A Comissão Europeia propõe alterações ao RGPD: leitura crítica e propostas práticas

A Comissão Europeia publicou recentemente uma proposta de regulamento destinado a simplificar determinadas obrigações que afetam micro, pequenas e médias empresas. Entre as medidas apresentadas neste documento está uma proposta de alteração ao Regulamento Geral sobre a Proteção de Dados (RGPD). O espírito subjacente a esta proposta é, essencialmente, flexibilizar algumas das obrigações de conformidade do RGPD, com o alegado objetivo de ajudar as pequenas e médias empresas a cumprir sem encargos burocráticos excessivos, procurando assim obter poupanças de custos e maior eficiência da atividade empresarial.

Embora o propósito e a intenção sejam altamente louváveis, o conteúdo das propostas pode não atingir o objetivo ao concentrar-se em algumas questões que estão longe de ser o problema que as PME enfrentam para cumprir o RGPD.

Neste artigo, explicamos isto com exemplos concretos e propomos algumas modificações que seriam úteis para melhorar a situação de cumprimento e adaptá-la à realidade das pequenas e médias empresas.

1. Obrigação de manter um Registo das Atividades de Tratamento e suas exceções

A principal medida incluída na proposta da Comissão diz respeito à obrigação de manter um Registo das Atividades de Tratamento (RAT) estabelecido no artigo 30.º do RGPD. Mais concretamente, a proposta visa alargar o perímetro de exceções aplicáveis a esta obrigação, para que um maior número de empresas decida não manter este registo.

A redação atual do artigo 30.º do RGPD inclui um ponto 5 que contém as seguintes exceções:

“As obrigações a que se referem os n.^os 1 e 2 não se aplicam às empresas ou organizações com menos de 250 trabalhadores, a menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9.^o, n.^o 1, ou dados pessoais relativos a condenações penais e infrações referido no artigo 10.^o”.

Como se pode ver, o texto obriga qualquer empresa com mais de 250 trabalhadores e também as que tenham menos do que esse número se se verificar alguma destas três circunstâncias: (i) o tratamento implique risco, (ii) não seja ocasional ou (iii) inclua categorias especiais de dados ou antecedentes criminais.

O texto que se pretende substituir o referido n.º 5 do artigo 30.º é o seguinte:

“As obrigações a que se referem os n.^os 1 e 2 não se aplicam às empresas ou organizações com menos de 750 trabalhadores, a menos que o tratamento efetuado seja suscetível de implicar um risco elevado para os direitos e liberdades do titular dos dados, no sentido do artigo 35.^o”.

Como se pode observar, para além do aumento do limite do número de trabalhadores, foram eliminadas duas das três circunstâncias em que as pequenas empresas também seriam obrigadas a ter um RAT, a saber, que o tratamento não seja ocasional ou que inclua categorias especiais de dados pessoais.

Refletindo sobre esta proposta de alteração, colocam-se as seguintes questões: não ter um RAT reduz realmente a carga burocrática? Isso representa uma maior facilidade de cumprimento para as pequenas empresas? O nível de cumprimento irá melhorar?

2. Comentário à proposta de alteração

Na nossa opinião, esta proposta de reforma suscita dúvidas por duas razões: em primeiro lugar, porque ignora as origens do atual artigo 30.º, n.º 5 e as razões pelas quais foi incluído um critério numérico no seu texto. Em segundo lugar, porque não tem em conta a essência do que significa o RAT num programa de conformidade com o RGPD e induz em erro as entidades obrigadas sobre a finalidade mais essencial do RGPD.

• Aumento do número de trabalhadores
  
  Quanto ao primeiro motivo, é necessário recuar à evolução do texto do RGPD durante os quatro anos que levou a sua tramitação nas instituições da UE até à sua aprovação final e publicação no Jornal Oficial da União Europeia (JOUE) como norma obrigatória.
  
  A este respeito, vale a pena recordar que, em algumas das suas versões iniciais, o projeto do RGPD continha vários casos em que determinadas obrigações estavam ligadas a critérios numéricos de uma espécie ou de outra (por exemplo, a obrigação de nomear um Encarregado da Proteção de Dados (DPO) ou representante na União Europeia estava vinculada na versão inicial da proposta do RGPD à entidade responsável que empregasse mais de 250 pessoas; versões posteriores ligavam-na à existência de tratamento que afetasse mais de 5000 titulares de dados; estas barreiras objetivas acabaram por ser eliminadas). Nesta linha de objetivar obrigações, o artigo 30.º estabeleceu a obrigatoriedade de possuir um RAT para as empresas com mais de 250 trabalhadores. Neste caso, ao contrário dos restantes em que foram eliminadas as referências numéricas, manteve-se o critério numérico.
  
  Ao longo do seu percurso pelas instituições europeias, a tramitação do RGPD oscilou entre uma abordagem jurídica baseada sobretudo nos sistemas de codificação napoleónicos, de natureza administrativa (direito continental europeu), e uma abordagem anglo-saxónica (Common Law, com uma componente de “accountability”).
  
