I MPACTOS E DESAFIOS

O RGPD consiste na maior alteração dos últimos vinte anos na regulação europeia referente ao tratamento de dados pessoais. Este apoiará o livre fluxo de dados pessoais na UE e estimulará a concorrência equitativa entre os responsáveis pelo tratamento - entre as empresas da UE e as empresas estrangeiras - tendo em conta que as normas utilizadas no espaço europeu têm que ser igualmente aplicadas pelas empresas estrangeiras. Resulta também num desenvolvimento do comércio e da cooperação internacional,124 pela fácil mudança a nível de prestadores de serviços e estimulará o desenvolvimento de serviços para o “Mercado Único Digital”125_{, aumentando a confiança dos consumidores.}

O grande desafio passa por garantir o referido controlo sobre a privacidade dos dados. A sociedade atual, com toda a proliferação de utilizadores – dependentes – da

Internet, redes sociais, do mundo digital, torna este controlo árduo, com a constante

partilha de dados pessoais. É necessária, adicionalmente, uma consciência de que, os dados de localização, detetados em dispositivos portáteis e os endereços de IP, são dados pessoais que identificam um indivíduo.

Um caso que acarretou uma enorme polémica envolveu o Facebook. Uma empresa de análise de dados britânica utilizou os dados de milhões de utilizadores (cerca de 87 milhões), sem autorização prévia, para criar campanhas políticas personalizadas (detetando esperanças, receios de cada um), com o objetivo de favorecer a campanha eleitoral de Donald Trump, Presidente dos Estados Unidos da América e a decisão do Brexit, favorecendo a saída do Reino Unido da União Europeia.126 Este grave problema

123 _{REDING apud ARTHUR, Charles - EU justice chief warns Google over 'sneaking' citizens' privacy} away. The Guardian [Em linha]. (1 mar. 2012). “A escolha não é com a empresa - a escolha é com as pessoas. É para o indivíduo julgar. Se o indivíduo quiser que os seus dados sejam vendidos a terceiros, procurados pelos anunciantes - se um indivíduo concordar com isso, isso depende do mesmo. Mas a escolha não é com a empresa, a escolha é com as pessoas, isto é, a Lei Europeia.”.

124 _{SALDANHA, Nuno - Novo regulamento geral de proteção de dados : O que é? A quem se aplica?} Como implementar?. Lisboa : FCA, 2018, p. 133.

125 _{GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Orientações sobre o direito à} portabilidade dos dados [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 3.

126 _{Vide PEQUENINO, Karla - Facebook avisa cada utilizador que teve os dados expostos à Cambridge} Analytica. Público [Em linha]. (9 Abr. 2018)

despertou diversas violações do regulamento, que ainda não se encontrava em vigor. Desde logo, a questão do consentimento - direto, específico e voluntário - que não foi dado, à partida, pelos titulares dos dados. Outra questão que surge é o profiling, com a definição de perfis automatizados, em que os titulares têm o direito à sua oposição. Adicionalmente, a questão da transferência de dados pessoais para países terceiros, que terá que ser realizada a decisão de adequação para verificar se o nível de proteção é devidamente adequado. Caso o RGPD estivesse em vigor, e para com a empresa de análise de dados britânica, os titulares dos dados teriam adicionalmente o direito de oposição ou limitação do tratamento dos dados pessoais, bem como o direito ao apagamento/esquecimento dos seus dados127128.

Tal como verificado no caso descrito, a proliferação dos dados exige uma maior consciência por parte dos titulares, sendo que a cooperação adquire também um papel pertinente: as autoridades de controlo devem cooperar entre si e também com a própria Comissão – Princípio da Cooperação e Assistência Mútua.129

Um conjunto elevado de responsabilidades, aplicadas ao responsável pelo tratamento e/ou subcontratante, vem também subjacente ao tratamento de dados, nomeadamente responsabilidades criminais, contraordenacionais, civil (com pedidos de indemnização subjacentes), do foro disciplinar (com violação de deveres pelos funcionários), social (com violações de ética)130.

2.1.AS EMPRESAS

Os impactos do RGPD fazem-se sentir de forma transversal, principalmente quando falamos das organizações empresariais. Nesta questão, deve-se verificar o conceito de empresa no TJUE, para aplicação dos artigos 101.º e 102.º do TFUE, sendo uma unidade económica com empresa-mãe e eventuais filiais131.

