Quase seis meses após a aplicação do Regulamento Geral de Proteção de Dados (RGPD), já se pode fazer um primeiro «balanço».
Um grande número de empresas e organizações reviu as suas práticas, nomeadamente as grandes empresas privadas que atuam em setores estratégicos e para as quais os dados pessoais são um ativo essencial, como bancos, seguradoras, operadores de telecomunicações, comércio a retalho (grandes superfícies).
Contudo, muitas empresas privadas, grandes, médias e pequenas, e ainda outras empresas e entidades do setor público não implementaram o RGPD de forma completa e rigorosa.
Parece ter-se criado uma falsa «ilusão» de que a Comissão Nacional de Proteção de Dados (CNPD) não teria, pelo menos, no início, um papel proativo, ilusão essa que foi alimentada pelas notícias de falta de verbas desta autoridade, bem como pelo atraso na aprovação da lei das medidas de execução do RGPD.
Por outro lado, no que à administração pública diz respeito, a moratória de três anos prevista na proposta de lei, ainda não aprovada, contribuiu para retirar o foco do setor público da necessidade de implementar as medidas de proteção de dados exigidas pelo RGPD.
Contrariando as expetativas de muitos, a CNPD decidiu aplicar uma coima no valor de 400 mil euros ao Centro Hospitalar do Barreiro Montijo, EPE pelo acesso indevido a dados clínicos de doentes por profissionais não médicos, quando uns dias antes tinha aberto um processo de averiguação à EMEL e à Câmara Municipal de Lisboa na sequência do envio dos SMS pela EMEL com alertas sobre o furacão Leslie.
Ambos os casos, embora diferentes, apresentam um elemento em comum: no caso da EMEL, o acesso aos dados pessoais para finalidades distintas daquelas para que foram inicialmente recolhidos; no caso do Hospital do Barreiro, o acesso a dados por pessoas que a eles não deveriam ter acesso.
Obviamente, não se nega que a mensagem da EMEL, se tivesse chegado antes da tempestade, pudesse ter sido importante para evitar males maiores. Contudo, é inegável que foram utilizados dados pessoais para um fim diferente daquele para que foram recolhidos e por uma entidade sem atribuições ao nível da proteção civil.
Neste primeiro balanço, cabe ainda mencionar que muitas organizações privadas continuam a ignorar as regras sobre a obtenção do consentimento dos titulares dos dados, pese embora todos termos sido bombardeados por emails procurando obter o consentimento para a utilização dos nossos dados nos meses que antecederam o 25 de maio.
Em regra, sempre que visitamos um site, é-nos perguntado se aceitamos «cookies». Muitos destes «cookies» não recolhem dados pessoais e por isso não é necessário obter o consentimento do utilizador, como é o caso dos «cookies» não intrusivos (cookies de preferência e cookies de sessão). Já os «cookies» intrusivos, que quando combinados com outros identificadores e informações recebidas pelos servidores, podem ser utilizados para a definição de perfis e a identificação de indivíduos, exigem consentimento, que não se satisfaz com opções pré-preenchidas, como ainda acontece. Visitámos numerosos sites de grandes empresas e outras não tão grandes que continuam a utilizar opções pré-preenchidas, quando o RGPD o proíbe taxativamente ao exigir um acto positivo de vontade, livre, expresso, esclarecido e inequívoco para valer como consentimento.
Na mesma linha, como o leitor saberá, continuamos a receber SMS e emails em massa em campanhas de marketing direto, sem que haja uma relação com a entidade remetente ou um prévio consentimento, não sendo, em muitos casos, respeitada a recusa em continuar a receber SMS ou emails («opt-out»).
Em suma, muitas organizações ainda não reviram, ou reviram de forma incorreta, os seus procedimentos de proteção de dados. Parece-nos certo que teremos mais notícias de coimas por violação do RGPD. A julgar pela primeira coima aplicada pela CNPD após 25 de maio, é expectável que as coimas venham a ser de montantes muito significativos.
A arbitragem demorou a afirmar-se em Portugal. Durante longos anos, foi vista não como uma verdadeira instância arbitral, mas como uma câmara de transação. As negociações prosseguiam paralelamente, sob a ameaça de uma espada de Dâmocles, que era a sentença arbitral, nem sempre reputada como credível.
A nova Lei de Arbitragem Voluntária, de 2011, foi fundamental para acelerar uma evolução que já se fazia sentir. A nova Lei, que segue a Lei-Modelo das Nações Unidas, permitiu a importação de formas de pensar verdadeiramente arbitrais, expurgando alguns entendimentos lusitanos juridicamente pouco adequados e fora dos padrões internacionais. Quase seis anos depois, já é possível fazer um balanço.
Cada vez mais, as arbitragens são conduzidas com independência e imparcialidade por árbitros qualificados e conhecedores da matéria em causa. A comunidade arbitral cresceu e os tribunais superiores têm acolhido favoravelmente as decisões arbitrais, não revelando hostilidade ou desconfiança, contribuindo decisivamente para a consolidação da arbitragem em Portugal.
A credibilização da arbitragem em Portugal permite assumir agora novos desafios. Há muito que a comunidade arbitral portuguesa assinala que Portugal deveria ser um destino preferencial de arbitragens internacionais, quer como sede, quer como, ao menos, lugar de arbitragens. São várias as razões.
A primeira consiste na história portuguesa. Sem ser cronicamente neutral, Portugal nunca teve (nem poderia ter) pretensões hegemónicas. Médio país no extremo ocidental europeu, pela sua dimensão e população, integra-se no sistema de relações internacionais como um país amigável e aberto. Não é pouco.
