Artigo escrito para o idealista/news Portugal por Sónia Queiroz Vaz, advogada coordenadora de Propriedade Inteletual, Media e Tecnologias da Informação da Cuatrecasas em Portugal

Seja por puro desconhecimento, simples alarmismo, falta de acompanhamento especializado ou postura defensiva face ao pânico instalado pelos que viram no Regulamento Geral de Proteção de Dados (RGPD) /GDPR (nas siglas em inglês) uma janela de oportunidade para vender serviços, a verdade é que o dia 25 de maio está à porta e o regulamento é aplicável a partir dessa data. 

Falta aprovar a lei no Parlamento

Em Portugal, as dificuldades são algumas e acrescem ao esforço diário feito para tentar esclarecer, informar e pedir alguma razoabilidade e ponderação no tratamento do assunto, relembrando que temos uma legislação específica nesta matéria desde 1998, transposição de uma directiva comunitária do ano de 1995. 

A verdade é que, em bom rigor, pelos valores baixos das coimas e pela falta de uma fiscalização ativa do cumprimento da legislação, o tema foi esquecido e abordado com ligeireza durante anos a fio. 

A proposta de lei que concretizará alguns aspectos do RGPD em Portugal está pendente, não tendo, até à data de redação deste artigo, sido aprovada pela Assembleia da República (AR). 

As coimas em causa

Esta proposta de lei, se for aprovada nos moldes em que a conhecemos, estabelece montantes mínimos de coimas, que poderão ser aplicáveis ​​no caso de incumprimento das disposições do RGPD e que podem variar entre os 500 euros e os 30.000 euros, embora os montantes máximos aplicáveis ​​sejam os previstos no RGPD.  

A proposta de lei estabelece também um período de seis meses após o dia 25 de maio, concedido para renovar consentimentos, caso os consentimentos anteriormente obtidos não estejam em conformidade com o RGPD, incluindo o consentimento para envio de comunicações para fins de marketing.  

CNPD sem meios para fiscalizar

A Comissão Nacional de Protecção de Proteção de Dados (CNPD) emitiu um parecer escrito, datado de 2 de maio de 2018, afirmando que a referida proposta de lei padece de várias ilegalidades, tendo proposto alterações estruturantes ao documento, prevendo-se que a AR esteja a analisar o impacto deste parecer na proposta de lei. 

Por conseguinte, na presente data, não dispomos de informação sobre a data prevista para ter uma lei aprovada que concretize os aspetos deixados em aberto pelo RGPD e que terão de ser concretizados em Portugal. 

A acrescer, a proposta de lei que se destinava a reorganizar a estrutura económica e orçamental da CNPD, possibilitando o pagamento de salários e a contratação de novos recursos (são atualmente cerca de 20 pessoas) foi rejeitada pela AR há pouco mais de duas semanas. 

Há poucos dias, a Presidente da CNPD participou numa audiência na AR e reiterou que a CNPD está a ultrapassar dificuldades financeiras, não tendo possibilidade de pagar salários em junho, antevendo como difícil que o regulador possa prosseguir de forma adequada com as ações de supervisão da implementação do RGPD no dia 25 de maio de 2018 ou num futuro muito próximo (apesar de a apresentação de denúncias por titulares de dados ou outros interessados ter de ser sempre apreciada pela CNPD). 

A CNPD havia já transmitido que seria sua intenção realizar inspeções em empresas e em áreas de atividades especialmente sensíveis, com uma abordagem preventiva, solicitando ajustes dentro de um determinado período de tempo, em caso de situações de incumprimento detetadas, antes da aplicação de penalidades pecuniárias, principalmente pelos máximos das coimas previstas, que vários têm considerado desajustadas ao tecido empresarial português. 

Mediação imobiliária sem grande impacto

Neste cenário, são vários os setores de atividade que se mostram apreensivos com a implementação do RGPD. Se, em alguns casos, a preocupação se prende com o facto de a própria lei não ser clara quanto aos tratamentos que inevitavelmente têm de realizar para prosseguir as suas atidades, como poderá ser o caso do tratamento de categorias especiais de dados de saúde, por exemplo, pelas seguradoras, outros setores há em que, cumprida que fosse a legislação anterior ao RGPD em matéria de proteção de dados pessoais, as alterações não seriam assim tão substanciais. É o que acontece com o setor da mediação imobiliária. 

  • Em termos muito genéricos, o contrato de mediação é o contrato pelo qual uma parte (neste caso, o mediador imobiliário) se vincula para com a outra (por exemplo, o proprietário de um imóvel, comitente, solicitante) a, de modo independente e mediante retribuição, preparar e estabelecer uma relação de negociação entre este último e terceiros (os potencias interessados na aquisição, arrendamento do imóvel), com vista à eventual conclusão definitiva de um negócio jurídico (o contrato de compra e venda ou de arrendamento). Ou seja, há uma incumbência para este negócio, uma intermediação, a tentativa de favorecer o encontro de partes interessadas na celebração do negócio. 
  • O facto de a mediação ser feita pelos mediadores em nome e por conta dos seus clientes poderia levar à sua qualificação como subcontratantes, para efeitos da legislação aplicável em matéria de proteção de dados pessoais, o que obrigaria à celebração de um contrato escrito que vincule os mediadores aos clientes, supostamente, responsáveis pelo tratamento. No entanto, não deverá ser essa a qualificação dos mediadores. Estes são responsáveis pelos tratamentos de dados que fazem dos seus clientes e dos potenciais interessados no negócio, tendo por isso de cumprir, nos termos gerais aplicáveis a qualquer setor de atividade, as obrigações que decorrem da legislação sobre dados pessoais. 
  • Em conclusão, esta não será uma das áreas mais impactadas pela aplicação do RGPD. Ou não seria, caso se cumprissem já as obrigações que decorriam para as empresas responsáveis pelo tratamento de dados da lei específica em vigor desde o ano de 1998.