127 _{Considerando 24}

128 _{Apesar de já existir este direito na anterior Diretiva 95/46/CE, art.º 12.º. No entanto, atualmente, a} questão da responsabilização é que adquire um novo significado com o não cumprimento dos direitos dos titulares.

129 _{SALDANHA, Nuno - Novo regulamento geral de proteção de dados…, p. 153.} 130 _{SALDANHA, Nuno - Novo regulamento geral de proteção de dados…, p. 163.}

131 _{GRUPO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS - Diretrizes de aplicação e fixação de} coimas para efeitos do Regulamento 2016/679 [Em linha]. Bruxelas : Comissão Europeia, 2017, p. 6.

As Empresas, nas suas bases de dados, contêm um enorme montante de dados pessoas, incluindo os dados dos colaboradores (com dados de recursos humanos e dados sensíveis – Medicina do Trabalho), dos fornecedores e dos clientes. ARTURO SALAZAR, Business Solutions Manager do SAS132, recomenda: “Aconselhamos que comecem com uma sólida estratégica de governo de dados, para garantir que a tecnologia e as políticas estão em vigor de forma a perceber onde os dados estão armazenados e quem tem acesso a eles”.

Este novo regulamento faz com que as empresas prescindam de pedir autorização de tratamento de dados junto da CNPD, que passa a ter um papel de mera supervisão, diminuindo assim as atuais burocracias e custos e aumentando a sua responsabilidade individual133_{. Passamos de um modelo de heterorregulação, com notificações e}

autorizações obrigatórias por parte da CNPD para um modelo de autorregulação134_{. Este}

modus operandi atual, permite, de igual forma, a construção de uma relação com o cliente

mais saudável e na base da confiança, com maiores níveis de transparência e proteção.

Com os deveres de consentimento, existem novas barreiras e regras mais exigentes, obrigando as organizações a utilizarem alternativas e a correspondente utilização de recursos, tanto humanos como financeiros, podendo existir aqui uma perda de receita. Isto porque, os potenciais clientes poderão não consentir apenas por questões de inércia e não porque o realmente não desejam consentir. Mas de facto, quando falamos dos prospetos, o pedido de consentimento é a solução que menos risco comporta para o responsável pelo tratamento, sendo que para os clientes atuais e antigos, o interesse legítimo é uma condição de licitude válida para o responsável pelo tratamento. A finalidade terá que ser claramente definida, sendo que os dados pessoais apenas serão tratados quando existir uma finalidade claramente delimitada. Esta questão poderá despertar aspetos negativos para os clientes: a burocracia aumentará, existirá mais papel informativo, com maior exigência de assinaturas e, consequentemente, maior atenção por parte de quem presta informações ao cliente e por parte do próprio que assina a declaração.

132 _{Vide CARREIRO, Henrique, dir. - Mais de metade das empresas não compreendem consequências de} incumprimento do RGPD. IT Insight [Em linha]. (25 Out. 2017).

133 _{Considerando 89 do RGPD}

134 _{A autorregulação é a capacidade de uma instituição regular-se a si mesma, ocorrendo a monitorização e} controlo, documentação da atividade, dentro das próprias instalações para estarem em conformidade.

Outra questão que se levanta prende-se com a notificação obrigatória em 72horas, de violações de dados com risco para o titular, obrigando a deteção imediata por parte da organização, sendo, na minha perspetiva, algo irreal. Esta obrigatoriedade de informar aumenta a probabilidade de exposição mediática negativa e, consecutivamente, do risco reputacional. No entanto, a notificação da violação de dados deve ser vista como uma ferramenta que permite melhorar a conformidade em relação à proteção de dados pessoais, passando o ónus para as entidades sobre as quais recaem grandes responsabilidades.

Para se adaptarem às novas regras de proteção, os custos poderão ser muitíssimo significativos. A própria implementação do regulamento implica custos operacionais, desde formações (específica, obrigatória e contínua, exigida no domínio da legislação135₎

revisão dos arquivos atuais, subcontratação de auditorias para ajudar na implementação dos deveres. Segundo JOÃO FRADE136, “Para uma PME, o custo nunca fica a menos de 3000 euros. (…) A nossa experiência em clientes de média e grande dimensão permite- nos estimar esse esforço entre os 50 mil e os 500 mil euros”. Estes custos poderão colocar as empresas com menos capacidade em desvantagem competitiva.