A segunda é a própria localização geográfica do país e a sua especial segurança. A caminho do Brasil, Angola e Moçambique e não distante de cidades de negócios europeias e americanas, Portugal permite deslocações fáceis e rápidas. Não pode também esquecer-se que Portugal é um país particularmente seguro: numa recente lista elaborada pela organização não governamental, Instituto Economia e Paz, Portugal surge como o quarto país mais seguro em todo o mundo.
Finalmente, Portugal tem um sistema judicial que oferece garantias à jurisdição arbitral. Não pesam em Portugal graves suspeitas ou interferências políticas sobre juízes e procuradores do Ministério Público. Recentes casos têm trazido alguma preocupação mas não são em número suficiente para afetar a perceção que, no geral, o sistema judicial funciona de forma regular e independente.
Se há algumas condições para Portugal ser um destino arbitral, há outras que ainda não existem. Das logísticas, passando pelas maneiras de pensar e acabando na segurança legal que um destino arbitral tem necessariamente que garantir.
As arbitragens internacionais são maioritariamente bilingues com tradução simultânea experiente e calejada, o que nem sempre é fácil de encontrar em Portugal. Infelizmente, a comunidade arbitral portuguesa, práticos e doutrinários, ainda não tem um verdadeiro espírito internacional nem produção científica regular integrada no circuito internacional. Talvez o sistema judicial tenha que admitir a litigância sobre arbitragem internacional na atual língua franca internacional, o inglês. Caso contrário, nunca será possível conduzir com segurança arbitragens internacionais em Portugal, não se imaginando a possibilidade de, em caso de impugnação, ter que traduzir todo o processo para português. Finalmente, devem ser criadas condições legais que assegurem que a sentença arbitral proferida numa arbitragem internacional não possa ser impugnada com base no sempre vago conceito de ordem pública nacional.
Como se vê, há muito a fazer para Portugal ser um destino arbitral para arbitragens internacionais. É uma oportunidade que não se pode nem se deve perder e que surge como a evolução natural após a consolidação da arbitragem. Não percorrer este caminho seria um desperdício das possibilidades que Portugal oferece e das capacidades da comunidade arbitral portuguesa.
Muito por força do dinamismo da sociedade civil, os temas da desigualdade salarial entre homens e mulheres e do assédio têm estado na ordem do dia e vieram para ficar, com um mediatismo e um impacto social até então desconhecidos.
Trata-se da pedra que faltava no novo edifício social do Século XXI.
Depois da abolição do conceito tradicional de família, assente na perpetuidade do casamento, na desigualdade conjugal e no regime patriarcal que colocava a mulher numa situação de dependência face ao marido, o Século XXI consolidou na lei o direito ao divórcio, a igualdade conjugal, a união de facto e o casamento de pessoas do mesmo sexo. Em todos esses domínios, o papel de vanguarda da sociedade civil americana, que em muito resultou da afluência em massa das mulheres para o mercado laboral no pós II Guerra Mundial, foi determinante.
Falta o combate às desigualdades reais em função do género, como é o caso do assédio sexual e das desigualdades salariais, que ainda subsistem e que a lei não resolve.
Movimentos sociais como o Movimento #MeToo convocam-nos para o tema e recordam que a questão que se coloca, nesta fase, não é tanto a de se saber que estas práticas não são aceitáveis, mas sim o que fazer para as combater de modo efetivo.
É aqui que a denominada soft law pode ter um papel decisivo.
Nos sistemas anglo-saxónicos, é tradicional a distinção entre hard law e soft law. A primeira assenta nos atos legislativos aprovados pelo Estado, com caráter geral, abstrato e coercivo; a soft law, por seu turno, assenta em instrumentos de autorregulação levados a efeito por atores não estatais, nomeadamente empresas, organizações não governamentais e associações patronais e sindicais. Neste caso, trata-se de criar normativos de adoção voluntária, cujo âmbito de aplicação é delimitado aos seus autores ou subscritores.
A soft law inclui, nomeadamente, Códigos de Conduta Corporativos e Convenções Coletivas de Trabalho. Trata-se, em todos os casos, de instrumentos de adoção voluntária e que apenas obrigam quem os subscreve.
A soft law tem tido um papel determinante nas últimas décadas, como forma de resposta a problemas que a sociedade civil reconhece e que os atores públicos não conseguem resolver.
Foi através da soft law, por exemplo, que se sedimentou o conceito de “Corporate Social Responsibility”, no âmbito da qual as empresas passaram a adotar uma nova postura perante a sociedade e a comunidade em que estão inseridas, introduzindo padrões éticos nas suas tomadas de posição. Através da adoção de Códigos de Conduta, as grandes multinacionais passaram a dar atenção, não apenas aos seus acionistas (shareholders), mas a todos aqueles com quem se relacionam (stakeholders), incluindo empregados, parceiros, fornecedores, consumidores, a comunidade local e o meio ambiente circundante.
É neste domínio, também, que se joga o combate ao assédio e às desigualdades salariais.
Apesar da existência de diversas leis centradas no combate às desigualdades no emprego, a eficácia do combate às desigualdades nos EUA passa atualmente, acima de tudo, pela adoção a título voluntário de códigos de conduta focados na proibição do assédio sexual, na proscrição das desigualdades salariais, na proteção das minorias étnicas, religiosas e de orientação sexual e na promoção de minimum labor standards orientados para a dignificação do trabalho.
