Quase vinte anos após a entrada em vigor da primeira lei italiana em matéria de privacidade, foi publicado em maio passado o regulamento europeu que integra substancialmente a legislação sobre a matéria. O objetivo é reconhecer um nível mais elevado e uniforme de proteção dos dados pessoais e garantir aos cidadãos um maior controlo sobre a utilização das informações que lhes dizem respeito.
Embora o regulamento não necessite de transposição, os Estados-Membros têm dois anos para adaptar a sua legislação nacional, e as empresas em causa – na sua maioria organismos da administração pública, grandes empresas privadas prestadoras de serviços, bem como bancos e intermediários financeiros – têm igual disponibilidade de tempo adaptar-se ao novo quadro regulamentar, mas bastante exigente e não isento de problemas.
A ampla esfera de direitos reconhecidos aos cidadãos prevê, de facto, uma forte responsabilidade das empresas e a necessidade de proceder a intervenções organizacionais que envolvem grande parte da estrutura empresarial. Em termos estritamente operacionais, o que tem sido dito traduz-se num aumento substancial de custos, exigido pela reestruturação de processos internos e implementação de procedimentos informáticos desenhados para dar resposta às novas necessidades de tratamento da informação dos clientes.
Um compromisso oneroso neste sentido diz respeito, por exemplo, à introdução da obrigação de cada empresa interessada manter ao longo do tempo um registo atempado e exaustivo das atividades desenvolvidas sob a sua responsabilidade relativamente ao tratamento de dados de clientes. No que diz respeito ao crédito, esta disposição comporta o risco de introduzir modalidades de operação particularmente complexas e injustificadas, num contexto de atividade que ao longo dos anos não tem apresentado ocasiões específicas de conflito na relação entre os particulares e os bancos.
Um outro compromisso para as empresas prende-se com a necessidade de aquisição de novas e específicas competências profissionais internas, como a referida na figura do “Data Protection Officer” que deve necessariamente estar presente nas empresas onde o tratamento de informação envolve riscos específicos.
O regulamento reconhece, ainda, aos cidadãos o direito de se fazerem representar por uma entidade sem fins lucrativos, cuja actividade seja reconhecida como de interesse público, que poderá reclamar e exercer a indemnização por danos por conta dos clientes em caso de de violação do disposto no próprio regulamento. Esta norma regulamentadora corre o risco de "incentivar" a litigância de particulares contra empresas, na expectativa de uma "fácil" compensação possibilitada por disposições concebidas com o objetivo específico de proteger os direitos de uma das partes em litígio.
Por último, é de realçar um aumento considerável das sanções pecuniárias e administrativas previstas pelo novo sistema, que podem atingir um máximo de 20 milhões de euros ou até 4% do volume de negócios anual total da entidade responsável pelo tratamento de dados; além disso, cada Estado-membro é deixado livre para adotar sanções adicionais e mais incisivas.
Veremos assim num futuro próximo como o legislador nacional irá concretamente proceder na transposição do novo regime regulamentar, confiando que as justas exigências relacionadas com a protecção da privacidade dos cidadãos se conciliem adequadamente com as igualmente importantes necessidades das empresas e bancos de operarem sem encargos excessivos, numa correta perspetiva de proporcionalidade e equilíbrio, sobretudo no atual contexto de crise marcado pela proliferação contínua de regras prudenciais, que se vão tornando cada vez mais vinculativas e generalizadas.
