A desadequação da Diretiva exacerbada pelas transformações societárias e tecnológicas verificadas nos últimos anos advém, no entendimento dos especialistas do Rand Report, não na prescrição dos princípios per se, mas na falta de uma adequada previsão da necessidade de verificação de determinados mecanismos e da sua proporcionalidade – e, sobretudo, na ausência de uma abordagem baseada no risco. Como se pode ler no relatório acima referido: “De um modo geral, essas fraquezas [da Diretiva] parecem ser indicativas de um quadro regulatório que se concentra não só nos princípios da proteção de dados (como a legitimidade, a transparência, a restrição de utilização para certos fins, etc.) e nos resultados procurados, mas também nos processos e mecanismos utilizados para implementar esses princípios (obter o consentimento da pessoa em causa, redação de políticas, apresentação de notificações, etc.), sem considerar adequadamente se o resultado desejado é promovido por esses processos e mecanismos ou se esses requisitos resultam num resultado proporcional ao encargo que representam.”42
Os especialistas do Rand Report concluem que tal configuração da proteção de dados “corre o risco de criar uma cultura organizacional que se concentra em cumprir formalidades para criar conformidade que apenas funciona no papel (através de caixas de seleção, políticas, notificações, contratos, (...), em vez de promover melhores práticas de proteção eficazes”43.
Reitere-se que é necessária uma maior proteção de dados na prática, com efeitos reais na efetiva e material proteção do cidadão. Para atingir esse objetivo e face à inevitabilidade de vários dos riscos dos tratamentos de dados, é necessário um certo pragmatismo regulatório, que poderá ser atingido através de uma abordagem baseada no risco, como já é feito em muitos campos do direito44.
42 Ibidem.
43 Ibidem.
44 Por exemplo, na regulação de questões ambientais. Diga-se também, que a gestão e avaliação de riscos são um
Esta abordagem baseada no risco é instrumental para a criação de uma cultura de proteção de dados pessoais adequada em face dos riscos que apresenta, e não apenas estruturas formalistas de conformidade sem real compromisso.
Ora, como diz Peter Hustinx:
“É essencial que as disposições gerais nas atuais e futuras molduras sejam inerentemente escalonáveis. Especificações inapropriadas podem exigir exceções inapropriadas. Esta busca pelo equilíbrio certo está agora a ter lugar sob o termo "abordagem baseada no risco”45.
Esta abordagem baseada no risco obriga a um escalonamento dos riscos apresentados por cada operação de tratamento, baseada no risco casuisticamente definido destas; por exemplo, se estamos perante dados que integram as categorias especiais de dados.
Sendo que estes riscos terão de ser necessariamente considerados e avaliados pelas entidades envolvidas no tratamento, cimenta-se uma material cultura de proteção de dados numa dada organização, na medida em que decisões conscientes e pensadas têm de ser tomadas quanto à alocação de recursos para as áreas mais sensíveis dos tratamentos de dados pessoais por uma dada entidade. Ora, para que uma decisão quanto à distribuição de recursos possa ser tomada, é necessário um completo e abrangente diagnóstico das áreas e categorias de dados que mais carecem de proteção face aos riscos evidenciados. Promove-se, dessa forma, um autoconhecimento das empresas e organizações em matéria de proteção de dados, por oposição ao genérico e mecânico satisfazer dos requisitos burocráticos que se encontravam prescritos aquando da vigência da Diretiva.
O Regulamento adota esta abordagem à proteção de dados com base no risco de forma clara em várias normas. Um exemplo disso, entre outros46, é a prescrição da necessidade de fazer avaliações de impacto quando “um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares” (art. 35º, n.º 1).