Mais do que esperar pela atuação do Estado, legislativa ou punitiva, a sociedade civil optou pelo combate ao assédio e às discriminações sexuais através da soft law e da promoção da ética e da responsabilidade social corporativa.
No nosso caso, apesar da proibição da discriminação estar consagrada, desde 1976, na nossa Constituição, bem como no Código do Trabalho, a verdade é que o gender pay gap subsiste no nosso país, ascendendo a cerca de 16,7%, quando a média da União Europeia é de 16,1%. Apesar de termos feito um caminho notável desde a Revolução de 1974, quando esta diferença ascendia a cerca de 34%, a verdade é que existe ainda um longo caminho a percorrer, que revela alguma ineficiência na aplicação da lei.
Os anglo-saxónicos costumam dizer, a este propósito, que uma coisa é a Law in Books, ou seja, aquela que está legislada; outra coisa, substancialmente distinta, é a Law in Action, isto é, a forma como a mesma é aplicada. Mais do que uma boa lei, importa que a mesma seja bem aplicada.
Ora é precisamente neste domínio que a soft law pode ter um papel importante. Mais do que criar novas leis ou alterar as que já existem e que proíbem a discriminação salarial (direta e indireta) e o assédio, o papel das empresas, a adoção voluntária de códigos de conduta, o acolhimento de uma nova ética social e empresarial e o incremento da negociação coletiva podem jogar um papel decisivo.
É tempo de as nossas empresas, em especial as do PSI20, e de os nossos sindicatos, em especial os que estão no centro da negociação coletiva, acolherem estes ventos de mudança e os novos combates do Século XXI. É tempo de se modernizarem e de não ficarem, como habitualmente, à espera que o Estado resolva o problema. É tempo de criarem códigos de conduta e de aprovarem convenções coletivas de trabalho que acolham estas preocupações. É tempo, enfim, de assumirem a liderança do processo.
O pioneirismo da sociedade civil, o impacto mediático deste tema e a ideia de soft law devem ser aproveitados e capitalizados naquilo que têm de positivo: o combate à desigualdade. Não se trata de cair em eventuais excessos moralistas ou de cavalgar a onda mediática que não raras vezes destrói sem culpa formada. Trata-se, apenas, de promover o combate às desigualdades de género, de forma justa, razoável e voluntária.
É este o momento.
As faltas ao trabalho por motivo de baixa médica são consideradas justificadas, pelo que os direitos do trabalhador não podem ser afetados. O direito a férias remuneradas insere-se nesta lógica.
O trabalhador tem direito a 22 dias úteis de férias por cada ano de trabalho, que se vencem no dia 1 de janeiro de cada ano civil, uma vez que se reportam ao trabalho prestado no ano anterior. O trabalhador pode renunciar parcialmente ao direito a férias, desde que fique salvaguardado o gozo efetivo de 20 dias úteis. Durante o seu período de férias o trabalhador tem direito ao pagamento da retribuição correspondente a esse período e ao pagamento de um subsídio de férias.
Perante uma situação de baixa médica que tenha início e fim do mesmo ano civil, o trabalhador não perde o direito a 22 dias úteis de férias, podendo gozar os mesmos quando regressar ao trabalho, sem prejuízo do direito ao correspondente subsídio de férias, tal como previsto nos números 1 e 2 do artigo 244.º do Código do Trabalho.
Já nos casos de baixa do trabalhador com duração superior a um ano civil, deve ser observado o seguinte:
No ano em que se iniciou a situação de baixa, o trabalhador mantém o direito a 22 dias úteis de férias. Mas como não pode gozar estes dias até ao dia 31 de dezembro, o trabalhador tem direito à retribuição do período de férias não gozado ou ao gozo das mesmas até 30 de abril do ano seguinte, mantendo-se o pagamento do subsídio correspondente (cf. número 3 do artigo 244.º do Código de Trabalho).
No ano em que termina a situação de baixa, a contabilização das férias será semelhante às férias no ano de admissão (cf. número 6 do artigo 239.º do Código do Trabalho). Assim, o trabalhador apenas tem direito a férias após seis meses completos de execução efetiva de trabalho, sendo que a duração do respetivo período de férias será equivalente a 2 dias úteis por cada mês de duração de contrato, até ao máximo de 20 dias úteis. No caso do ano civil terminar antes de decorridos os seis meses completos de trabalho, as férias são gozadas até 30 de junho do ano subsequente. Durante este ano, o trabalhador deverá solicitar à Segurança Social o pagamento do subsídio de férias proporcional aos meses em que esteve de baixa. À entidade patronal caberá pagar o remanescente do subsídio de férias.
No caso de a baixa se prolongar por mais do que dois anos civis, relativamente ao ano intercalar, não há direito a férias. Assim, no ano em que se manteve de baixa, o trabalhador deverá solicitar à Segurança Social pagar o subsídio de férias na sua totalidade. No ano em que iniciou a baixa, o trabalhador terá direito a 22 dias úteis de férias e o correspondente subsídio de férias. No ano em que termina a baixa, a contabilização das férias será semelhante ao ano de admissão, cabendo à Segurança Social o pagamento do subsídio de férias referente aos meses em que o trabalhador se encontrava de baixa e à entidade empregadora o pagamento do proporcional do subsídio de férias relativo aos meses de trabalho.
Em suma: as faltas justificadas, por regra, não afetam o direito a férias do trabalhador.
