Conformidade RGPD = Obter consentimento para dispor das informações dos titulares de dados de todas a formas que as organizações entenderem ?

Após algum tempo de ausência devido ao clássico período de férias, e aproveitando também para analisar o que as entidades têm feito desde 25 de Maio de 2018, voltamos a este espaço no sentido de ajudar à clarificação desta matéria.

Infelizmente, o atraso nacional na definição da aplicação local do RGPD através da CNPD e a falha de comunicação do Estado Português relativamente a este assunto levou a que muitas das organizações nacionais (públicas e privadas) optem por implementar o RGPD da forma que lhes é mais benéfica e menos trabalhosa , nomeadamente, através de uma declaração de consentimento em que o titular de dados permite fazer tudo. E, mais grave ainda, a aceitação desse consentimento global é colocada como condição para concretizar uma admissão ou contrato.

Perante esta realidade, relembramos o que o regulamento diz através dos seguintes considerandos :

• (42) Sempre que o tratamento for realizado com base no consentimento do titular dos dados, o responsável pelo tratamento deverá poder demonstrar que o titular deu o seu consentimento à operação de tratamento dos dados. Em especial, no contexto de uma declaração escrita relativa a outra matéria, deverão existir as devidas garantias de que o titular dos dados está plenamente ciente do consentimento dado e do seu alcance. Em conformidade com a Diretiva 93/13/CEE do Conselho (1), uma declaração de consentimento, previamente formulada pelo responsável pelo tratamento, deverá ser fornecida de uma forma inteligível e de fácil acesso, numa linguagem clara e simples e sem cláusulas abusivas. Para que o consentimento seja dado com conhecimento de causa, o titular dos dados deverá conhecer, pelo menos, a identidade do responsável pelo tratamento e as finalidades a que o tratamento se destina. Não se deverá considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado.

• (43) A fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, nomeadamente quando o responsável pelo tratamento é uma autoridade pública pelo que é improvável que o consentimento tenha sido dado de livre vontade em todas as circunstâncias associadas à situação específica em causa. Presume-se que o consentimento não é dado de livre vontade se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso específico, ou se a execução de um contrato, incluindo a prestação de um serviço, depender do consentimento apesar de o consentimento não ser necessário para a mesma execução.

Não é necessário ser um especialista em regulamentos para interpretar os dois considerandos mencionados e rapidamente perceber o elevado número de Não Conformidades com o RGPD que estão a ser cometidas por um grande número de entidades públicas e privadas.  Paralelamente, continuam a ser pedidas cópias do cartão de cidadão, o que, além de ser uma matéria de discussão prévia ao RGPD sobre a qual o Estado continua a dar um mau exemplo, também constitui uma má prática ao abrigo do RGPD.

Finalmente, importa ainda mencionar que muitas destas entidades comunicam e assinam os seus documentos como tendo um Encarregado de Proteção de Dados (EPD – DPO), o que também é grave face às competências e obrigações que esta função exige.

Vamos continuar a defender a privacidade das pessoas e espera-se que a aplicação e fiscalização plena do RGPD chegue a Portugal brevemente de forma a regularizar estas situações e contribuir para a privacidade e segurança de todos nós.

A “Proteção de Dados”  tem estado a desenvolver um profundo conhecimento desta matéria e presta serviços de consultoria e implementação do RGPD à medida de cada empresa.