  “Accountability” é um conceito jurídico que não tem tradução direta para português. Na versão portuguesa do RGPD é traduzido como "responsabilidade", enquanto no Regulamento de Inteligência Artificial é traduzido como "responsabilização". O conteúdo completo da “accountability” inclui: (i) a obrigação de cumprir uma obrigação específica, (ii) ser capaz de demonstrar o cumprimento em todos os momentos, e (iii) responsabilização ou responsabilidade em caso de incumprimento de qualquer das duas obrigações acima referidas.
  
  O resultado final deste processo foi uma lei híbrida, que inclui artigos representativos de ambos os sistemas jurídicos. Assim, por exemplo, podemos ver nos artigos 13.º e 14.º (obrigação de informar), no artigo 28.º (conteúdo do contrato com o subcontratante para o tratamento) e no artigo 30.º (RAT) uma representação clara da tradição mais administrativa e, pelo contrário, nos artigos 5.º, n.º 2 (princípio da responsabilidade), artigo 25.º (privacidade desde a conceção e por defeito) ou artigo 32.º (segurança do tratamento) como representações claras do Common Law.
  
  A revisão final e o consenso necessários para publicar uma norma aceite por todos estavam longe de ser simples. Sem dúvida, o acordo político alcançado envolveu a eliminação de parâmetros objetivos de conformidade e a sua substituição pela flexibilidade e adaptação a casos concretos, aplicando critérios de análise de risco. Assim, as menções acima referidas (número de trabalhadores ou de tratamentos para EPD, número de trabalhadores ou de titulares de dados afetados para representante da UE, etc.) foram eliminadas e substituídas por obrigações específicas ou por conceitos jurídicos indeterminados, porque se entendeu que a conformidade com a norma não deveria ser determinada com base em limites, mas que o critério mais importante era o risco para os direitos e liberdades dos titulares cujos dados são tratados. Obviamente, o risco do tratamento de dados para as pessoas não depende do número de trabalhadores da entidade que trata os dados ou de qualquer outro critério objetivo. Pode existir uma empresa com 1000 trabalhadores cujo tratamento de dados apresente um risco inferior ao de outra empresa com 25 trabalhadores.
  
  Ora, nesta tarefa final de eliminação de fasquias numéricas, a que se encontra no n.º 5 do artigo 30.º do RGPD só pode ser descrita como um lapso de última hora, uma vez que a conveniência de ter um RAT não tem nada a ver com o número de trabalhadores da entidade. De qualquer modo, mesmo que esta redação não fosse fruto de um lapso, o próprio texto inclui "exceções à exceção" suficientes para que, na prática, o RAT seja obrigatório na grande maioria dos casos, considerando o atual nível elevado de utilização da tecnologia.
  
  Por isso, o aumento do limite de trabalhadores para a obrigação do RAT não é compreensível.
• Dúvidas sobre a flexibilização geral
  
  O segundo comentário que pode ser feito sobre a abordagem da proposta de alteração à obrigação de ter um RAT está relacionado com a própria essência do que é um RAT e o seu lugar num sistema de cumprimento do RGPD. Não podemos perder de vista que a proposta está a ser apresentada sete anos após a aplicação obrigatória do regulamento, quando já temos experiência e critérios práticos e jurídicos suficientes para compreender verdadeiramente o que é um RAT, a sua importância e o que significa.
  
  Como vimos, para além do critério numérico relativo aos trabalhadores, a proposta elimina a obrigatoriedade de possuir um RAT quando existam tratamentos que envolvam um risco para os direitos e liberdades dos titulares dos dados (substituído por "risco elevado"), quando se trate de tratamentos não ocasionais e quando sejam tratados dados de categorias especiais.
  
  É necessário recordar aqui que o RAT pode ser descrito como a espinha dorsal de um programa de cumprimento do RGPD. E isto porque, mais do que uma mera obrigação formal de elaboração de um documento, o RAT constitui o inventário detalhado dos tratamentos de dados realizados pelo responsável pelo tratamento. Isto, por sua vez, é essencial para cumprir muitas outras obrigações do RGPD. A mais imediata é a obrigação de informar (artigo 13.º), que obriga o responsável pelo tratamento a comunicar ao titular dos dados todos os elementos importantes que afetam o tratamento. Estes elementos são organizados e detalhados no RAT e, por esse motivo, elaborar uma política de privacidade sem um RAT torna-se uma tarefa complexa e abstrata. O RAT é igualmente importante em relação à verificação das obrigações de conservação de dados, às medidas de segurança, às transferências internacionais, ao controlo e monitorização dos subcontratantes do tratamento e às transferências de dados. Tudo isto se reflete no RAT e serve de guia para o cumprimento do RGPD.
  