O DPO, por si só, será um custo acrescido e tangível para muitas pequenas e médias empresas. Será pertinente verificar a questão da imparcialidade: deverá ser uma pessoa interna ou uma nova entidade externa? Isso tudo dependerá da capacidade financeira da empresa e da existência, ou não, de alguém competente para o cargo. Não obstante, é possível verificar também uma vantagem competitiva para as empresas, pois esta nova figura, além de facilitar a conformidade com o RGPD (com os novos instrumentos de responsabilização – e.g. DPIA), serve de intermediário entre as autoridades de controlo, as empresas e os titulares de dados.

Igualmente necessário será manter os registos sobre tratamentos de dados, com as avaliações do impacto e adotar princípios exigidos de proteção: privacy by design e

privacy by default, obrigações essas, bastante onerosas, que tomam também bastante

tempo aos colaboradores. A DPIA também se insere nesta questão, como uma nova realidade. A sua realização e constante revisão é bastante relevante para efeitos de

135 _{Remissão para os Artigos 34.º b), 39.º b), 47.º n), 70.º v)}

136 _{É sócio da Delloite que trabalha na área de risco. Vide SÉNECA, Hugo - RGPD : regulamento de} proteção de dados pode custar meio milhão às maiores empresas. Exame Informática [Em linha]. (24 mai. 2018).

melhoria contínua e trata-se de um instrumento de apoio às tomadas de decisões relativas ao tratamento dos dados, identificando os riscos e combatendo-os numa fase incial.

Com todos estes novos investimentos, com custos elevados para as empresas, para além dos feitos em melhores soluções tecnológicas para responderem adequadamente aos novos direitos dos cidadãos, estes serão, muito possivelmente, por forma a compensar a diminuição da capacidade financeira da empresa, repassados para os seus clientes, através do aumento do preço dos seus produtos e serviços. Por outro lado, para se alinharem com o RGPD, pode existir um investimento e financiamento de recursos totalmente focado no mesmo, descurando de outras áreas de defesa cibernética da organização, investindo enfaticamente na conformidade com o regulamento e não apostando totalmente na prevenção e mitigação do risco cibernético.

O grande alarme do RGPD prende-se com as coimas bastante avultadas, com a CNPD a atuar em conformidade. A aplicabilidade destas coimas terá de ser de forma consistente e coerente por todas as autoridades de supervisão para todas as violações equivalentes e com impacto semelhante, sendo que estas constituem o elemento central do novo regime e uma ferramenta de execução das autoridades de controlo137. A medida utilizada por estas deve ser “efetiva, proporcionada e dissuasiva”138 _{e exige uma avaliação}

individual para cada caso139. A coima pode também ser imputada a todas as empresas constituintes (empresa-mãe e filiais), ou ainda tendo em consideração o volume de negócios de todas as empresas constituintes (Art.º 83.º, n.º 4), o que aumenta consideravelmente o valor final da coima.

Segundo PAULA PANARRA140, diretora geral da Microsoft Portugal, existem três mitos relativamente ao RGPD: (i) que se traduz num obstáculo ao desenvolvimento económico e ao negócio das empresas; (ii) que o seu impacto está circunscrito à área tecnológica ou processual; (iii) que o regulamento é de difícil implementação. Segundo a diretora, "é importante compreender que o RGPD é muito positivo na medida em que

137 _{O considerando 13 do RGPD diz-nos que a aplicação de sanções equivalentes em todos os Estados-} Membros, conjuntamente com uma cooperação entre todas as autoridades de controlo, serve para “evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno”. 138 _{Remissão para o Artigo 83.º, n.º 1}

139 _{Remissão para o Artigo 83.º, n.º 2}

140 _{Breaking GDPR: Become a Master – Vide MICROSOFT NEWS CENTER - Apenas 2,5% dos decisores} considera que a sua organização está preparada para lidar com o RGPD [Em linha]. [S.l.] : Microsoft,

reforça os direitos individuais dos cidadãos em relação a uma área tão sensível como a privacidade, é uma oportunidade para as empresas porque lhes permite reorganizarem processos e revisitarem a sua política de dados criando condições para extraírem todo o potencial e valor dessa informação, e permite à Europa posicionar-se como um espaço de referência mundial para quem pretende viver e investir num ecossistema seguro em termos de respeito por direitos individuais e por uma forma ética de fazer negócios".

