No Dia Nacional da Protecção de Dados, impõe-se repensar o papel do Regulamento Geral de Protecção de Dados (RGPD) na actualidade. Sou assumidamente crítica do RGPD, não da existência de um regime de protecção de dados, que considero essencial, mas do conteúdo deste específico regime.

Desde logo, porque o RGPD revelou funcionar melhor em teoria do que na prática. O conceito excessivamente abrangente de “dado pessoal” acaba por transformar quase toda a realidade em tratamento de dados, alargando desmesuradamente o seu âmbito de aplicação. Depois, porque a letra da lei se torna, por vezes, difícil de reconhecer perante as interpretações criativas impostas pela prática, sendo o consentimento um exemplo paradigmático. Definido como livre, específico, informado e inequívoco, o consentimento pressupõe uma autonomia que dificilmente subsiste num contexto marcado por plataformas dominantes, modelos take it or leave it, dark patterns e dependência estrutural do digital. Por último, porque o desenvolvimento tecnológico avassalador — em particular da inteligência artificial e, num horizonte próximo, da computação quântica — tornou parte significativa do RGPD tecnologicamente datada. Por exemplo, o artigo 22.º, relativo às decisões automatizadas, assenta numa visão pré-IA avançada, pressupondo uma intervenção humana significativa e sistemas compreensíveis, pressupostos que os sistemas generativos e opacos por design tornaram largamente obsoletos.

Tenho apontado estas fragilidades a decisores políticos ao longo dos anos. Nunca as contestaram; pelo contrário, reconhecem-nas. Ainda assim, a resposta tem sido sempre a mesma: o RGPD levou demasiado tempo, esforço, compromissos e investimento para ser alterado. Costumo dizer aos meus alunos que o RGPD se assemelha a um mau casamento: todos sabem que não funciona, mas, entre a hipoteca, os filhos e o cão, parece mais fácil continuar infeliz do que enfrentar a separação. A mudança assusta.

Eis senão quando surge uma espécie de “divórcio” por via do chamado Pacote Omnibus Digital, uma proposta de regulamento que visa alterar vários blocos normativos do direito digital europeu, incluindo o RGPD, avançada em novembro do ano passado, depois de um primeiro passo, mais tímido, uns meses antes. Sectores estratégicos de normas serão objecto de alteração, respondendo a muitas críticas que lhes têm vindo a ser feitas.

Este é — rectius, será — ainda o RGPD. Não estamos perante uma refundação do regime, nem perante uma cedência aos discursos que anunciam o colapso da protecção de dados sempre que se fala em simplificação. O núcleo duro do RGPD permanece intacto: a protecção dos titulares dos dados, a centralidade dos direitos fundamentais e a lógica de responsabilização dos responsáveis pelo tratamento. O que se ensaia é, antes, um ajustamento pragmático, um esforço de afinação destinado a tornar o sistema mais exequível num ecossistema digital que já não é o de 2016. As alterações são tímidas e ainda insuficientes. Muito mais há a fazer, mas fica a esperança de que este seja apenas o primeiro passo e de que haja, finalmente, coragem para rever o que, entretanto, deixou de funcionar (ou nunca funcionou…).

Porém, será mais ágil. Mais digital. Menos pesado. Para quem pensava que tocar no RGPD seria o prenúncio do fim dos tempos, desengane-se. Para já, não se avistam Cavaleiros do Apocalipse no céu europeu.