Share the post "Comissão Nacional de Proteção de Dados e fiscalização do RGPD"
A Comissão Nacional de Proteção de Dados (CNPD) é a entidade nacional que controla e fiscaliza o processamento de dados pessoais em Portugal. Até à entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) criado pela União Europeia, vigorava no nosso país a Lei de Proteção de Dados aprovada em 1998.
Portugal foi um dos primeiros países europeus a legislar nesta matéria. Desde 1998 que esta Lei exige às empresas que peçam à CNPD uma autorização para a recolha e tratamento de dados que pretendem fazer com as suas atividades comerciais. Essa autorização fica pendente de uma decisão da Comissão, que avalia quais os riscos que esse tratamento de dados pode representar para os seus titulares. Mas com a entrada em vigor do RGPD as coisas mudaram.
Este regulamento criou um processo de autorregulação para garantir o legal tratamento de dados pessoais na União Europeia. Isto quer dizer que, no caso de Portugal, as empresas deixaram de ficar dependentes de uma decisão da CNPD para fazer o tratamento de dados. Agora são as próprias empresas que têm de provar que estão a aplicar o regulamento e cabe à Comissão, ou outro organismo designado como fiscalizador, avaliar esse comportamento.
Neste momento, parte-se do principio que o RGPD está a ser aplicado e, se for detetada alguma infração, pode haver lugar à aplicação de advertências, sanções e mesmo coimas que o Regulamento prevê poderem chegar até aos 20 milhões de euros ou 4% do volume de negócios anual da empresa faltosa. Mas como está a ser feita a fiscalização e qual é o papel da CNPD nesse processo?
A CNPD como fiscalizadora do cumprimento do RGPD
Com falta de recursos humanos e financeiros para atuar como fiscalizadora, a Comissão desde cedo alertou o Governo e a Assembleia da República para a necessidade de encontrar uma solução mais eficaz para garantir o cumprimento do novo RGPD.
Essa solução poderia passar pelo investimento na melhoria dos recursos da CNPD e/ou pela criação de organismos e entidades que possam partilhar este trabalho de fiscalizador. A solução a encontrar é matéria deixada em aberto pelo RGPD para que cada Estado-membro possa legislar, encontrando a solução que melhor se adapte à sua realidade empresarial e profissional em particular.
Não sendo caso único dentro da UE, Portugal ainda não legislou sobre esta matéria o que nos deixa numa situação pouco clara sobre como a fiscalização vai funcionar quando estiver em pleno. Até lá, é necessário frisar que, sem lei nacional aprovada para concretizar a aplicação do RGPD, a Lei de Proteção de Dados de 1998 ainda se encontra em vigor desde que não contrarie o novo regulamento.
Isto quer dizer que o próprio regulamento já é Lei no nosso país, mesmo que a legitimação dos seus órgãos fiscalizadores ainda não esteja totalmente definida.
Enquanto a Assembleia da República não aprovar o novo estatuto da CNPD e indicar quais os meios necessários para a Comissão poder exercer essas funções, o RGPD está em vigor na mesma e é esta Comissão que continua a chamar a si a responsabilidade de encaminhar e solucionar as situações de incumprimento que surjam. Confuso? Explicamos-lhe como funciona.
CNPD: atuação por denúncia
Até haver legislação nacional, a CNPD não se abstém de cumprir com a sua função de Autoridade Nacional nesta matéria e já está a avançar com a principal função que a UE não esconde ser o seu objetivo principal nos primeiros anos de aplicação do Regulamento: que as autoridades tenham um papel mais de resposta do que de fiscalização.
O que se pretende é garantir uma abordagem mais didática e menos sancionatória, para que o tecido empresarial, e os próprios cidadãos, absorvam de forma voluntária as mudanças culturais e sociais que o novo RGPD implica e se apercebam das vantagens que ele pode trazer na definição de uma série de novas políticas comerciais e de comportamentos benéficos para o atual mundo digital.
Na prática, o que se espera é que a CNPD tenha um papel mais passivo e que atue apenas por denúncia de situações em que o regulamento não esteja a ser cumprido. E para isso já criou alguns recursos online na sua página de Internet.
O formulário para o EPD
Um formulário online para que o Encarregado de Proteção de Dados faça a devida notificação caso este detete violação de dados pessoais.
Queixas de titulares por email
A Comissão disponibiliza o e-mail para que, sempre que o titular dos dados considere terem sido violado os direitos que dispõe nos termos do RGPD, possa apresentar reclamação perante a autoridade de controlo competente.
Para além de toda a informação que pode ajudar as empresas a enquadrar os seus procedimentos de acordo com o RGPD disponível no site da CPND, a Comissão garante que está em curso uma reorganização dos seus serviços e funcionamento interno para fazer face às novas exigências e que disponibiliza atendimento personalizado, por marcação, para responder a qualquer questão que possa surgir junto das empresas em processo de adaptação.
Neste momento, cada caso é um caso para Comissão e é assim que é abordado, avaliado e direcionado para a aplicação do quadro legal nacional. Resta aguardar pela legislação nacional para perceber se a CPND vai passar a atuar de forma mais interventiva.