Quanto aos desafios, a nomeação do DPO e uma Política de Privacidade que garanta a proteção, confidencialidade, privacidade e disponibilidade dos dados pessoais são fundamentais para o contexto das organizações. Para além desta nova figura, todas as equipas das organizações deverão estar em conformidade com estas questões, passando pela formação e sensibilização dos departamentos, desde os recursos humanos até ao

marketing e comercial, com auditorias internas para verificar o acompanhamento dos

requisitos de conformidade relacionados com a privacidade.

Quando falamos do profiling, para efeitos de marketing direto141_{, este poderá ser}

considerado um interesse legítimo para o responsável de tratamento (Considerando 70), uma vez que existe um interesse económico na realização do tratamento de dados, refletindo-se numa melhoria na prestação de serviços e oferta de produtos (criando boas oportunidades de negócio). O óbvio a evitar será o potencial discriminatório, reduzindo e condicionando a capacidade de escolha dos titulares dos dados. Pelas vantagens que este tratamento acarreta, pode trazer, da mesma forma, tentação por parte das empresas de recolher largas quantidades de informação e trabalhá-las de forma incorreta, criando um perfil íntimo e exaustivo do titular e afastando dois dos princípios que regem o tratamento: Princípio da Minimização dos Dados e o Princípio da Conservação.

De igual forma relevante, é o direito à portabilidade de dados. Nestas situações, os Estados-Membros têm a liberdade para estabelecer regras específicas, a aplicar no direito nacional, reforçando as exigências aplicáveis, que garantam a defesa e proteção dos titulares dos dados. Urge, portanto, a questão da existência de regras especiais na

141 _{Remissão para a Lei n.º 41/2004, que regula a realização de comunicações não solicitadas, entre elas o} marketing direto. Se verificarmos o art.º 13.º A, este diz-nos que é obrigatória a obtenção do consentimento expresso e prévio do titular dos dados pessoais. Existem, no entanto, exclusões a esta questão (art.º 13.º A, n.º 3), sendo que não é necessário consentimento caso o responsável pelo tratamento tenha obtido os dados do cliente: (i) no contexto da venda de um produto ou serviço; (ii) a comunicação seja para fins de marketing direto dos seus próprios produtos ou serviços análogos aos transacionados; (iii) desde que garanta aos clientes em causa, clara e explicitamente, a possibilidade de recusarem.

regulação desta transferência entre entidades que prestem serviços financeiros, banca, seguros e de comunicações. Isto porque, com a portabilidade de dados de uma empresa para outra, violações de dados, quebras de segurança, são sempre passíveis de acontecer. O mesmo acontece com o direito a ser esquecido. É importante verificar também que, tendo em conta a velocidade da circulação da informação, estes direitos muitas vezes podem se tornar inaplicáveis, sobretudo quando envolve o ciberespaço. Verificando também o setor da saúde, dever-se-á restringir este último direito, dado que para analisar o historial médico de um paciente, os seus dados pessoais de saúde, não deverão ser apagados, dependendo destes, muitas vezes, a vida futura de um doente.

A transferência de dados para países fora da UE e do Espaço Económico Europeu, trará também alguns desafios, sendo que os dados pessoais não podem ser transferidos, a menos que garantam o mesmo nível de proteção de dados142_{. Verifica-se aqui um grande}

desafio na sua implementação, especialmente com empresas não europeias que lidam com dados pessoais da UE, concluindo-se que a política de comércio internacional ainda não está totalmente em linha com o RGPD. É um facto que, se os dados pessoais atravessam as fronteiras da UE, o risco para os titulares aumenta, com menos capacidade de resposta e proteção dos seus dados. É aqui necessária, uma cooperação ainda mais intensa entre as autoridades de controlo.143

CARLOS FIGUEIREDO, Diretor de Specialties da Marsh, indica que a implementação do RGPD é uma oportunidade que “permite ter uma visão mais ampla e estratégica da gestão do risco cibernético. A conformidade com as novas regras, transforma o que geralmente é visto como uma restrição numa vantagem competitiva”.144

