A proposta de lei de Regulamento Geral Proteção de Dados (RGPD) que foi formulada pela Presidência do Conselho de Ministros e pelo Ministério da Justiça isenta os organismos públicos do pagamento de contraordenações no caso de fugas de dados, acesso indevido ou irregularidades no tratamento de informação dos cidadãos. Esta isenção acaba por contrastar de sobremaneira com as penalizações previstas para as entidades privadas, que passam a poder ser punidas com multas de 20 milhões de euros ou 4% da faturação anual, no caso de ser detetada a pior das infrações contempladas pelo novo Regulamento. A proposta de lei não é pública, mas já começou a ser enviada a vários intervenientes do setor. A Exame Informática teve acesso às alterações previstas pelo RGPD que entram em vigor em maio.

A alteração da lei de proteção de dados decorre da transposição do texto original do RGPD que foi trabalhado ao longo dos últimos anos pela Comissão e o Parlamento europeus. Por regra, a transposição de regulamentos segue quase “à risca” o texto proveniente das instâncias europeias – exceto nos artigos e alíneas em que os próprios regulamentos dão a possibilidade de decisão final aos estados membros. E é possivelmente devido a esta margem de manobra que o Governo isenta as entidades estatais no que toca a contraordenações relacionadas com fuga de informação e tratamento de dados indevido, e num dos últimos artigos da proposta de lei se prevê uma reapreciação desta isenção de penalizações do Estado, três anos depois de a lei ter entrado em vigor.

No caso das entidades privadas, as coimas oscilam entre os 250 euros quando há uma infração leve que é levada a cabo por pessoas singulares e os 20 milhões de euros ou, como já referido, 4% da faturação anual quando há uma infração muito grave praticada por entidade coletiva. A lei também prevê alguns casos em que o tratamento de dados indevido ou o acesso não autorizado possa ser punido com penas que oscilam entre um ou dois anos de prisão – ou 120 e 240 dias de multa.

O texto elaborado pelas instâncias europeias já havia prenunciado a criação dos novos Encarregados de Proteção de Dados (DPO). Com a proposta de lei do governo para a transposição do RGPD, prevê-se que os DPO sejam nomeados pelos responsáveis máximos de cada serviço que esteja integrado pela Administração Pública Central, com um mandato de dois anos e sem remuneração acrescida, apesar de contempladas ajudas de custo inerentes ao cargo.

As entidades privadas são obrigadas a recrutar DPO sempre que haja «o tratamento de dados pessoais recolhidos para processamento, armazenamento e interação de dados, exigindo controlo regular e sistemático dos mesmos»; ou quando os repositórios de empresas ou associações, ou outros organismos não estatais envolverem dados considerados sensíveis ou que estão sujeitos a autorização da Comissão Nacional de Proteção de Dados (CNPD).

Caso a proposta de lei não seja alterada quando chegar ao Parlamento nacional, os futuros DPO terão de aprender a aliar conhecimentos da área jurídica aos conhecimentos típicos da informática. A proposta de lei prevê que os DPO não só garantam a realização de auditorias e de sistemas de monitorização de informação, como ainda devem «acautelar a existência de procedimentos de instalação de software antivírus e software antispam em todas as estações de trabalho e servidores utilizados» e «garantir a definição de uma política de salvaguarda da informação e do sistema (backup) que garanta a sua confidencialidade, integridade e disponibilidade».

A proposta de lei determina ainda que as empresas que dispõem de serviços na Internet apenas possam tratar e armazenar dados de utilizadores com mais de 13 anos de idade. O que, em termos práticos, poderá corresponder a uma interdição tácita do uso da Internet para todas as crianças e adolescentes com menos de 13 anos de idade.

A proposta de lei prevê ainda que sites, redes sociais, portais ou apps usem mecanismos que permitem confirmar as idades dos utilizadores: «Nos termos do n.º 2 do artigo 8.º do RGPD são privilegiados meios de autenticação segura que atestem com segurança a idade do utilizador, nomeadamente o Cartão de Cidadão e a Chave Móvel Digital», refere a proposta de lei.

O documento redigido pelo Governo também contempla exceções para o uso da Internet para os mais novos: «caso a criança tenha idade inferior a treze anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta».

Por fim, destaque para a videovigilância: o governo determina, através da nova proposta de lei, que as câmaras não podem captar imagens de «vias públicas ou propriedades limítrofes» e só podem ser usadas dentro de prédios se os condóminos autorizarem. No caso das vias públicas, levanta-se a questão: o que vai acontecer aos circuitos de videovigilância que têm vindo a ser instalados em várias cidades do País?