Praticamente um ano depois da entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) a nível europeu é importante fazer um balanço dos benefícios e vicissitudes do mesmo para o tecido empresarial português, seja na sua vertente pública ou privada, e quer falemos de grandes empresas ou de startups e pequenas e médias empresas (PME). Assim sendo, é da nossa opinião que a análise se deve cingir aos problemas que a aplicação prática que o diploma europeu levanta, as formas de sancionar infrações ao mesmo, e por fim, de que forma os nossos jovens empresários podem e devem estar preparados para o RGPD.
A primeira nota a ter em conta prende-se com a temática jurídica envolvente neste corpo normativo, uma vez que o mesmo vem revogar uma anterior diretiva destinada ao efeito. É aqui que encontramos uma das principais diferenças, porque o regulamento, ao contrário da diretiva, não necessita de transposição por parte dos Estados-membros, tendo aplicabilidade direta. Logo, levanta problemas para os países integrados na União Europeia e, consequentemente, para as suas empresas, pois é necessário um acompanhamento legislativo, regulatório e fiscalizador para operar uma transição que vem alterar aspetos fundamentais do tratamento de dados pessoais de forma bastante abrupta. Existem algumas matérias novas e sensíveis para a ordem jurídica portuguesa, como a natureza e consentimento dos dados ou uma inovação no contexto empresarial que é o Encarregado de Proteção de Dados (Data Protection Officer), cuja função é precisamente salvaguardar os dados informaticamente guardados nas empresas. Levanta-se a questão: Deve ser elaborado um regime jurídico para esta figura? A nossa opinião é de que sim.
Passando para a parte mais polémica, é necessário averiguar se o sistema de coimas tem uma função suficientemente punitiva para as empresas que violem disposições do regulamento. Podemos fazer a comparação de forma metafórica entre grandes empresas do tipo multinacionais e PME e startups como duas equipas. Se uma delas ficar sem dois jogadores importantes pode facilmente substituí-los por outros, tendo em conta a sua capacidade económica, mas a outra que tem que rezar para não levar uma goleada. Brincadeiras à parte, o sistema de coimas baseia-se em dois tipos: um correspondente a infrações menores e valores até aos 10 milhões de euros ou 2% do volume de negócio anual, e nos casos mais graves com valores que podem ascender aos 20 milhões de euros ou 4% do volume de negócios anual. Obviamente, isso leva-nos conclusão de que será muito mais benéfico para uma Google infringir o diploma europeu, pagar a coima e continuar com receitas bilionárias do que para uma startup que se está lançar no mercado e se, por acaso, o violar o RGPD pode ir à falência por não conseguir fazer face à coima.
Posto isto, na nossa ótica, é necessário que os diplomas legislativos nacionais que visem a adaptação do regulamento aos contextos nacionais adotem uma conceção de proteção das PME e das startups, apostando numa lógica de aplicação a duas velocidades, promovendo a atividade das mesmas e a consolidação na economia nacional, já que têm que enfrentar tantos outros entraves burocráticos e fiscais. De forma a concluir a presente análise, não poderíamos deixar de dizer que é, naturalmente, de saudar esta iniciática europeia no que toca à regulação do tratamento de dados pessoais, mas deviam ter sido dadas mais pistas para a sua aplicação às entidades governamentais, empresariais ou não, relativamente ainda realidades que operem sob condições de confidencialidade como é o caso das sociedades de advogados e ainda a influência do regulamento para fins judiciais e de investigação criminal.