Tribunais, processos e requerimentos. Três palavras que inquietam o mais previdente dos cidadãos ou a mais cuidadosa das empresas. O mundo da Justiça é opaco e até um pouco assustador. Sabe-se quando começa um processo. Não se sabe quando acaba. Sabe-se o que se pede. Não se sabe, e muitas vezes nem se prevê, o que o Tribunal irá decidir. Sabe-se que o processo existe. Muitas vezes não se sabe como anda ou com quem anda. O que se sabe, com alguma certeza, é que ter um processo em tribunal é, quase sempre, preocupação garantida.
O mundo da Justiça não quadra com transparência. Nem poderia quadrar completamente. Há processos que não podem ser do conhecimento de todas as partes e regras próprias de produção de prova que têm que ser respeitadas. Mas muito há a fazer para que processos deixem de ser uma realidade remota, que, numa manhã de nevoeiro, finalmente assume corpo em sentença.
Por isso, os tempos e a sequência do processo devem ser acessíveis a cidadãos e empresas que propuseram processos ou contra quem processos foram propostos. Desde maio de 2017, que já era possível a consulta de processos executivos. Através de uma recente medida do Ministério da Justiça, a partir de 20 de novembro próximo, essa consulta abrangerá todos os processos pendentes nos tribunais portugueses, quer nos tribunais judiciais, quer nos tribunais administrativos e fiscais. Bastará autenticar a consulta através do Cartão de Cidadão ou da Chave Móvel Digital, que permite aceder a este serviço através do telemóvel ou email. Terá sempre que ser respeitado o segredo de justiça, naturalmente. A consulta dos processos judiciais fica mesmo ao alcance uns poucos cliques.
Este aparente pequeno passo é também uma pequena revolução na nossa mentalidade judicial e na visão que temos sobre o trabalho dos tribunais. Não é possível assegurar uma justiça rápida, certeira e previsível quando o tempo do processo é uma abstração, concluída por dedução das estatísticas genéricas dos tribunais que são publicadas. É através da análise concreta dos tempos de um processo que os clientes do sistema judicial – cidadãos e empresas – podem aferir do funcionamento do sistema e tomar decisões sobre processos futuros ou responsabilidades presentes, assacando culpas de eventuais atrasos a tribunais, secretaria ou advogados. Mais do que transparência, a possibilidade de consultar processos judiciais é assim um instrumento que induz a melhoria do sistema judicial.
Há décadas que reformar na Justiça é sinónimo de mudanças drásticas nas regras processuais ou, mais recentemente, na distribuição dos tribunais pelo território. Mas a verdade é que interessa muito mais conceber e aplicar medidas que melhorem a credibilidade do sistema judicial e que disponibilizem instrumentos para que cidadãos e empresas possam concluir por si próprios os resultados que o sistema lhes oferece.
O recente Acordo subscrito pelo Governo e pela maioria dos Parceiros Sociais para “Combater a precariedade e reduzir a segmentação laboral e promover um maior dinamismo da negociação coletiva” é um acordo justo e equilibrado.
É um acordo justo, acima de tudo, porque visa combater a precariedade laboral, que atinge cerca de 22% do nosso mercado de trabalho, quando a média da União Europeia é de apenas 14%. A precariedade, assente em contratos de trabalho não permanentes, aumenta o risco de pobreza, agrava as desigualdades salariais, desincentiva a formação profissional, diminui a competitividade das empresas e afeta em particular a população jovem. Por essa razão, é um dos fatores que mais contribui para a quebra da natalidade e para a emigração, pondo ainda em causa a sustentabilidade da Segurança Social.
A redução da duração máxima dos contratos de trabalho a termo, bem como a regra segundo a qual a duração total das suas renovações não pode exceder a do período inicial do contrato, são medidas claras que apontam no sentido da redução da precariedade. No mesmo sentido, a clarificação de que a cessação do contrato a termo não renovável confere ao trabalhador direito a compensação e a criação do limite de seis renovações ao contrato de trabalho temporário vêm conferir maior justiça e equilíbrio à relação laboral.
É nesse contexto, também, que se compreende a supressão da regra que permitia a contratação a termo de trabalhadores à procura do primeiro emprego e de desempregados de longa duração para o preenchimento de postos de trabalho permanentes. A admissibilidade de contratos a termo sem que existisse um motivo temporário que o legitimasse afastava este contrato da sua verdadeira natureza: dotar as empresas de instrumentos de gestão para fazer face a necessidades temporárias. O Acordo assumiu, finalmente, que o contrato a termo apenas deve ser utilizado para a satisfação de necessidades temporárias ou em caso de início de laboração, como forma de mitigação do risco empresarial.
Noutro plano, a criação de um período experimental de 180 dias para trabalhadores à procura do primeiro emprego e desempregados de longa duração abre a porta à sua contratação mediante contrato de trabalho sem termo.
A medida proposta é por isso adequada, objetivamente justificável e juridicamente sustentada. Por um lado, porque o que se pretende é estimular a contratação sem termo, em substituição da contratação a termo.
Por outro lado, porque o que está em causa não é um alargamento transversal do período experimental – que atualmente já pode chegar, nalguns casos, aos 240 dias – a todos os trabalhadores, mas apenas a criação de um prazo específico adequado àquelas pessoas que, por estarem à procura do primeiro emprego ou por estarem há muito tempo desempregadas, estão mais afastadas do mercado de trabalho.
Em terceiro lugar, porque o Acordo prevê, também, que eventuais contratos de estágio celebrados antes da contratação do trabalhador passam a ser tidos em consideração para efeitos de contagem do período experimental.
