Desafios do enquadramento sancionatório em matéria de privacidade
25 de maio de 2018, cerca de dois anos após a respetiva publicação no Jornal Oficial da União Europeia, o Regulamento Geral de Proteção de Dados (RGPD) passou a ser aplicável.
Até lá, as empresas tinham de desenvolver e implementar complexos programas para cumprimento das regras estabelecidas no RGPD, precedidos de análises introspetivas sobre os dados recolhidos e tratados, num exercício que suscitou numerosas e relevantes dúvidas sobre a forma de implementação dessas regras cujo expoente máximo visível foi evidenciado pela inundação de mensagens, remetidas por diversos meios, de comunicações relacionadas com o consentimento para o tratamento dos dados.
Foram tempos curiosos, em que diferentes interpretações das mesmas normas determinaram, por exemplo, que fossem recebidos de umas empresas emails a pedir o consentimento escrito para receber as informações anteriormente solicitadas sob pena de deixar de recebê-las, ao mesmo tempo que de outras empresas chegavam sms meramente informativos no sentido de os dados antes recolhidos continuarem a ser tratados salvo oposição do titular.
Mais de um ano depois, foi publicada a Lei 58/2019, de 8 de agosto que visa assegurar a execução do RGPD na ordem jurídica nacional, nela se explicitando e desenvolvendo o papel da autoridade de controlo nacional (a Comissão Nacional de Proteção de Dados – CNPD) à qual, entretanto, foram atribuídos poderes reforçados de investigação em linha com os valores das coimas aplicáveis ao incumprimento das regras de tratamento de dados pessoais (até 20 milhões de euros ou 4% do volume de negócios anual, a nível mundial, no caso de grande empresa), mas que não surpreendem se considerarmos as atribuições das homólogas autoridades sancionatórias (como a Comissão do Mercado de Valores Mobiliários, o Banco de Portugal, a Autoridade da Concorrência ou a Autoridade de Supervisão de Seguros) e os valores das sanções que estas também podem aplicar.
As empresas estão a cumprir as regras de recolha e tratamento de dados e prepararam-se para as noticiadas maratonas de inspeções das autoridades de controlo? A CNPD, em Portugal, vai adotar uma postura mais pedagógica e esclarecedora ou mais punitiva?
Os Tribunais, em especial o da Concorrência, Regulação e Supervisão, têm tratado questões de direito contraordenacional que são comuns a todos os regimes sancionatórios e que seguramente surgirão nos processos por contraordenações em matéria de privacidade, nomeadamente quanto à extensão do direito de defesa, aos direitos processuais das empresas visadas, à validade dos meios de prova e de obtenção de prova, ou à ponderação do compliance como argumento de defesa. Mas como é que os tribunais tratarão alguns temas específicos de privacidade?
Conhecemos algumas respostas judiciais para problemas de privacidade antigos mas que se mantêm atuais porque, no essencial e na substância, não se alteraram. Pelas dezenas de processos de contraordenação que acompanhamos e que foram recentemente instaurados pela CNPD sobre este tema, salientamos como exemplo que, naquele Tribunal já foi decidido que, contrariamente à acusação então formulada pela CNPD, não constituía infração o envio de comunicações não solicitadas para fins de marketing direto através da utilização de sistemas automatizados de chamada e comunicação que não dependam de intervenção humana sem o consentimento prévio e expresso do assinante quando a chamada tenha intervenção humana.
Os “jogos” vão começar agora!
