O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Página 1

Quinta-feira, 5 de julho de 2018 II Série-D — Número 17

XIII LEGISLATURA 3.ª SESSÃO LEGISLATIVA (2017-2018)

S U M Á R I O

Delegações da Assembleia da República:

— Relatório da participação da Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias da Assembleia da República na Reunião Interparlamentar organizada pela Comissão das Liberdades Cívicas, Justiça e Assuntos Internos (LIBE) sobre “A implementação do Pacote de Proteção de Dados, em vésperas da sua entrada em vigor”, realizada no Parlamento Europeu, Bruxelas, no dia 15 de maio de 2018.

Página 2

II SÉRIE-D — NÚMERO 17

2

DELEGAÇÕES DA ASSEMBLEIA DA REPÚBLICA

Relatório da participação da Comissão de Assuntos Constitucionais, Direitos, Liberdades e

Garantias da Assembleia da República na Reunião Interparlamentar organizada pela Comissão das

Liberdades Cívicas, Justiça e Assuntos Internos (LIBE) sobre “A implementação do Pacote de Proteção

de Dados, em vésperas da sua entrada em vigor1, realizada no Parlamento Europeu, Bruxelas, no dia 15

de maio de 2018

Composição da Delegação

A Delegação da Assembleia da República foi composta pelos Srs. Deputados Carlos Abreu Amorim (PSD)

e José Manuel Pureza (BE), em representação da Comissão de Assuntos Constitucionais, Direitos, Liberdades

e Garantias.

A assessoria foi prestado pela Representante Permanente da Assembleia da República junto da União

Europeia, Cristina Neves Correia.

Síntese: A reunião, que ocorreu dez dias antes da entrada em vigor da totalidade do pacote legislativo sobre

a proteção de dados, constituiu uma oportunidade de troca de opiniões e boas práticas entre Deputados dos

Parlamentos nacionais e do Parlamento Europeu (PE), representantes das restantes instituições da União

Europeia (UE), autoridades responsáveis pela aplicação da lei, organizações intergovernamentais, Pequenas e

Médias Empresas (PME) e especialistas em Tecnologias de Informação (TI) sobre as mudanças de

regulamentação da proteção de dados. Após um dia de debate ficou bem patente que, apesar da evolução que

representa o novo enquadramento jurídico, subsistem algumas das dificuldades de execução das novas regras,

nomeadamente quanto às consequências económicas para as Pequenas e Médias Empresas (PME), a

aplicação a certas áreas como a saúde e quanto ao facto de alguns pontos ficarem a cargo da legislação

nacional, dificultando a pretendida uniformização. Da reunião, bem como da informação posteriormente

atualizada, ficou igualmente patente o atraso na transposição interna das regras europeias, à data apenas

concluída em cerca de metade dos Estados-membros (EM).

Sessão de Abertura

A reunião teve início com uma pequena introdução do Vice-Presidente da Comissão LIBE e Relator do PE

do Regulamento de Proteção de Dados, o Deputado alemão ao Parlamento Europeu (MEP) Jan Philipp

Albrecht (Grupo dos Verdes/Aliança Livre Europeia) que, dando as boas-vindas aos participantes, em especial

aos 35 colegas de 17 Parlamentos nacionais (Pn) da União Europeia (UE) e da Noruega, salientou a importância

do tema em debate.

Recordou que os dois instrumentos legislativos do Pacote de Proteção de Dados2 (uma Diretiva e um

Regulamento) haviam sido aprovados em abril de 2016, pretendendo ser um enquadramento legal robusto para

responder aos desafios da tecnologia, promover a aplicação uniforme para indivíduos e empresas, bem como

garantir a proteção de dados pessoais e a troca de informação entre forças e serviços de segurança. Salientou,

igualmente, a importância do trabalho dos Parlamentos nacionais na implementação do pacote da proteção de

dados.

1 Programa, lista de participantes e documentação da reunião disponível em: http://www.europarl.europa.eu/committees/pt/libe/events-nationalparl.html?id=20180419MNP00301 Vídeo da reunião disponível em: http://www.europarl.europa.eu/ep-live/pt/committees/video?event=20180515-0900-COMMITTEE-LIBE (sessão da manhã) http://www.europarl.europa.eu/ep-live/pt/committees/video?event=20180515-1430-COMMITTEE-LIBE (sessão da tarde) 2 Regulamento Geral sobre a Proteção de Dados (RGPD) - Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), disponível em: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32016R0679 e; Diretiva de Cooperação Policial - Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho, disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016L0680

Página 3

5 DE JULHO DE 2018

3

Terminou a sua alocução fazendo uma breve antevisão dos quatro painéis previstos para a reunião em curso

e referindo alguns aspetos práticos da reunião, como o regime linguístico e as regras para o debate.

Sessão I: Aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD) – Aspetos

institucionais

A sessão foi presidida pelo MEP Jan Philipp Albrecht (GV/ALE) e nela participaram os seguintes oradores:

 Andrea Jelinek, Diretora da Autoridade de Proteção de Dados3 austríaca e presidente do Grupo de

Trabalho do artigo 29.º;

 Katarzyna Szymielewicwz, da Fundação Panoptykon4 e Vice-presidente da EDRi5

 Christine Hennion, Deputada ao Parlamento francês;

A primeira oradora, Andrea Jelinek, começou por referir que, tanto as empresas como as autoridades

nacionais tiveram dois anos para se preparar para a entrada em vigor do RGPD. Continuou, salientando que,

na Áustria, foi desenvolvido um plano e testado o balcão único / “one - stop shop” para avaliar o seu desempenho

com empresas reais, tendo-se verificado a diferença entre o que está na lei e o que acontece na prática.

