A Direcção da APDSI – Associação para a Promoção e Desenvolvimento da Sociedade da Informação, apresentou uma visão crítica sobre a proposta de Lei de aplicação em Portugal do Regulamento Geral de Protecção de Dados (RGPD), que entra em vigor a 25 de Maio.
No encerramento do jantar debate que decorreu quarta-feira em Lisboa, a propósito da proposta de Lei que se propõe adaptar o RGPD à realidade portuguesa, Luís Vidigal, presidente da APDSI, fez um pedido: «Não estraguem o Regulamento».
«Já fomos além da além da Troika, agora querem ir além do Regulamento», ironizou.
Luís Vidigal criticou a formulação da proposta de Lei no que diz respeito ao âmbito de aplicação do Regulamento e aos «Encarregados da Protecção de Dados» (DPO) nas organizações.
Concordando com a idade mínima de 13 anos para as crianças - hoje as crianças sabem mais em matéria de Internet do que os adultos ou os professores -, Luís Vidigal insurgiu-se contra o facto de o projecto não prever a forma de intervenção do poder paternal para anular actos de menores.
O presidente da APDSI criticou o projecto no que toca às questões de dados pessoais nas relações laborais, nomeadamente reclamando a garantia de que entidades subcontratadas pela entidade patronal só possam fazer o tratamento adicional dos dados com autorização do trabalhador, e defendeu que a transferência de dados dos trabalhadores deve reger-se pelo disposto no Regulamento comunitário, sem necessidade de regras especiais para Portugal.
Considerou «muito preocupante» a diferença de tratamento entre os sectores público e privado, porque as organizações privadas tiveram dois anos para se preparar e estarão sujeitas a coimas a partir de 25 de Maio, enquanto o sector público, embora obrigado a cumprir o Regulamento, beneficia de três anos adicionais sem multas, situação que será reavaliada ao fim desses três anos.
Vidigal criticou as disposições nacionais relativas a coimas, previstas na proposta de Lei, que considerou desproporcionadas para as pequenas e médias empresas (PME) face às grandes organizações.
A proposta prevê uma coima mínima de mil euros tratando-se de PME e de 2500 para grandes empresas, sendo que em ambos os casos o mínimo será 2% do volume de negócios a nível mundial se for mais elevado, para contra-ordenações graves.
Tratando-se de contra-ordenações muito graves, as multas mínimas serão de 5 mil euros para grandes empresas e de 2 mil euros para PME, em ambos os casos com um patamar mínimo de 4% do volume de negócios mundial.
Dos grupos parlamentares convidados para tomarem conhecimento das preocupações dos participantes no jantar, apenas se fizeram representar o PSD e o PCP.
O deputado comunista António Filipe, considerou que a Assembleia da República (AR) enfrenta um debate em condições difíceis porque acabou de ter conhecimento da proposta do Governo, a discussão começa no principio de Maio e o Regulamento entra em vigor a 25 de Maio.
Considerou muito importante o jantar pelos problemas que nele foram levantados e que têm de ser objecto de reflexão e ponderação pelos deputados para que possam ser resolvidos da melhor forma.
O deputado do PSD Carlos Abreu Amorim disse que gostaria que, nas propostas que os deputados têm de discutir, houvesse mais associações que reúnem especialistas e fazem apreciações sobre os diplomas e criticou que só agora tenham chegado a proposta quando o GPRD está em discussão desde 2012 e em vigor desde 2016.
Abreu Amorim afirmou que para a AR fazer um trabalho sério a proposta deveria ser conhecida pelo menos desde o início do ano e indicou que a Comissão Nacional de Protecção de Dados (CNPD) não foi ouvida pelo Governo mas terá de ser ouvida pelo Parlamento.
Durante o longo debate que se seguiu ao jantar, uma jurista da administração pública defendeu que o período experimental de três anos á necessário, observando que não se pode aplicar a sanção de encerramento a hospitais ou à segurança social.
Outro participante, afirmou que não foi só Portugal que isentou de coimas a sua administração pública e considerou necessário ter em conta as repercussões que o direito ao esquecimento pode ter na memória colectiva que deve ficar para as gerações futuras.
Uma participante do Observatório de Protecção de Dados junto à Faculdade de Letras do Porto criticou a falta de pedagogia da exposição de motivos da proposta de lei, que desresponsabiliza as empresas mais pequenas, e disse não compreender a existência do artigo sobre o âmbito de aplicação do RGPD.
Recordou que o direito ao esquecimento não é novo, já existia na Directiva, e tem várias excepções.
Outra intervenção defendeu que o DPO deveria ser um jurista e que em organizações grandes deveria ser uma equipa multidisciplinar.
Um orador defendeu que os DPO dos organismos da administração públicas devem fazer parte dela, criticando que a proposta de lei abra a porta a DPO subcontratados, esternos à administração pública, e outro disse que a administração pública tem pessoas altamente qualificadas para essas funções e discordou da subcontratação, até porque os DPO devem conhecer os organismos e o seu funcionamento.
Um participante recordou que a proposta de lei do governo não foi sujeita a consulta pública e que o governo não ouviu sectores com especificidades naquelas matérias.
Uma interveniente defendeu que o artigo da proposta de Lei relacionado com questões laborais contraria coisas que estão no GDPR e enferma de falta de rigor na terminologia e conceitos, com «uma redacção que de todo não é clara».
Considerou preocupante a questão da cedência de dados dos trabalhadores e sustentou que os artigos sétimo e oitavo da proposta de lei são desnecessários porque estão no Regulamento e só causam dificuldades.