito pelas regras de proteção de dados, estamos em desvantagem e podemos perder o financiamento para outros países que já as tenham.”

Autoridade já recebeu 314 queixas

Um dos principais desafios da CNPD desde 25 de maio tem sido “aplicar um novo quadro legal, com novas exigências, com uma falta de recursos humanos confrangedora”, explica ao Expresso Clara Guerra, porta-voz da autoridade nacional. Isto porque, desde a data de aplicação plena do regulamento, cidadãos e organizações públicas e privadas recorrem cada vez mais à CNPD para interpretarem e aplicarem o regulamento ou para apresentarem dúvidas e queixas. “Os pedidos que recebemos são frequentemente complexos, exigem análise conjugada com outras normas legais e a CNPD não tem capacidade para o fazer, pois está atolada nas largas centenas de pedidos de resposta mais imediata.”

À data, a autoridade recebeu 314 queixas de cidadãos e 147 notificações de empresas por violação de dados. E, apesar de “trabalhar a todo o vapor” na fiscalização e averiguação de “muitas situações graves” (das quais várias “já constituiriam ilícitos” ao abrigo da lei anterior), a escassez de recursos humanos limita a sua atuação. Embora a presidente da CNPD, Filipa Calvão, tenha alertado em maio a AR para o facto de ter apenas três juristas e quatro técnicos de informática e inspeção, de um total de 20 funcionários (muito abaixo da média das congéneres europeias), nada se alterou. O ideal seria, segundo a proposta apresentada à AR, ter 18 juristas e 14 técnicos de informática, de um total de 51 trabalhadores.

A falta de meios da CNPD não ajuda a criar um clima de cumprimento. E o facto de estar exclusivamente dependente de coimas para se financiar dificulta a sua sustentabilidade, pois as organizações tendem a recorrer junto dos tribunais e a atrasar a sua cobrança efetiva. “Enquanto a nossa autoridade de controlo estiver como está, a maioria das empresas portuguesas vai olhar para o RGPD como um risco mínimo”, diz Graça Canto Moniz. “Não vão esforçar-se para cumprir e vão estar disformes com as suas pares da UE, que é precisamente aquilo que o regulador europeu queria evitar, ao uniformizar as leis de proteção de dados no mercado único digital.”