  Qualquer pessoa que tenha implementado de forma rigorosa um projeto de cumprimento do RGPD sabe que, sem o RAT, a tarefa se torna significativamente mais complicada. E, por isso, é surpreendente que aumentar o número de casos em que não é necessário um RAT se considere uma "medida de flexibilização". A consequência, longe de ser uma flexibilização e melhoria ou uma redução da burocracia, só poderia ser uma deterioração do nível de cumprimento do RGPD entre as pequenas e médias empresas e uma maior dificuldade em conseguir um programa de conformidade coerente e ordenado. Isto pode criar uma falsa sensação de conformidade para as empresas que beneficiam destas exceções, que terão mais dificuldade em cumprir integralmente o RGPD. E pode aumentar o número de empresas que continuarão a cair, com maior intensidade, nas redes de assessores sem escrúpulos que vendem papel fotocopiado sem conteúdo válido (não sendo necessário um RAT, um programa sem conteúdo pode passar mais facilmente despercebido a alguém sem conhecimentos na área).

3. Propostas de melhoria do RGPD

O RAT não seria, portanto, o ponto em que seria necessário flexibilizar o RGPD. E agora analisamos que medidas seriam realmente úteis para ajudar as pequenas e médias empresas a cumprir a regulamentação e, em última análise, a proteger melhor os direitos e liberdades dos titulares dos dados (que é o verdadeiramente importante).

Com base na experiência dos nove anos desde que o RGPD foi publicado e entrou em vigor em 2016 e dos sete anos de cumprimento obrigatório desde 25 de maio de 2018, existem várias melhorias que poderiam ser feitas, mesmo sem ter de modificar uma única vírgula do RGPD. Alguns exemplos:

• Promover de forma mais eficiente a publicação de códigos de conduta ou sistemas de certificação. A proposta de alteração do RGPD pela Comissão inclui também, como segunda e terceira medidas, a inclusão no RGPD de uma referência específica às empresas de média dimensão (mid-cap), para além da referência às pequenas e médias empresas que já existia nos artigos que incluem a possibilidade de aprovar códigos de conduta e sistemas de certificação. O que é realmente necessário, no entanto, é incentivar a sua implementação ou promover ativamente a sua criação, por exemplo, publicando modelos de códigos de conduta que as associações do setor possam utilizar como referência.
• Desenvolver documentação para permitir o cumprimento das avaliações de impacto para as transferências internacionais de dados (DTIA). Atualmente, é muito frustrante verificar como inúmeras empresas são obrigadas a repetir o mesmo exercício de análise que já foi realizado centenas de vezes por outras empresas, tendo de gastar enormes quantias de dinheiro para obter um relatório que poderia facilmente ter sido elaborado por uma das autoridades públicas competentes. Por exemplo, embora um DTIA exija diversos inputs — alguns deles específicos do caso concreto — a realidade é que muitos outros estão relacionadas com a análise do ordenamento jurídico e a aplicação da norma no país destinatário dos dados. O facto de cada empresa que vai realizar uma transferência internacional com base em cláusulas contratuais-tipo (a grande maioria) para um país específico ter de encomendar um relatório jurídico sobre esse mesmo país representa um ónus burocrático e económico injusto e desproporcional, que poderia ser completamente eliminado com um único relatório elaborado por uma instituição nacional ou europeia para cada país. Escusado será dizer que eliminar o RAT não reduziria este problema real e quotidiano.
• Auxiliar na interpretação da regulamentação através da implementação de canais de consulta eficazes e úteis por parte das autoridades de controlo. Concentrar a supervisão num processo de discussão construtivo entre a autoridade e o responsável pelo tratamento de dados, para que o cumprimento possa ir além dos procedimentos sancionadores e para que as empresas não tenham receio de abordar as autoridades e sintam que receberão ajuda, e não silêncio ou evasivas.
• Apoiar e auxiliar as empresas que sofrem ciberataques a melhorar a sua situação de segurança da informação porque, na maioria dos casos, senão em todos, apesar de terem investido em cibersegurança, as empresas vêem-se impotentes quando sofrem um ciberataque, e a isso acresce ainda a aplicação de sanções por parte das autoridades de controlo. O regime sancionatório deve ser o "último recurso" na aplicação do RGPD, reservado para casos claros de incumprimento intencional ou reiterado, e não para casos em que as empresas sofrem situações indesejáveis mesmo tendo tentado cumprir o regulamento.

Em síntese, e para concluir, as alterações ao RGPD que visam tornar as empresas mais flexíveis e eficientes sem enfraquecer a proteção de dados pessoais devem ser bem-vindas e incentivadas. Contudo, talvez seja mais simples refletir sobre como esses mesmos objetivos podem ser alcançados sem a necessidade de alterar a regulamentação (que tanto custou a ser aprovada e tanta força tem), abordando os problemas práticos da sua aplicação e facilitando o seu real e efetivo cumprimento pelas entidades obrigadas.