Assinala-se este ano, o 5º aniversário da implementação do RGPD - Regulamento Geral sobre a Proteção de Dados. O RGPD - Regulamento Geral sobre a Proteção de Dados é um regulamento do direito europeu sobre a privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia (UE) e Espaço Económico Europeu, tendo sido implementado em 2018.
O RGPD - Regulamento Geral sobre a Proteção de Dados tem como objetivo principal disponibilizar aos cidadãos e residentes na UE formas de controlar e proteger os seus dados pessoais, tendo como premissa a uniformização do quadro regulamentar europeu.
Após 5 anos de vigência deste regulamento, e com o consequente aumento exponencial do número de ciberataques cada vez mais sofisticados e complexos, com elevada taxa de sucesso, importa reforçar a importância da existência e do cumprimento do RGPD - Regulamento Geral sobre a Proteção de Dados, na garantia de proteção da privacidade e proteção dos dados pessoais, quer de indivíduos, quer de empresas.
A questão fundamental prende-se essencialmente neste ponto: o seu cumprimento e inerente fiscalização por parte das entidades regulatórias. Após estes 5 anos, deteta-se que, particularmente entre os profissionais da área, juristas e a própria CNPD - Comissão Nacional de Proteção de Dados - existe ainda um longo caminho de agilização e consolidação de processos no âmbito do cumprimento e da aplicação de coimas respeitantes ao RGPD.
As críticas do setor são várias e comuns: faltam meios e recursos com vista ao cumprimento e a lei nacional está demasiado atrasada. Falta sobretudo a lei portuguesa agir e conferir o imprescindível enquadramento a um determinado tipo de tratamento de dados pessoais. Continua ainda a situação de manifesta insuficiência de recursos humanos da CNPD, a qual se arrasta desde o 1º ano de vigência do RGPD.
A parca evolução sentida pelos profissionais ao longo destes já 5 anos de vigência do RGPD carece ainda de uma clarificação cabal em matérias que versam sobre a regularidade das transferências internacionais de dados, principalmente para os Estados Unidos da América (EUA). Esta realidade constitui uma nova etapa e evolução no contexto do próprio RGPD, o qual foi inicialmente criado tendo em conta o âmbito específico da União Europeia (UE) e do Espaço Económico Europeu. Dada esta evolução contínua (pertinente e expectável) de aplicação do regime para os EUA, parece-me crucial e urgente, a decisão de adequação do nível de proteção de dados oferecido pelo Data Privacy Framework (DPF) entre a UE e os EUA.
Neste capítulo, e de acordo com o Parecer 5/2023, aprovado em março deste ano, o CEPD - Comité Europeu para a Proteção de Dados reconhece as melhorias significativas introduzidas no quadro legal norte-americano quanto aos princípios da necessidade e da proporcionalidade na recolha de dados pelos serviços de informação dos EUA e quanto ao mecanismo de recurso para os titulares de dados da UE. No entanto, o CEPD manifesta ainda as suas preocupações em relação a alguns aspetos e solicita clarificações por parte da Comissão Europeia.
As principais questões (menos claras) e as dúvidas dos especialistas, prendem-se com o exercício dos direitos dos titulares, as transferências subsequentes de dados, o âmbito das derrogações, a recolha temporária de dados em bulk (em larga escala) e o funcionamento prático do mecanismo de recurso.
O CEPD considera também existirem insuficiências no que se refere a uma monitorização independente; o mencionado Parecer do CEPD considera tanto os aspetos comerciais como o acesso aos dados e a sua utilização posterior pelas autoridades públicas dos EUA. A resolução quanto a esta controvérsia, que incide nas transferências internacionais de dados para os EUA, tende a ser pacificada apenas com a eventual decisão de adequação, prometida já para este verão, algo que, entretanto, parece cada vez mais longínquo e inatingível.
Na senda do 5º aniversário do RGPD e da análise à sua evolução, importa ainda destacar a notícia de há poucos dias, algo sem precedentes e que constituiu um marco histórico no âmbito da decisão anunciada, pelo valor da avultada coima aplicada (1,2 bilhões de euros) ao Grupo Meta, medida exemplar, não só pelo valor em causa, mas também pela circunstância (da reputação) dos agentes envolvidos.
Não obstante, já se sabe que esta medida não deverá surtir efeitos práticos imediatos, uma vez que, no melhor dos cenários, somente produzirá efeitos a partir de outubro de 2023.
Ainda assim, e face ao histórico de 5 anos de vigência do RGPD, este tipo de ação sancionatória vem contribuir para o incremento do prestígio e crescente credibilização e fator de solidez necessária que este regulamento carece desde a sua gênese.
