Opinião
Para quando a legislação nacional sobre proteção de dados?
Parece pouco compreensível que, tendo o Estado tido dois anos para estudar e preparar a legislação, não tenha considerado como prioritária a questão da proteção de dados.
- 1
- ...
O legislador europeu, no âmbito do RGPD - Regulamento Geral de Proteção de Dados, permite que os Estados-membros possam especificar as suas regras internas, em alguns domínios.
Apesar de aprovada em Conselho de Ministros a proposta de lei 120/XIII que assegura(ria) a execução legislativa referida no RGPD, a verdade é que esta não foi aprovada e não chegou a ver a luz do dia.
Posteriormente, no dia 2 de maio de 2018, a proposta de lei 120/XIII mereceu da parte da CNPD - Comissão Nacional de Proteção de Dados acérrimas críticas que tocaram mais de metade dos 64 artigos da proposta, através do parecer n.º 20/2018, acessível no site da CNPD. Entre outras, foi apontada a existência de inconstitucionalidades, normas contraditórias e, inclusivamente, proposta por aquela Comissão a supressão de artigos.
O parecer em causa, os "timings" apertados de apreciação parlamentar em face da data de aplicabilidade plena a 25 de maio, entre outros, levaram a que a legislação nacional não fosse aprovada a tempo.
Uma primeira consequência da falta de aprovação e publicação oficial é a de que enquanto não for aprovada legislação nacional que complemente o RGPD e que venha a revogar a Lei n.º 67/98, de 26 de outubro, esta lei manter-se-á em vigor em tudo o que não contrarie aquele diploma europeu. Existe, neste sentido, o comunicado da CNPD, de 25 de maio de 2018.
O RGPD, como é consabido, impacta de modo transversal todas as áreas de atividade. Não é por isso rigorosamente verdade que o diploma europeu tenha sido criado apenas como forma de disciplinar as grandes corporações americanas e europeias, pois todas elas, sem exceção, devem adequar-se e cumprir as normas que nele vêm previstas, independentemente da sua dimensão.
A reação dos mais variados setores tem sido diversa, mas um traço comum é passível de ser identificado: existe, ainda, algum desconhecimento sobre o que é o RGPD e qual o seu propósito. As organizações e as entidades devem perspetivar as novas normas europeias como um critério de oportunidade, de melhoria do seu negócio e gerador de um capital de diferenciação e, desde logo, de acrescida competitividade e notoriedade da sua marca.
O desconhecimento é tal que decisores diversos vieram afirmar que o legislador europeu não definiu os critérios legais que incluiu no RGPD. Aqui deve questionar-se qual seria então o alcance do artigo 4.º do Regulamento, que tem precisamente por epígrafe "definições" e no qual 26 conceitos de privacidade e proteção de dados são densificados e concretizados.
Afirmou-se, ainda, que o legislador europeu não definiu o conceito de "larga escala". Na verdade, a concretização desse conceito, previsto na lei como "grande escala", já existia na orientação sobre os encarregados de proteção de dados emanada pelo Grupo de Trabalho do Artigo 29, sendo que o considerando 91 do RGPD fornece ele próprio valiosas orientações.
Tudo isto vem entroncar com duas questões primordiais a considerar que são a da segurança jurídica e a proteção da confiança dos cidadãos, que concretizam o princípio do Estado de direito, previsto no artigo 2.º da Constituição da República Portuguesa.
A legislação que se aguarda faz diferença para que as organizações e os cidadãos percecionem um caminho de atuação seguro, facilmente percetível para o homem medianamente instruído, o "bonus pater familiae" da doutrina romana que sempre mantém plena atualidade.
Parece pouco compreensível que, tendo o Estado tido dois anos para estudar e preparar a legislação, não tenha considerado como prioritária a questão da proteção de dados e, já agora, procurado a colaboração da CNPD na procura das melhores soluções, a quem, supostamente, não terá sequer dado conhecimento prévio da legislação que pretendia aprovar.