Sublinhando a utilidade deste exercício para o futuro, a oradora mencionou, ainda, que haviam alterado estrutura

interna de funcionamento, modificado os formulários nacionais, criado um website, desenvolvido ações de

formação, com o envolvimento de todos os colaboradores jurídicos da Autoridade de Proteção de Dados e

contratado novos funcionários, com o objetivo de promover um alinhamento completo entre a legislação europeia

e a nacional, até ao dia 26 de maio.

Mencionou, ainda, a adaptação da “lista branca/ white list”, onde as autoridades de proteção de dados

nacionais podem determinar quais as empresas que podem ser excecionadas da avaliação de impacto da

proteção de dados. Mencionou que, em junho de 2017, o Parlamento austríaco havia aprovado legislação de

adaptação ao RGPD.

Fez uma breve exposição sobre as atuais e futuras tarefas da Autoridade de Proteção de Dados, destacando

a tramitação de reclamações, violações à lei, procedimentos individuais e registo de número de pessoas que

utilizam o sítio da internet. Quanto ao futuro, a Autoridade vai coordenar novas funções, nomeadamente a

cooperação com outras autoridades europeias, para execução do balcão único. No que concerne ao Grupo de

Trabalho do artigo 29.º, este emitiu diretrizes sobre portabilidade de dados, proteção, etc., especificadas no sítio

da Autoridade, em língua inglesa. Ao Grupo de Trabalho sucede o Comité Europeu para a Proteção de Dados -

European Data Protection Board (EDPB), com responsabilidades ao nível da monitorização, aconselhamento,

emissão de diretrizes, acreditação de agências de certificação e promoção da cooperação entre autoridades de

supervisão no âmbito do RGPD.

Seguiu-se uma alocução de Katarzyna Szymielewicwz, que partilhou a sua opinião sobre o RGDP, do ponto

de vista dos cidadãos, abordando, em especial, três perspetivas: a salvaguarda do controlo dos dados pelos

cidadãos; as sanções; e a e-privacidade.

No que respeita ao primeiro vetor, a oradora reconheceu francas melhorias no RGDP, face à situação

anterior, em especial quanto ao catálogo de informação que é facultado aos cidadãos pelos serviços online,

saudando a oportunidade que os cidadãos terão de saber como é que os seus dados são processados e o que

se esconde “na sombra”, bem como a faculdade de se pedir cópia dos dados para transferir para outros locais.

Apesar da nota positiva, a oradora compartilhou a sua preocupação, quanto à garantia de transparência e à

tomada de decisão sobre a partilha de dados, prevendo um aumento de ações judiciais nesta matéria.

No que concerne às decisões como o newsfeed do Facebook, sem qualquer autorização dos utilizadores,

vai ser difícil explicar a lógica aos utilizadores, o que é mais um desafio, atendendo à complexidade dos

processos informáticos. No que concerne ao artigo 29.º, expressou as suas dúvidas quanto aos aspetos

pragmáticos da portabilidade dos dados, nomeadamente quanto ao estabelecimento do limiar entre os dados

3 Sítio da Autoridade: https://www.data-protection-authority.gv.at/ 4Fundação polaca, cuja missão declarada é a de proteger direitos humanos, em particular o direito à privacidade, face à tecnologia moderna utilizada para fins de vigilância. Mais informação em: https://panoptykon.org/about-panoptykon 5European Digital Rights: https://edri.org/

Página 4

II SÉRIE-D — NÚMERO 17

4

fornecidos pelo utilizador e os inferidos pela entidade, esperando que essa faculdade não venha a diminuir os

direitos dos cidadãos/utilizadores, ao invés de os aumentar.

Quanto à questão dos processos e mecanismos sancionatórios e de indemnização, considerou que é um

avanço, na medida em que o RGPD se vai a aplicar a todos os operadores, independentemente da localização

da sua sede. Na prática, os processos vão depender da rapidez e competência das autoridades nacionais que,

para tal, necessitam de um financiamento adequado. Atenta a novidade, a celeridade judicial deverá ser um

desafio difícil de superar. Abordou, ainda, o artigo 80.º, n.º 2, do RGPD, sobre ONG defensoras de direitos, para

as quais não foram criados mecanismos de representação. Criado para evitar abusos, este dispositivo legal

acaba por ter o efeito inverso, impedindo que casos similares possam ser levados a tribunal por uma ONG do

setor.

No que concerne à e-privacidade, atendendo ao lobby contra o Regulamento, defendeu que talvez fosse

sensato aguardar pelo menos um ano após a entrada em vigor do RGDP, sob pena de nos confrontar-mos com

lacunas.

A oradora seguinte, Christine Hennion, Deputada da Assembleia nacional francesa, começou por referir

que o RGPD, com uma abrangência mundial, é uma necessidade no século XXI para a soberania eletrónica,

sendo fundamental para restaurar a confiança dos utilizadores no que concerne à proteção dos seus dados.

Continuou, mencionando que, em França, a legislação para execução do RGPD havia sido aprovada no dia

anterior.

