Quase seis meses após a aplicação do Regulamento Geral de Proteção de Dados (RGPD), já se pode fazer um primeiro "balanço".

Um grande número de empresas e organizações reviu as suas práticas, nomeadamente as grandes empresas privadas que atuam em setores estratégicos e para as quais os dados pessoais são um ativo essencial, como bancos, seguradoras, operadores de telecomunicações, comércio a retalho (grandes superfícies).

Contudo, muitas empresas privadas, grandes, médias e pequenas, e ainda outras empresas e entidades do setor público não implementaram o RGPD de forma completa e rigorosa.

Parece ter-se criado uma falsa "ilusão" de que a Comissão Nacional de Proteção de Dados (CNPD) não teria, pelo menos, no início, um papel proativo, ilusão essa que foi alimentada pelas notícias de falta de verbas desta autoridade, bem como pelo atraso na aprovação da lei das medidas de execução do RGPD.

Por outro lado, no que à administração pública diz respeito, a moratória de três anos prevista na proposta de lei, ainda não aprovada, contribuiu para retirar o foco do setor público da necessidade de implementar as medidas de proteção de dados exigidas pelo RGPD.

Contrariando as expetativas de muitos, a CNPD decidiu aplicar uma coima no valor de 400 mil euros ao Centro Hospitalar do Barreiro Montijo, EPE pelo acesso indevido a dados clínicos de doentes por profissionais não médicos, quando uns dias antes tinha aberto um processo de averiguação à EMEL e à Câmara Municipal de Lisboa na sequência do envio dos SMS pela EMEL com alertas sobre o furacão Leslie.

Ambos os casos, embora diferentes, apresentam um elemento em comum: no caso da EMEL, o acesso aos dados pessoais para finalidades distintas daquelas para que foram inicialmente recolhidos; no caso do Hospital do Barreiro, o acesso a dados por pessoas que a eles não deveriam ter acesso.

Obviamente, não se nega que a mensagem da EMEL, se tivesse chegado antes da tempestade, pudesse ter sido importante para evitar males maiores. Contudo, é inegável que foram utilizados dados pessoais para um fim diferente daquele para que foram recolhidos e por uma entidade sem atribuições ao nível da proteção civil.

Neste primeiro balanço, cabe ainda mencionar que muitas organizações privadas continuam a ignorar as regras sobre a obtenção do consentimento dos titulares dos dados, pese embora todos termos sido bombardeados por e-mails procurando obter o consentimento para a utilização dos nossos dados nos meses que antecederam o 25 de maio.

Em regra, sempre que visitamos um site, é-nos perguntado se aceitamos "cookies". Muitos destes "cookies" não recolhem dados pessoais e por isso não é necessário obter o consentimento do utilizador, como é o caso dos "cookies" não intrusivos (de preferência e de sessão). Já os "cookies" intrusivos, que quando combinados com outros identificadores e informações recebidas pelos servidores podem ser utilizados para a definição de perfis e a identificação de indivíduos, exigem consentimento, que não se satisfaz com opções pré-preenchidas, como ainda acontece. Visitámos numerosos sites de grandes empresas e outras não tão grandes que continuam a utilizar opções pré-preenchidas, quando o RGPD o proíbe taxativamente ao exigir um acto positivo de vontade, livre, expresso, esclarecido e inequívoco para valer como consentimento.

Na mesma linha, como o leitor saberá, continuamos a receber SMS e e-mails em massa em campanhas de marketing direto, sem que haja uma relação com a entidade remetente ou um prévio consentimento, não sendo, em muitos casos, respeitada a recusa em continuar a receber SMS ou e-mails ("opt-out").

Em suma, muitas organizações ainda não reviram, ou reviram de forma incorreta, os seus procedimentos de proteção de dados. Parece-nos certo que teremos mais notícias de coimas por violação do RGPD. A julgar pela primeira coima aplicada pela CNPD após 25 de maio, é expectável que as coimas venham a ser de montantes muito significativos.

Este artigo foi redigido ao abrigo do novo acordo ortográfico.