A pouco mais de um ano do início de aplicação do novo Regulamento, a névoa parece finalmente começar a assentar e as dúvidas dão já lugar a algumas certezas. Uma delas surge antes de todas as outras: o GDPR não é apenas um conjunto de (muitos) considerandos e de (muitos) artigos. Corporiza, pelo contrário, uma revolução sem precedentes a nível europeu nos domínios da privacidade e da proteção de dados pessoais, trazendo agarrado a si uma nova cultura “datocêntrica” (chamemos-lhe assim), nos termos da qual os dados pessoais e o seu titular ocupam o centro da moderna cosmologia digital. As empresas de media não escapam a esta revolução. Encontram nesta fase, porém, uma dificuldade que lhes é específica e uma outra que é comum a muitos setores.
A primeira diz respeito à enorme margem de abertura que o legislador comunitário deixou ao legislador nacional para afastar a aplicação do Regulamento quando pretenda dirimir, por via de lei, o conflito intra-sistemático entre o direito à proteção de dados pessoais e o direito à liberdade de expressão e de informação. Sendo uma concretização do princípio da subsidiariedade, o certo é que, na prática, esta especificidade deixa um rasto de incerteza em redor de 7 dos 11 capítulos do Regulamento (de 73 dos seus 99 artigos), conduzindo ao paradoxo de as empresas saberem que têm de se adaptar mas não saberem ainda exatamente a quê.
A segunda dificuldade é sentida pelas empresas de media mas partilhada com empresas de diferentes setores: por onde devem iniciar a travessia do GDPR? Por onde se começa? O tema é complexo. Deixarmos, no entanto, quatro pistas para kick-off: primeiro, é necessário mapear o universo de dados pessoais tratados e, nesse âmbito, encontrar resposta para um conjunto nuclear de questões, entre elas a de saber para que finalidades são tratados esses dados (processamento de salários, concursos televisivos ou de rádio, assinaturas de publicações, etc.), se os mesmos ainda são necessários e se foram adotadas medidas que asseguram a sua integridade; em segundo lugar é preciso conhecer o fundamento que legitima esse tratamento, designadamente, se foi consentido pelo titular dos dados, qual a extensão desse consentimento e em que medida as regras até agora seguidas cumprem com as disposições do GDPR (o que será relevante, por exemplo, para efeitos de realização de campanhas de marketing direto); depois, é fundamental assegurar uma adaptação dos procedimentos internos (e dos instrumentos que os corporizam, como as políticas de privacidade, os formulários de consentimento, etc.) à nova metódica de accountability do Regulamento, sem esquecer a importância da criação de mecanismos de resposta em caso de violação de dados pessoais; finalmente, é ainda necessário garantir que o processo de adaptação das empresas ao GDPR não toca apenas nos seus procedimentos mas, e essencialmente, na sua cultura: o tema da privacidade e da proteção de dados pessoais passa agora a estar “dentro” do negócio e já não apenas nas suas franjas.
Não há tempo a perder. Maio de 2018 está já no horizonte.