Explicou que o texto utiliza ao mínimo a margem de manobra nacional para permitir uma legislação

harmoniosa europeia. Desde 1978 que a França tem uma entidade para proteção de dados pessoais, a CNIL6,

que deverá, agora, acrescentar ao seu papel nacional, uma colaboração com outros atores, dentro e fora da

Europa.

Continuou, referindo-se aos dois pontos de divergência de aplicação do RGPD. Por um lado, o facto de os

EM terem uma margem de manobra nacional, aplicável aos residentes do seu país ou aos responsáveis de

tratamento de dados. Alguns países, como a França, optaram pelo critério dos residentes, enquanto outros

escolheram o do responsável do tratamento de dados. Neste contexto, a oradora colocou a questão de saber o

que acontecerá, quando um responsável pelo tratamento de um país da União com a opção pelo responsável

de tratamento, recolher e tratar dados de um residente francês, ou seja, de um país com a opção do critério do

residente.

O segundo ponto de divergência prende-se com a escolha dos 13 ou 16 anos como idade mínima para os

menores poderem aceder a um serviço sem a autorização dos seus pais. A diversidade de escolha entre EM

pode tornar complicada a aplicação destas regras.

Por parte dos organismos, o RGPD permite uma inversão do tipo de controlo, com um sistema de autorização

prévia e um regime para empresas administrativas. Os grandes atores digitais compreenderam o novo

enquadramento de processamento de dados, mas as pequenas empresas receiam o seu âmbito de aplicação.

A lei francesa quer adaptar a aplicação para assegurar essas preocupações, nomeadamente medidas de

correção. Foram ainda levadas a cabo ações de informação e criados delegados que farão relatórios de

acompanhamento. Terminou, alegando que o RGDP, se bem aplicado, é um instrumento muito importante para

o restabelecimento da confiança.

Seguiu-se uma fase de debate, durante a qual foram partilhadas diversas preocupações de aplicação do

RGDP, aqui se destacando as seguintes intervenções:

Veiko Spolitis, Deputado da Letónia, pretendeu saber quais os custos de adaptação em que a Áustria

incorrera, tendo a oradora Andrea Jelinek explicado que todo plano havia sido executado com recursos

internos, não tendo havido lugar a custos adicionais.

Franc Trcek, da Eslovénia, focou a necessidade de uma maior educação e literacia informática dos cidadãos

e indagou sobre a necessidade de existência de legislação similar para os algoritmos e a robótica.

O MEP Juan Fernando López Aguillar (S&D) referiu-se ao pacote da proteção de dados como uma

conquista e um passo em frente, numa abordagem proactiva e não passiva-reativa.Demonstrou a sua

preocupação quanto à preparação dos EM para a transição do artigo 29.º para o Conselho de Proteção de

Dados e instou os colegas dos Parlamentos nacionais a acelerar as medidas de implementação, bem como a

6Commission nationale de l'informatique et des libertés: https://www.cnil.fr/

Página 5

5 DE JULHO DE 2018

5

complementar a legislação europeia, nomeadamente com a proteção da privacidade eletrónica no mercado

digital único.

Pawel Pudlowski, do Sejm polaco, partilhou as suas preocupações quanto ao entendimento e aplicação

tardia do RGPD por parte das PME, sublinhando ser essencial evitar possíveis trapalhadas jurídicas,

preconizando um balanço entre a proteção dos cidadãos e o valor dos dados e as dificuldades colocadas ao

mundo empresarial, devendo este ser ajudado a aplicar as regras de forma correta. Referiu, ainda, que na

Polónia, tal como em outros EM, a implementação jurídica da regulamentação estaria, ainda, atrasada.

Panagiota Kozoboli-Amanatidi, do Parlamento helénico, mencionou a rapidez da evolução tecnológica,

razão pela qual se tem de atualizar permanentemente a legislação. Partilhou a experiência da Grécia, onde se

planeiam seminários de atualização para juízes para facilitar a aplicação da regulamentação da proteção de

dados.

Quanto ao MEP Augustin Días de Mera (PPE) abordou a necessidade de ajustes no tratamento de dados

no âmbito penal e policial, nomeadamente para a agência Frontex, a Europol, o Eurojust, etc e lamentou a

ausência, na reunião, do Diretor da Autoridade Europeia da Proteção de Dados, Giovanni Butarelli.

Artemi Rallo Lombarte, do Congresso dos Deputados espanhol, referiu que o Regulamento tem uma

estratégia proactiva como grande novidade, o que pode promover a eficácia de resultados. Reiterou as

preocupações da colega francesa, quanto à aplicação da norma aos menores entre os 13 e os 16 anos. Esta

questão foi igualmente abordada pelo seu colega espanhol Martín Toledano e por Giles Foret, da Câmara dos

Representantes belga.

A MEP Birgit Sippel (S&D) recordou que já há dois anos se devia estar a preparar a transição e

harmonização, ficando a impressão que só agora é que os operadores se deram conta dessa necessidade.

Indagou ainda como deveria funcionar a proteção de dados em relação à utilização de fotografias. Partilhou o

facto de, em 24 autoridades de proteção de dados, apenas 17 se terem declarado preparadas para executar as

suas tarefas de proteção de dados, o que é preocupante.