Apesar disto, importa tomar em consideração que o risco é inerente a cada operação de tratamento, e que os direitos dos cidadãos deverão ser respeitados independentemente de
45 HUSTINX - cit. 14, p. 151
46 Como a proteção de dados desde a conceção, a segurança dos dados pessoais que se integrem nas categorias
qualquer consideração relativamente ao risco47. Exemplificativo desta postura, é o Regulamento ser bastante prescritivo em operações que não estão intrinsecamente ligadas a um risco específico. Veja-se, por exemplo, quando o Regulamento prescreve que “o responsável pelo tratamento deverá ser obrigado a responder aos pedidos do titular dos dados sem demora injustificada e o mais tardar no prazo de um mês e expor as suas razões quando tiver intenção de recusar o pedido”(Considerando 59).
Como se disse, o instituir de uma abordagem à proteção de dados baseada no risco deve-se, primariamente, a razões de eficiência, devido à possibilidade de prioritizar – na teoria – o investimento de recursos escassos (seja económicos ou humanos) na real e efetiva proteção dos cidadãos e consequente cumprimento das obrigações legais existentes nesta matéria.
Outra forma em que a abordagem e gestão de risco está presente no Regulamento está consubstanciada na eliminação, por motivos de eficiência e de respeito por uma ideia de proporcionalidade e diminuição de encargos administrativos desnecessários, dos mecanismos ex ante em que se traduziam os poderes de supervisão das autoridades de controlo48. Por exemplo, a necessidade de notificação prévia às autoridades de controlo das operações de tratamento deixa de existir49, passando o poder de supervisão das autoridades de controlo a ser exercido a posteriori, através de um princípio que está estritamente conexo à gestão de risco: o princípio da responsabilidade (“accountability”).
Não só as entidades que processam dados pessoais estão adstritas à abordagem á proteção de dados baseada em programas de gestão de risco: também os escassos recursos quanto ao poder de supervisão das autoridades de controlo deverão ser feitos nesta base, atuando com um plano estratégico.
Esta abordagem não está isenta de riscos (passe a aparente redundância conceptual): o facto de não existir uma taxinomia abrangente relativamente aos potenciais perigos e riscos para os direitos e liberdades dos cidadãos emanantes das operações de tratamento de dados pessoais, obsta a que possa haver uma efetiva gestão destes – como se pode ler num editorial escrito por Kuner, Cate, et al.:
47 HUSTINX - cit. 14, p. 153.
48 As autoridades de controlo são entidades administrativas independentes com poderes de autoridade, em matéria
de proteção de dados. Em Portugal, a autoridade de controlo é a Comissão Nacional de Dados (CNPD).
49 Pelo menos genericamente; o Regulamento prevê a possibilidade de consulta prévia às autoridades de controlo
quando uma avaliação de impacto indicar que determinada operação de tratamento de dados pode resultar num elevado risco para os titulares dos dados – cfr. art. 36º do Regulamento.
“(…) uma das omissões mais óbvias até à data é uma compreensão clara dos danos ou impactos negativos que a gestão de riscos pretende identificar e mitigar na área de proteção de dados. (...) Esta é uma falha grave porque fazer com que a gestão de riscos funcione de forma eficaz e consistente exige que haja uma amplamente divulgada classificação de repercussões - positivas e negativas - em indivíduos, nas organizações e na sociedade em geral”50.
Outra razão que motivou a reforma da legislação vigente em matéria de proteção de dados foram as alterações legislativas a nível da estrutura legal da própria União Europeia: a proteção de dados foi reconhecida como um direito autónomo (já não uma simples extensão da reserva da vida privada) na Carta dos Direitos Fundamentais da União Europeia51 e o Tratado de Lisboa inclui nos tratados uma nova base jurídica, o art. 16º do Tratado de Funcionamento da União Europeia (TFUE).
Estas inovações normativas demonstram perfeitamente como a proteção de dados é vista como uma preocupação global da União como direito autónomo e objeto de consagração enquanto fim em si mesmo, e não já como algo instrumental para a concretização do mercado interno.
50 KUNER, Christopher, CATE, Fred et al – Editorial: Risk Management in Data Protection em International
Data Privacy Law, Volume 5, Issue 2 Disponível em https://doi.org/10.1093/idpl/ipv005.
4. Os Fluxos Internacionais de Dados e o Direito à Proteção de Dados Pessoais na