Por fim, porque o Acordo contém outras medidas de ação positiva que visam a conversão de contratos a termo em contratos sem termo.
A regra proposta tem, portanto, suporte no princípio constitucional da igualdade, que manda tratar igual o que é igual e diferente o que é diferente, na medida dessa diferença. É necessária para combater a segmentação do mercado de trabalho e é proporcionalmente adequada.
O Acordo Tripartido e as propostas de alteração ao Código do Trabalho vão, pelas razões acima enunciadas, ao encontro do sistema de valores da nossa Constituição. Promovem a estabilidade laboral, a segurança no emprego e a igualdade substantiva, sem afetar minimamente a liberdade de gestão empresarial. Ao contribuírem para a valorização do capital humano, promovem também a competitividade das empresas e da economia nacional. Reforçam a dignificação do trabalho e garantem, simultaneamente, a iniciativa privada e o empreendedorismo.
O Acordo é, por isso, um acordo justo e equilibrado.
É um acordo próprio de um Estado Social de Direito.
Para aqueles que procuram Portugal para viver, trabalhar e investir, a Macedo Vitorino & Associados lança hoje o relatório «Why Portugal 2018 - Viver em Portugal».
O relatório «Why Portugal 2018 - Viver em Portugal» complementa o nosso guia para investidores «Why Portugal – Investir em Portugal» lançado no início do ano. Atualizámos também a secção «Viver em Portugal» da nossa plataforma digital «Why Portugal», com novos capítulos sobre o sistema de saúde e o sistema de ensino.
Disponível em português e inglês este relatório descreve os principais aspetos a ter em conta para quem pretende viver e trabalhar em Portugal. Quem aceder ao «Why Portugal 2018 - Viver em Portugal» poderá saber mais sobre a obtenção de vistos de residência ou vistos gold, como comprar ou arrendar casa, as condições e os direitos de quem pretende trabalhar em Portugal, bem como sobre o sistema de ensino e o sistema de saúde português.
“O nosso relatório «Why Portugal 2018 - Viver em Portugal» é muito simples e reúne as informações mais importantes para quem queira morar no nosso país com a sua família. Serve também para ajudar os investidores a conhecer as condições de vida que os expatriados e outros trabalhadores encontram em Portugal” refere António de Macedo Vitorino, coordenador do relatório e sócio da Macedo Vitorino & Associados.
«Why Portugal 2018 - Viver em Portugal» mostra o Portugal de hoje, um país multicultural e aberto ao exterior, um lugar único para viver, considerado um dos melhores locais de residência para famílias, investidores, empresários e reformados, que ocupa a 3.ª posição no Índice Global da Paz do Institute for Economics and Peace.
Para ler o relatório «Why Portugal 2018 - Viver em Portugal», clique aqui.
O Regulamento Geral de Proteção de Dados (“RGPD”), que passou a ser aplicável a partir de 25 de maio de 2018, é um dos temas incluído na agenda das organizações no último ano, embora, a sua maioria (em particular as PME e o sector público), ainda se encontrem atrasadas na sua implementação.
O RGPD vem mudar o “paradigma” existente, ao estabelecer um “princípio de responsabilidade”, em que as organizações passam a ter um papel proativo na interpretação e aplicação das regras de proteção de dados pessoais, sob pena de, em caso de incumprimento, ficarem sujeitas a pesadas coimas, que podem atingir os 20 milhões de euros ou 4% do volume de negócios anual do grupo, consoante o mais elevado.
Se a sua organização pertence àquela maioria, que ainda está atrasada na implementação do RGPD, eis as principais “dicas” que precisa de saber para começar a pôr “mãos à obra”. Poderá também consultar o kit de sobrevivência da Macedo Vitorino & Associados, disponível em «MVData», que o ajudará a identificar os riscos e a implementar o RGPD.
Não terá de ser necessariamente uma tarefa complexa, mas exigirá alguma paciência, um profundo conhecimento da organização, acompanhado por uma partilha de tarefas e de repartição de responsabilidades, para já não falar de uma mudança de práticas instituídas e de mentalidades.
Assim:
1. Identifique que dados são recolhidos e utilizados pela sua organização
Comece por “mapear” os dados recolhidos e utilizados pela sua organização e depois agrupá-los em conjuntos identificáveis, funcionais e com riscos similares ao nível da sua proteção e conservação, tendo em conta: (i) as categorias de dados, por exemplo, dados de identificação, dados de faturação, dados de saúde, etc.; (ii) a finalidade de tratamento, por exemplo, gestão de recursos humanos, marketing, etc.; (iii) o prazo de conservação; (iv) o âmbito geográfico do tratamento; (v) quem tem acesso aos dados e com quem são partilhados; (vi) as medidas de segurança em curso.
2. Reveja os seus procedimentos, políticas, contratos e outra documentação relevante
Reveja a sua política de privacidade, ou seja, o documento pelo qual informa os titulares dos dados de como são recolhidos e utilizados os seus dados pela sua organização.
Se o tratamento está a ser realizado porque obteve um prévio consentimento do titular dos dados, deverá confirmar se esse consentimento se mantem válido e se será capaz de o demonstrar. O consentimento deve ser livre, específico, informado e corresponder a uma clara ação afirmativa do titular dos dados (oral ou escrita). Em caso de tratamento de dados sensíveis ou também designados por “categorias especiais de dados” (por exemplo, dados relativos à saúde, dados genéticos, biométricos, convicções políticas, religião, orientação sexual) ou transferência de dados para fora da UE, o consentimento tem de ser explícito. O silêncio, opções pré-validadas ou a omissão do titular dos dados não constituem consentimento.