Saskia Esken, do Bundestag, referiu ser normal que a implementação das novas regras origine algumas

expectativas e preocupações nas empresas.

A MEP Ana Gomes (S&D)referiu-se às posições dominantes das grandes plataformas e à necessidade de

as mesmas serem taxadas. Defendeu que os parlamentares devem assumir a sua responsabilidade enquanto

legisladores no âmbito da fiscalidade digital. Mencionando a abrangência global do RGPD, indagou como reagir

a empresas - dando como exemplo a Alibaba - que, de acordo com outras legislações, como a chinesa, têm de

guardar os dados nesses Estados, sem que se saiba qual a sua utilização. Concordou com a necessidade de

formação para magistrados e indagou como enfrentar situações em que os próprios Estados sejam responsáveis

por uma incorreta utilização dos dados pessoais.

A MEP Helga Stevens (Grupo dos Conservadores e Reformistas Europeus) pretendeu saber como garantir

uma aplicação unificada, com tantos EM, salientando a necessidade de interpretações únicas, um papel forte

do supervisor europeu, uma troca de boas práticas e a intervenção da Comissão para estimular uma aplicação

uniforme das regras. Expressou, ainda, a sua preocupação com as PME e organizações não lucrativas, que

dependem de voluntários e com dificuldade em aceder a formação e aconselhamento jurídico. Sublinhou, ainda,

a possibilidade dos gigantes informáticos, como o Facebook, fugirem às regras, utilizando subterfúgios.

A Senadora espanhola María Rosa Vindel referiu a mudança de paradigma carreada pelo RGPD, partilhando

que a execução nacional estava pendente no Parlamento espanhol e agradeceu aos colegas sugestões que

pudessem ser úteis para o processo legislativo interno.

A MEP Sophia in 't Veld (ALDE), referindo-se às preocupações das empresas na implementação do RGDP,

recordou que, desde 1995, existe legislação de proteção de dados e acrescentou que, muito provavelmente,

esta não está a ser aplicada, o que é muito mais preocupante do que a implementação do novo RGPD.

Lukasz Mikolajczyk, do Sejm polaco,referiu a necessidade de dedicar muita atenção ao processamento

dos dados, o que deve ser facilmente compreensível e legível, sobretudo quando falamos de crianças. Partilhou,

ainda que o Ministério da Educação polaco estava a trabalhar nesta matéria e a fazer formação na área

informática e do comportamento, numa atividade concertada, entre pais, professores e alunos.

A MEP Monika Hohlmeier (PPE) reiterou a opinião de outros intervenientes quanto à necessidade de uma

aplicação homogénea do RGPD, tarefa difícil, atendendo a que, só na Alemanha, existem 16 autoridades de

proteção de dados (uma por Estado federado). Expressou, igualmente, a sua preocupação quanto às PME, que

Página 6

II SÉRIE-D — NÚMERO 17

6

não podem contratar advogados. Algumas acabaram por desligar as páginas online, com medo de estarem a

fazer algo de errado.

Sessão II:Aplicação do Regulamento Geral sobre a Proteção de Dados – Incidência sobre o setor

privado, incluindo as PME

Tal como as anteriores, também esta sessão continuou a ser presidida pelo Vice- Presidente da Comissão,

Jan Philipp Albrecht (GV/ALE) e nela participaram os seguintes oradores:

 Judicaël Phan, Conselheiro-geral adjunto – Responsável pela proteção de dados a nível global,

Ubisoft7;

 Luc Hendrickx, Diretor de política empresarial e relações externas, UEAPME - Union Européenne de

l'Artisanat et des Petites et Moyennes Entreprises8

 Pascale Gelly, Responsável pela proteção de dados ao nível do grupo Finanças, Controlo, Assuntos

Jurídicos, Schneider Electric9.

Judicaël Phan, da Ubisoft, deu início à sua alocução, explicando que a sua empresa produz muitos jogos

para consolas, computadores, etc, com milhares de jogadores. Neste contexto, defendeu que o RGPD constitui

uma oportunidade a empresa reforçar a confiança e melhorar a cartografia dos dados. Explicou que tinham uma

equipa de implementação, que tinha criado instrumentos de transparência e de controlo. Quanto às expetativas

da empresa face à nova regulamentação, salientou os novos desenvolvimentos tecnológicos; o nível de proteção

dos consumidores; os baixos custos burocráticos e administrativos para as PME; as regras amigas dos

utilizadores e percetíveis, com campanhas de informação, em conjunto com as organizações empresariais.

Terminou, saudando a melhoria da proteção de dados através da nova legislação.

Luc Hendrickx começou por recordar que mais de 90% das empresas são PME, pelo que agradece a

oportunidade de participar no debate. Explicou que a sua organização agrega diversas associações

empresariais, representando 12 milhões de empresas, com cerca de 55 milhões de empregados. Continuou,

mencionando que os empresários se preocupam com a privacidade dos seus clientes e que concordam com a

existência de regras uniformes, embora o texto seja mais adequado para entidades de maior dimensão, razão

pela qual era apelidada, na gíria, de legisgoogle. Referiu, ainda, o investimento em campanhas de informação

para as PME, em termos nacionais e sectoriais, o que resultou num grau de compreensão razoável sobre o

conteúdo da legislação, mas não resolve a questão dos custos inerentes à sua implementação, nomeadamente

com a contratação de Recursos Humanos qualificados.