Com ou sem legislação de concretização, primordial é também que as organizações procurem aconselhamento e apoio especializado junto de quem pode informar e aconselhar com pleno conhecimento de causa, evitando-se a disseminação de opiniões, muitas vezes publicamente, que não encontram qualquer paralelo, quer na lei, nos conceitos ou nas diversas orientações que existem em matéria de proteção de dados.
Este artigo foi redigido ao abrigo do novo acordo ortográfico.
Apesar de aprovada em Conselho de Ministros a proposta de lei 120/XIII que assegura(ria) a execução legislativa referida no RGPD, a verdade é que esta não foi aprovada e não chegou a ver a luz do dia.
O parecer em causa, os "timings" apertados de apreciação parlamentar em face da data de aplicabilidade plena a 25 de maio, entre outros, levaram a que a legislação nacional não fosse aprovada a tempo.
Uma primeira consequência da falta de aprovação e publicação oficial é a de que enquanto não for aprovada legislação nacional que complemente o RGPD e que venha a revogar a Lei n.º 67/98, de 26 de outubro, esta lei manter-se-á em vigor em tudo o que não contrarie aquele diploma europeu. Existe, neste sentido, o comunicado da CNPD, de 25 de maio de 2018.
O RGPD, como é consabido, impacta de modo transversal todas as áreas de atividade. Não é por isso rigorosamente verdade que o diploma europeu tenha sido criado apenas como forma de disciplinar as grandes corporações americanas e europeias, pois todas elas, sem exceção, devem adequar-se e cumprir as normas que nele vêm previstas, independentemente da sua dimensão.
A reação dos mais variados setores tem sido diversa, mas um traço comum é passível de ser identificado: existe, ainda, algum desconhecimento sobre o que é o RGPD e qual o seu propósito. As organizações e as entidades devem perspetivar as novas normas europeias como um critério de oportunidade, de melhoria do seu negócio e gerador de um capital de diferenciação e, desde logo, de acrescida competitividade e notoriedade da sua marca.
O desconhecimento é tal que decisores diversos vieram afirmar que o legislador europeu não definiu os critérios legais que incluiu no RGPD. Aqui deve questionar-se qual seria então o alcance do artigo 4.º do Regulamento, que tem precisamente por epígrafe "definições" e no qual 26 conceitos de privacidade e proteção de dados são densificados e concretizados.
Afirmou-se, ainda, que o legislador europeu não definiu o conceito de "larga escala". Na verdade, a concretização desse conceito, previsto na lei como "grande escala", já existia na orientação sobre os encarregados de proteção de dados emanada pelo Grupo de Trabalho do Artigo 29, sendo que o considerando 91 do RGPD fornece ele próprio valiosas orientações.
Tudo isto vem entroncar com duas questões primordiais a considerar que são a da segurança jurídica e a proteção da confiança dos cidadãos, que concretizam o princípio do Estado de direito, previsto no artigo 2.º da Constituição da República Portuguesa.
A legislação que se aguarda faz diferença para que as organizações e os cidadãos percecionem um caminho de atuação seguro, facilmente percetível para o homem medianamente instruído, o "bonus pater familiae" da doutrina romana que sempre mantém plena atualidade.
Parece pouco compreensível que, tendo o Estado tido dois anos para estudar e preparar a legislação, não tenha considerado como prioritária a questão da proteção de dados e, já agora, procurado a colaboração da CNPD na procura das melhores soluções, a quem, supostamente, não terá sequer dado conhecimento prévio da legislação que pretendia aprovar.
Com ou sem legislação de concretização, primordial é também que as organizações procurem aconselhamento e apoio especializado junto de quem pode informar e aconselhar com pleno conhecimento de causa, evitando-se a disseminação de opiniões, muitas vezes publicamente, que não encontram qualquer paralelo, quer na lei, nos conceitos ou nas diversas orientações que existem em matéria de proteção de dados.
Este artigo foi redigido ao abrigo do novo acordo ortográfico.
Mais artigos do Autor
Dever cívico? Quem o determina?
10.09.2020
Compasso de espera
23.05.2019
Direito ao esquecimento visto à luz do RGPD
01.03.2018