De facto, o novo regulamento vem forçar as organizações a reverem toda a sua gestão de risco cibernético. Este não se cinge apenas a questões jurídicas e de TI, sendo necessário a implementação transversal nas organizações, de um sistema de gestão de risco, de segurança da informação e a adoção de novos comportamentos. É necessária a existência de formação especial, com uma consciencialização dos colaboradores para o

142 _{Considerando 101}

143 _{Considerando 116, Artigo 50.º}

144 _{BEXIGA, Sónia - Proteção de dados leva risco cibernético para o topo das preocupações das empresas.} Jornal Económico [Em linha]. (23 out. 2017).

cumprimento dos direitos dos cidadãos e um reforço nos requisitos de segurança de forma a garantir os dados privados e uma deteção e resposta eficaz aos casos cibernéticos.

2.2.SETOR SEGURADOR

As obrigações mais desafiadoras para o setor segurador, tendo em conta o tratamento dos dados, prendem-se com a especificação dos motivos para o tratamento, qual o período de retenção de dados adequado, ou seja, qual o tempo que as seguradoras podem armazenar/deter os dados dos seus clientes, e as questões da categoria especiais de dados. Para este setor, toda a informação é necessária tanto para efeitos estatísticos como para probabilísticos145, por forma a adaptar as coberturas e os limites de indemnização às necessidades dos clientes e, para prever e analisar riscos.

É importante discriminar, dentro do setor segurador, os impactos para as corretoras e, separadamente, para as seguradoras, uma vez que as corretoras são as intermediárias e, muitas vezes, agem como subcontratadas das seguradoras.

No caso das seguradoras, prever-se um decréscimo na oferta, pelo simples facto dos clientes, por inércia, não prestarem o consentimento, não existindo a renovação automática de contratos de seguro, uma vez que quando o contrato termina, a finalidade extingue-se. Assim, prevêem-se clientes menos informados, muitas vezes subseguros e mais insatisfeitos por toda a burocracia necessária.

Para o tratamento de categorias especiais de dados (nomeadamente genéticos, biométricos e de saúde), consagrados no artigo 9.º n.º 1, desenvolvidos tanto no ramo Vida como ramo Não Vida, onde o tratamento de dados de saúde para fins de subscrição de seguro é bastante frequente, torna-se necessária a obtenção de consentimento explícito (requisitos do art.º 7.º). Assim, o pedido de dados pessoais sensíveis por parte das seguradoras e corretoras torna-se agora mais restrito. O n.º 4 do artigo 9.º diz-nos que os Estados-Membros têm a possibilidade de estabelecer condições e formalidades próprias no tratamento deste tipo de dados, permitindo-nos questionar quais os limites do estritamente necessário – que é, per si, um conceito indeterminado. A verdade é que não

145 _{Veja-se aqui a Lei dos Grandes Números, teorema fundamental para este setor. Este teorema diz-nos} que, sendo a amostra crescente, a média da amostra tenderá para a média da população. Isto significa que a seguradora, com base na agregação de riscos e na Lei dos Grandes Números, pode diminuir os custos das apólices, com a venda do maior número possível das mesmas, cobrindo assim as perdas. Vide PORTO EDITORA - Lei dos grandes números [Em linha]. Porto : Porto Editora, 2018.

é possível subscrever um produto de cobertura de risco vida/morte/doença/saúde, sem dados clínicos do cliente. É, por isso, bastante alarmante o facto de se eliminar todos os dados de saúde, deixando muitas pessoas “desprotegidas”. A grande questão para as seguradoras prende-se pela existência de um enorme vazio legal. Enquanto se espera pela legislação nacional, questões como o consentimento expresso para o acesso a dados de saúde dos titulares e de pessoas falecidas encontram-se nesta zona cinzenta. Para os seguros de vida, por exemplo, apenas após a morte do segurado é que os beneficiários têm direito a receber a indemnização, tendo que ser comunicados os seus dados.

Ao destacarmos as transferências internacionais, verificamos uma mais-valia para este setor. Os custos e os prazos envolvidos na transferência de dados são reduzidos, sendo que as seguradoras com várias sucursais em diferentes países europeus, necessitavam de notificações e aprovações demoradas para envio de dados para empresas fora da UE. Com a questão do mecanismo de balcão único (“one-stop-shop”), concentrando uma única autoridade de controlo local, torna-se o caminho administrativo mais curto e menos dispendioso, com uma maior segurança jurídica para o setor. No