A organização coopera com os responsáveis da proteção de dados, tentando minorar a incerteza, a

fragmentação e as dificuldades de implementação. A este propósito, fez uma breve exposição sobre os

obstáculos a transpor por uma PME que pretenda aplicar corretamente o RGPD. Antes de mais, é necessário

ler 88 páginas do Jornal Oficial da UE (JOUE); acrescem as 9 diretrizes do artigo 29.º, com mais de 200 páginas,

sendo as versões mais recentes apenas em inglês. Referiu, ainda, a “duplicidade” de interpretação do artigo

35.º, que isenta a aplicação de certas obrigações a empresas com menos de 350 pessoas ou de processamento

eventual ou ocasional e explicou que, tendo sido pedida a interpretação deste artigo, resultou que, na medida

em que, muitas PME processam dados em permanência, a isenção é vazia de conteúdo. No que concerne à

falta de informação segura deu, como exemplo, o website da autoridade de proteção de dados belga, onde se

explica porque não podem responder a todas as questões: porque o trabalho não está terminado e as resposta

ainda não são todas conhecidas, situação bem demonstrativa da incerteza reinante na aplicação do RGPD.

Partilhou, ainda, que a Associação havia solicitado um período de graça de um ano à Comissária Jourová,

isentando as PME do pagamento de multas. Em muitos EM as associações locais dirigiram idênticos pedidos

às suas autoridades. Terminou a sua intervenção, apelando aos presentes que apoiem este período de graça

de um ano.

7 https://www.ubisoft.com/en-gb/franchise/far-cry/ 8 https://ueapme.com/spip.php?rubrique1 9 https://www.schneider-electric.com/ww/en/

Página 7

5 DE JULHO DE 2018

7

Pascale Gelly partilhou com a audiência a experiência da sua empresa (Schneider Eletric) na adaptação ao

RGPD. O processo teve início com um trabalho conjunto de uma equipa central formada por elementos dos

departamentos jurídico e informático, que determinou os procedimentos a aplicar. De momento, existe um comité

diretor, que faz relatórios de progresso, nos vários EM onde a empresa opera. Em cada Estado existe, ainda, o

encarregado de proteção de dados. Globalmente, a empresa tem cerca de 300 pessoas a trabalhar no programa

de cumprimento das instruções sobre proteção de dados. O projeto implica várias vertentes, desde a nomeação

de uma pessoa responsável voluntária e acessível em todas as equipas dos EM, passando pelo funcionamento

do comité da privacidade, composto por representantes da organização, que dá orientações políticas e

declarações para os utentes. A Schneider informou a totalidade dos seus funcionários, tendo elaborado

instruções e “Perguntas Frequentes/FAQ’s” sobre a aplicação do RGPD. Foi igualmente elaborado um manual

de aplicação do Regulamento, explicando como se faz o registo, como fazer um contrato, etc. Existe, igualmente,

um controlador do registo, tendo este sido melhorado e completado e é pedido aos representantes nos EM que

estimem se é necessário uma avaliação de impacto.

Apesar do progresso, a oradora reconheceu que existem aspetos que ainda não estão a funcionar. A este

propósito, referiu o modelo único para facilitar as empresas no mercado interno, que não é uma realidade, na

medida em que se tratam de “regras em camada”. Mencionou, ainda, a diferença das idades mínimas dos

menores e o âmbito territorial da aplicação, o que dificulta o cumprimento das regras. Aludiu à interpretação do

artigo 29.º, que gera diferenças de aplicação de país para país. Neste contexto, solicitou a ajuda dos políticos

presentes, referindo que necessitava de uma política - e não de vinte e oito - para implementar no sistema TI da

sua empresa.

Terminadas as intervenções, seguiu-se uma fase de debate, aqui se destacando as seguintes intervenções:

Panagiota Kozoboli-Amanatidi, do Parlamento helénico, referiu o desconhecimento das empresas gregas

quanto ao conteúdo e consequências do RGPD (1 em 4 empresas não conhece e 17% só cumpre em parte).

Aludindo ao tecido empresarial, maioritariamente composto por PME e ao contexto económico, em fase de saída

de uma crise muito dura, reconheceu a dificuldade de consciencialização das vantagens do RGPD, o que, na

Grécia, vai ser feito com campanhas de sensibilização, em cooperação com as autoridades regionais e um

balcão de apoio.

Artemi Rallo Lombarte, do Congresso dos Deputados espanhol, partilhou a sua surpresa face ao espanto

com as novas regras, quando há 23 anos que existem regras de proteção de dados. Sublinhou que não há um

direito novo para os cidadãos e que a carga burocrática não deve ser exagerada, sendo a única verdadeira

novidade o facto de existirem sanções. Aludindo à pedagogia da sanção, discordou da concessão de um

“período de graça”. Referiu, ainda, que autoridade de dados espanhola tem um mecanismo chamado “facilitar”,

destinado às PME.

A MEP Anna Maria Corazza Bildt (PPE)lamentou que, tendo os legisladores tentado produzir algo de

transparente, de momento, o resultado seja que ninguém saiba o que fazer, constituindo a nova regulamentação

uma mina para os consultores. Referiu que são as pequenas empresas as mais problemáticas, tendo uma

empresa sueca despendido cinco milhões na adaptação. Esta preocupação foi partilhada por Lukasz

Zbonikowski, do Sejm polaco, que referiu que nenhuma PME conseguirá entender o RGPD sem a ajuda de um

advogado. Aproveitou ainda a sua intervenção, para sublinhar que, em certos casos, a proteção de dados estava

a conduzir a situações ridículas, como na escola dos seus filhos, onde as crianças passaram a ser chamadas

por números em vez de nomes.