Tenha ainda em atenção que o consentimento é apenas um dos fundamentos que permitem justificar o tratamento de dados (ou de determinados dados), mas podem existir outros fundamentos, por exemplo, se o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados, ou se for necessário para efeito do interesse legítimo prosseguido pela organização. Se assim for, não precisa de obter o prévio consentimento. Sabia, por exemplo, que o RGPD permite que o tratamento realizado para fins de marketing direto poderá, em determinados casos, ser justificado pelo interesse legítimo da organização, e desde que seja assegurado o direito de a qualquer momento o titular dos dados se opor a receber comunicações para essa finalidade.
Se a sua organização recorre a entidades subcontratadas para, por sua conta e segundo as suas instruções, tratarem dados pessoais (por exemplo, recurso a uma empresa externa de contabilidade, de medicina do trabalho, de informática, de arquivo, de segurança privada), deverá atualizar o seu acordo com essas entidades. Esse acordo tem de ser escrito e incorporar a nova terminologia e obrigações impostas pelo RGPD.
3. Tenha em conta os direitos dos titulares dos dados e adote procedimentos que permitam o exercício desses direitos
Por forma a promover uma relação de lealdade e transparência entre a organização e os titulares dos dados, os denominados direitos “ARCO” (acesso, retificação, cancelamento e oposição) dos titulares dos dados são reforçados pelo RGPD, em particular pelo direito à informação, “direito à portabilidade” e “direito a ser esquecido”.
O RGPD vem impor que a organização informe/dê acesso, a pedido dos titulares dos dados, às atividades de tratamento dos seus dados e isto de forma gratuita e no prazo de um mês, bem como que o titular dos dados receba os dados pessoais, que tenha fornecido, num formato estruturado, de uso corrente e de leitura automática, e possa solicitar que os seus dados sejam transmitidos, de forma gratuita, a outra organização. Pense-se, por exemplo, no caso de mudança de operador de comunicações, de instituição bancária.
A sua organização deverá ainda assegurar-se que consegue cumprir e/ou cumpre com o “direito a ser esquecido”, o direito de a pedido do titular proceder ao apagamento dos seus dados pessoais, sem demora injustificada, e abster-se de qualquer disseminação futura dos dados.
4. Adote medidas e políticas internas que cumpram os requisitos de proteção “desde a conceção” e proteção “por defeito”
A “proteção desde a conceção” requer que a organização aplique, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, medidas técnicas e organizativas adequadas destinadas a aplicar com eficácia os princípios da proteção de dados e a incluir garantias necessárias no tratamento (por exemplo, pseudonimização, encriptação dos dados).
Já a “proteção por defeito” requer que a sua organização implemente medidas técnicas e organizativas adequadas destinadas a assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento (incluindo, a quantidade de dados pessoais recolhidos, a extensão do seu tratamento, o seu prazo de conservação e a sua acessibilidade).
As organizações devem determinar, de forma casuística, as medidas adequadas para fazer cumprir estes requisitos. Um procedimento de certificação aprovado pode ser utilizado como forma de garantir o cumprimento das exigências da proteção “desde a conceção” e da proteção “por defeito”.
5. Assegure-se que consegue demonstrar que está a cumprir o RGPD
O RGPD impõe que as organizações criem e mantenham um registo das atividades de tratamento se:
- Tiverem mais de 250 trabalhadores;
- O tratamento de dados for suscetível de implicar um risco para os direitos do titular dos dados e o tratamento não for ocasional; ou
- Os tratamentos incluam dados sensíveis ou dados relativos a condenações penais e infrações.
Os registos devem ser escritos e incluir informação sobre os tratamentos de dados efetuados, incluindo os contactos do responsável pelo tratamento e do encarregado de proteção de dados, as finalidades de tratamento, as categorias de dados, os seus destinatários, transferências internacionais de dados e medidas de segurança. Deverá cooperar com a autoridade de controlo e disponibilizar os seus registos, se necessário.
6. Adapte os seus procedimentos por forma a realizar uma avaliação de impacto do tratamento de dados
A avaliação de impacto sobre a proteção de dados tem por objetivo avaliar a origem, natureza, exatidão e gravidade dos riscos e implementar medidas de segurança para os mitigar, como é o caso da encriptação, e assegurar um nível de segurança apropriado.
A avaliação de impacto das operações de tratamento de dados será exigível se os tratamentos forem suscetíveis de implicar um risco elevado para os seus titulares, nomeadamente, nos casos de definição de perfis, tratamento de dados sensíveis em grande escala ou recurso a sistemas de videovigilância em grande escala.
Caso não consiga mitigar o risco elevado através de medidas apropriadas face à tecnologia existente e custos de implementação, deverá consultar a autoridade de controlo (a Comissão Nacional de Proteção de dados, em Portugal) antes de proceder ao tratamento de dados pessoais.
