Em 2016 chegou o Regulamento Geral sobre a Proteção de Dados, com produção de efeitos a 25 de maio de 2018, e surge a ideia de que estávamos perante todo um novo tema e área de preocupação a nível europeu. Neste ponto, podemos concordar ser um mito, visto que já dispúnhamos de legislação europeia relativamente a esta matériadesde os anos 90.
O RGPD trouxe também a ideia de que as organizações passariam a ter que solicitar o consentimento para qualquer tipo de tratamento de dados. A este respeito, todos nos recordamos do elevado número de emails de marketing remetidos para solicitar o consentimento para o tratamento de dados pessoais neste âmbito, sendo que hoje sabemos que este tratamento não tem necessariamente que se basear nestefundamento de licitude, caso sejam cumpridas determinadas condicionantes e requisitos, sobre as quais a própria entidade de controlo (CNPD) já emitiu as suas diretrizes.
Atualmente, ainda permanece, de uma certa forma, a ideia de que o consentimento pode ser utilizado como último reduto e base de licitude em todas as situações. No entanto, os profissionais da área, bem como as autoridades de controlo, têm envidado esforços no sentido de elucidar as organizações e os titulares dos dados quanto a esta questão.
Por outro lado, gerou-se também o preconceito de que as organizações, ao terem decumprir as regras constantes do RGPD, iriam ver obstaculizada a prossecução das suas áreas de negócio, em virtude da privacidade.
Ultrapassado este mito, verificamos que o RGPD, além das inerentes funções reguladoras, veio trazer, isso sim, para a ordem do dia, a discussão sobre os limites necessários impor às organizações, privadas ou públicas, quanto à velha máxima “informação é poder” que, pelo contrário, passou a poder consubstanciar um problema, quando esta não seja manuseada da forma mais correta.
A maior prova de vida e da necessidade da existência do RGPD, foi a pandemia, que evitou por várias vezes os abusos à privacidade em razão da segurança e saúde públicas. A preocupação de balanço entre a privacidade do indivíduo e o bem-estar geral da Sociedade deu os seus frutos e aprendemos com esta situação calamitosa que não é necessário baixar o nível de exigência da primeira, em detrimento da segunda.
Em suma, hoje, decorridos 5 anos desde a sua entrada em vigor, sabemos que a privacidade e a proteção de dados não se resumem ao cumprimento das normas do RGPD, sendo uma área que tem vindo a ser regulada nos mais diversos setores. Por este motivo, todas as organizações necessitam de ter uma atuação proativa quanto a estes temas, promovendo os devidos check and balances entre a sua atividade e o compliance exigido quanto à privacidade e à evolução da tecnologia, sem nunca descurar da segurança, tendo em vista, aliás, as normas de Cibersegurança.
“These are the lessons to be learned.”
por Área de Prática – Privacidade e Cibersegurança