O MEP Juan Fernando López Aguillar (S&D) reforçou a ideia de que, apesar das dificuldades de aplicação

e do pagamento das coimas, se deve insistir na implementação, na medida em que se trata da proteção de

direitos fundamentais e, por isso, não negociáveis. Preconizou o investimento em campanhas para as PME.

Claudette Buttigieg, do Parlamento maltês, referiu que algumas PME têm medo que o RGPD seja

manipulado e sublinhou que o processo tem de ser simplificado para as PME, que são a maioria das empresas

maltesas.

O Deputado belga Gilles Foret defendeu uma aplicação do RGPD que permita um balanço entre autoridades

e sociedade, devendo as ferramentas de aplicação estar à disposição de todas as empresas.

A MEP Helga Stevens (GCRE) aludiu à necessidade de ajudar os empresários a compreender as

implicações do RGPD.

Página 8

II SÉRIE-D — NÚMERO 17

8

Christine Hennion, da Assembleia Nacional francesa, considerou provocatório apelidar o RGDP de um texto

google e defendeu que, mais importante do que a dimensão das empresas, é o nível de risco que estas

representam. A este propósito, referiu as start ups, com pouca gente, que podem ter um risco maior do que

outras. Tal como anteriores oradores, salientou ainda o caminho a percorrer com as empresas mais pequenas,

em termos de comunicação e clarificação.

Sessão III – O RGPD e a inovação tecnológica

A sessão foi moderada pelo Presidente da Comissão LIBE, Claude Moraes, tendo nela participado os

seguintes oradores:

 Eric Léandri, Presidente e cofundador do motor de busca QWANT10

 Ninja Marnau, especialista em desenvolvimento de TI da Universidade de Saarland;

 Paul Breitbarth, Diretor da Nymity11

Eric Léandri começou por explicar que o motor de busca QWANT tem mais de 60 milhões de utilizadores.

Trata-se de um motor de busca independente, com algoritmos próprios, de forma a difundir uma independência

digital. Continuou, aludindo ao facto de 45% das buscas serem feitas por um único motor, obtendo-se um único

tipo de respostas, o que acaba por guiar os resultados conseguidos. Referiu, ainda, que é difícil trabalhar sem

dispor de dados próprios e acrescentou que, para que o motor desenvolva todo o seu potencial, tem de se

pensar no quadro dos valores europeus, nomeadamente os direitos do Homem, o que é um grande trunfo para

a Europa. De acordo com o orador, a inteligência artificial não necessita de passar pelos dados pessoais, que

podem sempre ser escondidos, exemplificando com o caso da saúde, onde se pode sempre omitir a identidade

e utilizar apenas os dados de saúde. Recordando que a Europa não é apenas um negócio, Léandri referiu que,

da parte do QWANT, a inteligência artificial é desenvolvida em pleno respeito pelo RGDP. A recolha de dados,

sobretudo sem autorização do consumidor, não é necessária, tanto mais que 90% do volume de negócios de

um motor de busca resulta do simples “click”, independentemente do tipo de utilizador, não sendo necessários

os dados pessoais para se ganhar dinheiro.

Ninja Marnau partilhou com a audiência a sua experiência enquanto especialista em segurança de

informação, abordando, em especial, a área da investigação em saúde. Referiu a importância da inovação

técnica e defendeu que o RGPD se concentra numa abordagem centrada no risco sobre a forma como os dados

são processados. Na sua opinião há algumas necessidades essenciais que requerem medidas de alto nível

(artigos 32.º e 35.º) e que exigem ao controlador que tenha em conta o estado da arte antes de decidir as

medidas concretas a aplicar. O processamento de dados de forma anónima, no âmbito da investigação, é

permitida (artigos 11.º e 26.º). Explicou que as técnicas de anonimização são muito interessantes e que, com o

avanço da ciência, permitem a privacidade e o anonimato que, cada vez mais, despertam o interesse de

investigadores e empresas (embora as PME estejam a ficar para trás nesta matéria). Mencionou, ainda, que o

RGPD influencia todas as áreas como a saúde e o governo de informação. No entanto, o funcionamento destas

áreas pode chocar com algumas previsões do RGPD, como o direito ao esquecimento. A comunidade científica

encontra-se a trabalhar para introduzir requisitos na tecnologia que permitam o cumprimento do RGPD, como a

ocultação de informação em blocos. Os desafios são transversais e exigem esforços interdisciplinares para

enfrentar os riscos de forma harmonizada ao nível europeu. Neste contexto, pediu diretrizes uniformizadas e

melhores práticas para apoiar processadores e controladores, uma vez que não existe uma definição científica

para o “estado da arte”, cuja definição não pode ficar a cargo dos tribunais. Referiu ainda a falta normas de

segurança. Alertou, também, quanto ao excesso de severidade da legislação de alguns EM contra a utilização

abusiva dos dados de investigação (p.ex. proibição de interligação de dados referentes à saúde), o que pode,

em última análise, constituir um fator de bloqueio do progresso na investigação.