7. Deverá verificar se cumpre os requisitos para ser obrigatório designar um Encarregado de Proteção de Dados (“DPO”) e de que forma esta função se enquadrará no seio da sua organização
A designação de um DPO não se encontra ligada à dimensão da organização, mas sim à sua atividade principal e categorias de dados tratados. O RGPD impõe a designação de um DPO, que poderá ser um colaborador ou uma entidade ou pessoa externa à sua organização, em três casos específicos:
- Quando o tratamento for efetuado por uma autoridade ou organismo público (exceto tribunais);
- Quando as atividades principais da organização ou do subcontratado a recorra consistam em operações de tratamento que exijam um controlo sistemático e regular dos titulares dos dados em grande escala. Por exemplo, serviços de telecomunicações, concessão de crédito a clientes, seguradoras; ou
- Quando as atividades principais da organização ou do subcontratado a que recorra consistam em operações de tratamento em grande escala de dados sensíveis (dados genéticos, dados biométricos, dados de saúde) ou dados pessoais relacionados com condenações penais e infrações. Por exemplo, tratamento de dados relativos à saúde de pacientes por hospitais.
Mesmo quando não seja obrigatório, poderá ser aconselhável designar um DPO por forma a centralizar as questões de proteção de dados e facilitar o cumprimento do RGPD pela sua organização.
8. Reveja e atualize as medidas de segurança do tratamento e implemente um procedimento de notificação em caso de violação de dados pessoais
A sua organização deverá estar preparada para: (i) confirmar que todas as medidas de segurança técnicas e organizativas adequadas foram adotadas para prevenir uma violação de dados pessoais; (ii) ser capaz de determinar, de forma imediata, que ocorreu uma violação de dados; e (iii) informar, em tempo útil, a autoridade de controlo e o titular dos dados, se necessário.
Em caso de violação de dados pessoais, deverá adotar procedimentos por forma a notificar a violação à autoridade de controlo, sempre que possível, até 72 horas após seu conhecimento, a menos que seja possível demonstrar que a violação de dados pessoais não é suscetível de resultar num risco para os direitos dos titulares dos dados. Também deverá informar o titular dos dados, sem demora injustificada (o RGPD não prevê um prazo específico para o efeito), quando a violação seja suscetível de implicar um elevado risco para os direitos do titular dos dados, e em cooperação com a autoridade de controlo.
9. Reveja o impacto sobre as transferências internacionais de dados
A par das soluções existentes, como as “cláusulas contratuais-tipo” e o consentimento do titular, prevêem-se ainda novas soluções para justificar as transferências transfronteiriças, por exemplo, regras vinculativas aplicáveis a entidades de um grupo empresarial, que realizem entre si transferências de dados; códigos de conduta acompanhados de compromissos vinculativos das organizações no país terceiro no sentido de aplicarem as garantias adequadas, ou a criação de procedimentos de certificação.
Transferências de dados não repetitivas e que apenas digam respeito a um número limitado de titulares de dados poderão ser, em situações excecionais, justificadas, mediante notificação à autoridade de supervisão e prestação de informação ao titular dos dados.
10. Assegure-se que os seus colaboradores estão conscientes das implicações do RGPD e têm formação sobre as novas regras
Esta medida aparece, em último lugar, mas também poderia aparecer em primeiro ou, na verdade, em qualquer uma das posições anteriores. Trata-se de uma medida transversal e necessária à implementação do RGPD ao longo do tempo e essencial para a consciencialização sobre o tema e uma progressiva mudança de mentalidades no seio das organizações.
Nas conferências dedicadas ao tema sobre o RGPD em que tenho tido a oportunidade de participar e, portanto, num contexto propício à troca de cartões de visita, tem havido uma questão que tem merecido particular interesse (obviamente, entre outras), que é a de saber que destino estará reservado aos cartões de visita a partir de 25 de maio de 2018.
Se tivermos em conta os exigentes requisitos do RGPD em matéria de consentimento do titular dos dados (ou seja, da pessoa a quem os dados dizem respeito), diremos, à partida, que uma mera troca de cartões de visita não cumprirá esses requisitos. Para ser válido ao abrigo do RGPD, o consentimento deverá traduzir-se num ato positivo claro, que indique uma manifestação de vontade livre, específica, informada e inequívoca. O consentimento poderá ser prestado por declaração escrita ou oral, mas já não será válido o silêncio ou a omissão.
Dito isto, até se poderia pensar que bastaria passar a incluir-se uma declaração escrita de consentimento nos cartões de visita ou até, no limite, dar um consentimento verbal no momento da troca de cartões. Todavia, não é bem assim. Para além de inverosímil (e até de certa forma, caricato), poderiam ainda colocar-se outras questões, nomeadamente, quanto à prova do consentimento e do direito à informação dos titulares dos dados que, no momento da recolha dos dados, devem ser informados sobre diversos aspetos do tratamento dos seus dados.
Se uma declaração escrita de consentimento incluída num cartão de visita ou até, no limite, uma gravação de voz do consentimento e uma remissão no cartão de visita para a política de privacidade poderiam, em teoria, resolver aquelas questões (o que ainda assim tenho as minhas dúvidas), não deixaria, a meu ver, de existir um obstáculo (quase) intransponível: a realidade, pois, não é verosímil que, no contexto de um evento ou de uma reunião, se coloquem, em prática, tais soluções.
Salvo melhor opinião, o consentimento não constitui o fundamento (mais) adequado para justificar o tratamento de dados pessoais no âmbito dos cartões de visita. Isto não significa, porém, que os cartões de visita passem a estar “em vias de extinção” com o RGPD. O consentimento não é o único fundamento para o tratamento dos dados. Os interesses legítimos de quem determina as finalidades e os meios de tratamento (ou seja, dos “responsáveis pelo tratamento”), ou de terceiros, também constituem fundamento para o tratamento.