Paul Breitbarth, Diretor da Nymit, iniciou a sua alocução, mencionando que, desde 2011, se encontra

envolvido na discussão sobre software cumpridor dos critérios de proteção de dados. Continuou, afirmando que

defender o RGPD é mais fácil em teoria do que na prática, tendo em atenção o elevado número de

10 https://www.qwant.com/?l=en 11 https://www.nymity.com/

Página 9

5 DE JULHO DE 2018

9

procedimentos necessários para a sua implementação. Aludiu, ainda, à importância do RGPD no

desenvolvimento de software para aplicação das diretrizes, obrigando as empresas da área a desenvolver novas

soluções, estando o departamento de investigação a acompanhar o desenvolvimento das regras, para saber o

que se pode ou não fazer. O departamento orienta ainda os colegas, sem necessidade de programas de

formação formais. Foram ainda desenvolvidas tecnologias, como a avaliação de impacto. A base de clientes da

Nymit é constituída por organizações que querem, de forma responsável, garantir a privacidade dos dados.

Terminou, recordando que, embora as ferramentas informáticas especiais sejam importantes para o

cumprimento do RGPD, nem sempre são essenciais, bastando, por vezes, uma abordagem correta ao

tratamento de dados pessoais.

Seguiu-se uma fase de debate, na qual foram abordadas várias questões, como a necessidade de meios

para cumprimento da legislação. Foi o caso de Veiko Spolitis, do Parlamento da Letónia, que refletiu sobre se

o investimento deveria ser em engenheiros ou em mais leis; Franc Trcek, do Parlamento esloveno, sublinhou

a necessidade de se tentar perceber a internet das coisas, sem necessidade de acesso a mais dados pessoais;

Artemi Ralle Lombarte, do Congresso espanhol, pretendeu saber mais sobre a legislação alemã referente às

investigações biomédicas; Frantisek Kopriva, da República Checa, salientou as dificuldades concernentes à

entrada em vigor da nova legislação, sendo essencial que haja uma garantia de transparência e respeito pela

vida privada; Martín Toledano, do Congresso espanhol, sublinhou que as empresas que têm acesso aos dados

têm poder, utilizando-os para fins comerciais. Aludiu, ainda, aos dados médicos, referindo a sua preocupação

quanto à garantia do anonimato. Também a Senadora espanhola Maria Rosa Vindel mencionou a investigação

biomédica que, em Espanha, se encontra regulada por uma lei de 2007, defendendo que não era uma boa altura

para a mesma ser alterada, antes de a legislação do RGPD estar integralmente em vigor.

Cumpre referir que esta fase de debate ocorreu em duas partes, tendo sido intercalada pela intervenção do

Presidente Tajani, que participou brevemente na reunião. Apesar de não prevista, a participação do Presidente

do PE teve como objetivo sublinhar a importância do pacote legislativo da proteção de dados para o PE. Na

opinião do Presidente Tajani este pacote legislativo é uma grande inovação e vai criar um enquadramento

jurídico robusto para os cidadãos. Referiu, ainda, que a solução encontrada pelos co negociadores, volvidos

quatro anos, resultou num equilíbrio correto entre inovação e direitos individuais. Defendeu que o novo

enquadramento traria a segurança jurídica, absolutamente necessária, como se viu no caso do Facebook. A

este propósito, aludiu ao agendamento de uma audição com Mark Zuckerberg, pretendendo o PE perceber qual

o papel do Facebook em situações como as eleições americanas e o Brexit. Salientou a necessidade de se

responsabilizar quem publica fake news e aludiu à necessidade de se encontrar o binómio liberdade/

responsabilidade. Neste contexto, sublinhou a importância do papel da Comissão LIBE, bem como da

cooperação com os Parlamentos nacionais.

Sessão IV – Aplicação da Diretiva relativa à Proteção de Dados destinados às Autoridades Policiais12

A sessão foi presidida pelo Presidente da Comissão, MEP Claude Moraes (S&D) e nela participaram os

seguintes oradores:

 Christian Wiese Svanberg, responsável pela privacidade e Chefe da Unidade de Proteção de Dados

da Polícia dinamarquesa;

 Olivier Micol, Chefe da Unidade de Proteção de dados, DG JUST, Comissão Europeia;

 Maja Smoltczyk, Comissária de Berlim para a Proteção de dados e a Liberdade de informação

Christian Wiese Svanberg começou por referir que a Diretiva era essencial para a Dinamarca manter a

ligação com a Europol. As regras são aplicadas e a sua aplicação verificada na Dinamarca. A informação é

tratada de forma confidencial, protegendo a identidade dos indivíduos e sendo usada apenas para investigação

policial. Continuou a sua alocução, referindo-se à dificuldade quanto à obrigação de informação, pois pode ser

12 Diretiva de Cooperação Policial – Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho, disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016L0680

Página 10

II SÉRIE-D — NÚMERO 17

10

complicado, nomeadamente quanto ao momento de informar alguém que está a ser investigado. Referiu-se,

ainda aos big data, inspirados na experiência da Europol e salientou os efeitos positivos da nova legislação, na

medida em que tem de se saber exatamente porque é que os dados têm de ser transferidos e processados, o

que torna as situações mais fáceis e claras para as autoridades.

Olivier Micol salientou três elementos em relação à Diretiva, a saber: 1. esta Diretiva substitui a Decisão-

quadro de 2008, sendo uma “lisbonização” das regras, saindo do terceiro pilar. Torna a troca de informação mais

elástica entre os Estados-membros, sendo a principal mudança o facto de abranger o nível interno e

transfronteiriço e tendo uma parte importante, que é o acesso direto dos cidadãos aos seus dados; 2. há um

novo princípio, de proteção de dados automática e de raiz, com proteção de dados e avaliação de impacto e

obrigação de nomear um responsável pelas autoridades competentes e de manter registos, o que é muito

importante para algumas autoridades; 3. quanto à transferência internacional, preferencialmente ocorre a pedido

das autoridades, embora seja também possível entre privados, em situações específicas.

Salientou as principais diferenças entre a Diretiva e o RGPD, focando, entre outros pontos, a ausência do

princípio da transparência, embora haja um princípio do processamento justo; o facto de os dados não deverem

ser excessivos; e a obrigação de supressão periódica dos dados. Referiu, ainda, que só cerca de metade dos

EM estaria em condições de aplicar a totalidade do pacote legislativo na data prevista, estando muitos processos

pendentes nos Parlamentos nacionais.

Maja Smoltczyk, iniciou a sua alocução, referindo que apenas poderia partilhar a sua experiência, referente

a Berlim, embora noutros Estados federados houvesse experiências semelhantes. Explicou que as novas regras

constituíam um desafio para as forças policiais, bem como para as autoridades de proteção de dados alemãs,

que estão longe de dispor de todos os meios de aplicação necessários da nova legislação, apesar de contarem

com a participação de colaboradores que investiram em formação sobre a legislação europeia e de poderem

partilhar experiências com colegas dos outros EM. Referiu a absoluta necessidade de se respeitarem os direitos

dos cidadãos, preconizando um acompanhamento crítico da situação da parte das autoridades europeias.

Seguiu-se uma fase de debate, durante a qual foram elencadas diversas vertentes da aplicação da Diretiva,

tais como o equilíbrio entre a proteção de dados e a privacidade e o trabalho de investigação contra crimes que

não conhecem fronteiras (Panagiota Kozoboli-Amanatidi, do Parlamento helénico e Marco Ferluga, do

Parlamento esloveno). Foi ainda mencionada a questão do tempo de armazenamento dos dados (Kestutis

Masiulis, do Parlamento da Letónia). Konstantin Kuhle, do Bundestag, defendeu uma estratégia de

comunicação para informar a opinião pública.

O MEP Michał Boni(PPE) referiu, ainda, que o debate em curso salientou os problemas e oportunidades

quanto ao pacote de proteção de dados, especialmente preocupante nos EM com fraquezas institucionais. No

que concerne à “Diretiva polícia” expressou a sua preocupação pelo facto de se tratar da vida dos cidadãos, que

desconhecem como e se os seus dados serão protegidos, sendo a intervenção judicial muito variada nos

diversos EM. Quanto ao MEP Lopez Aguillar sublinhou que a designação “Diretiva polícia” fica aquém do

objetivo da Diretiva e a MEP Helga Stevens salientou que, apesar de não ser esse o escopo, a aplicação da

Diretiva poder vir a diminuir os direitos do setor privado.

Sessão de Encerramento

Esta sessão foi presidida pelo MEP Claude Moraes e nela participou, como orador, o Deputado do

Congresso espanhol Artemi Rallo Lombarte.

Rallo Lombarte recordou que, a 25 de maio, teria início uma nova etapa na proteção de dados, como

resposta a um contexto de emergência de novas tecnologias, falta de harmonização das várias legislações e

aplicação abusiva das normas de proteção de dados. Considerou que a nova legislação constitui um salto

qualitativo de superação das debilidades jurídicas, desenvolvendo a carta dos direitos e os instrumentos jurídicos

e defendeu a extraordinária ambição do Regulamento, com uma nova estratégia, propondo normas de avaliação

de impacto, autoridades de proteção de dados e uma estratégia repressiva com um quadro sancionador comum.

Referiu-se, igualmente, às preocupações ainda existentes quanto à aplicação do Regulamento, que se

prendem com as leis de adaptação nacionais, com as assimetrias que continuarão a existir, nomeadamente

quanto à idade mínima dos menores para acesso aos serviços online. Alegou, ainda, a necessidade de se

Página 11

5 DE JULHO DE 2018

11

garantir uma efetiva aplicação das regras, nomeadamente através da aplicação de sanções, bem como de

clarificação da aplicação em determinados setores, como a investigação e a medicina.

Considerou que, em geral, há motivos de satisfação, porque a Europa continuará a ser referência numa área

fundamental, traduzindo-se a nova legislação em realidades concretas, como obrigar empresas norte-

americanas e outras a aplicar as normas europeias ou muito similares, provocando, assim, a universalização

deste quadro normativo.

Claude Moraes agradeceu a participação de todos os presentes e, referindo que o trabalho de proteção de

dados continuaria, deu a reunião por encerrada.

Assembleia da República, 27 de junho de 2018.

Os Deputados da Assembleia da República: Carlos Abreu Amorim — José Manuel Pureza.

A DIVISÃO DE REDAÇÃO.

Descarregar páginas

Página Inicial Inválida
Página Final Inválida

×