A troca de cartões de visita poderá, assim, ser justificada, pelo interesse legítimo em situações como aquela em que o titular dos dados seja cliente ou esteja ao serviço do responsável pelo tratamento. Mas mesmo fora desses casos, será possível, dependendo dos casos, justificar, de forma razoável, que os dados dos cartões de visita possam ser tratados ao abrigo de um interesse legítimo.
Não só quanto aos cartões de visita, mas em geral, a existência de um interesse legítimo requer uma avaliação cuidada, em particular de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Imaginemos, por exemplo, uma reunião entre um representante de uma empresa, que é acompanhado pelo seu advogado, e uma entidade reguladora, tendo em vista a discussão de uma determinada questão de âmbito regulatório, e na qual os diversos intervenientes trocam cartões de visita. A meu ver, não deixará de ser legítimo que o advogado a quem o colaborador da entidade reguladora deu o seu cartão de visita venha, mais tarde, a contactá-lo no sentido de vir a esclarecer uma questão futura sobre um assunto regulatório para o mesmo ou outro cliente. Nesta situação, o que já não seria legítimo é que os dados do cartão de visita fossem utilizados para, a partir daí, ser enviada publicidade sobre produtos ou serviços pela empresa sua cliente.
Salvo melhor opinião, e sob pena de se negar a realidade, e como dizia o jurista francês GEORGES RIPERT “Quando o Direito ignora a realidade, a realidade vinga-se ignorando o Direito”, a resposta a esta questão só poderá ser uma: com sensibilidade e bom-senso, os cartões de visita poderão ser justificados pelo interesse legítimo à luz do RGPD.
Artigo de opinião sobre o «Why Portugal» publicado na Forbes
Em 2011, quando Portugal pediu ajuda internacional, um sócio de um escritório de advogados americano apostava comigo que até 2013 Portugal sairia do Euro. A perceção em Portugal e no estrangeiro de que Portugal teria uma queda abrupta no PIB era generalizada. Os investidores fugiram de Portugal. Na altura como hoje, as notícias sobre a situação portuguesa eram muito exageradas.
Quando comparado com os seus congéneres europeus, Portugal oferece boas condições para a atração de investidores. Em geral, em Portugal e na Europa encontram-se condições legais, políticas e económicas impares quando comparadas com a de outros continentes. A União Europeia é um dos maiores mercados do mundo, é sofisticado, desenvolvido e inovador. As condições políticas são as melhores do mundo para o desenvolvimento económico. Os valores democráticos prevalecem. O Estado de Direito, o «rule of law», é uma pedra angular da vida na Europa. Só vivendo noutras partes do mundo se tem a noção de que a Europa é e será nas próximas décadas um local privilegiado para viver e investir.
Portugal beneficia da sua participação na União Europeia, não apenas pelo acesso ao mercado europeu, mas também por funcionar num modelo de organização política, económica e legal comum aos 28 países da União Europeia. As idiossincrasias nacionais não apagam o legado europeu. As especificidades de Portugal são, em muitos casos, uma agradável surpresas.
Nos últimos anos, o turismo redescobriu um Portugal para além do Algarve, do sol e das praias. Os estrangeiros começaram a afluir a Lisboa e Porto, descobriram o Alentejo, o centro e o norte. Descobriram a riqueza da história que ficou para além das descobertas, e talvez por causa das descobertas. A arquitetura, a arte, as belezas naturais mais variadas. Redescobriram a gastronomia, a nossa «joie de vivre» sempre misturada com um certo pessimismo em relação às instituições e ao Estado, pintados de cores mais escuras do que a própria realidade e um certo «nacionalismo» bacoco que ultrapassou a ditadura e continua a promover valores e pessoas para mais além do justificável. Amália e Eusébio deixaram-nos. Hoje promovem-se Ronaldo, Mourinho como ícones nacionais.
Mas há muito mais Portugal para além de Fátima, Futebol e Fado.
Em 2013, quando o pior da crise ainda não tinha passado, a Macedo Vitorino & Associados criou um projeto designado «WHY PORTUGAL – The Case for Investing in Portugal», que visava e visa dar a conhecer os resultados dos relatórios de instituições internacionais como o Banco Mundial, Fórum Económico Mundial e Comissão Europeia. Os resultados foram uma surpresa agradável. Os relatórios internacionais que analisámos mostram que Portugal pode competir com os demais países da Europa na atração de investimento. O Relatório do Banco Mundial, «Doing Business 2018», relatório de referência para os investidores internacionais, coloca Portugal no 29.º lugar no mundo, 13.º da Europa, como local mais atrativo para fazer negócios. Portugal está à frente de outros países do sul e leste da Europa, normalmente considerados pelos investidores como localizações alternativas a Portugal.
De acordo com o «Global Competitiveness Report 2017/2018», publicado pelo Fórum Económico Mundial, a legislação laboral portuguesa é significativamente menos rígida do que a de vários outros países europeus, muito embora continue a ser mais rígida do que a dos países de referência.
De acordo com os dados da European Trade Union Institute, calculado como uma média anual entre os anos de 2010 a 2016, o número de dias de trabalho perdidos em conflitos laborais por cada 1.000 trabalhadores foi de apenas 15, um número inferior ao que se verifica na média dos restantes países europeus.
Os demais indicadores dão a Portugal uma posição muito razoável como se pode ler na edição deste ano do «Why Portugal 2018». As instituições públicas e privadas podem e devem fazer muito mais, mas parte do caminho está feito.
Já agora, segundo o Telegraph, Lisboa é a segunda capital europeia com mais horas de sol; a primeira é La Valetta, capital de Malta.