×
  • 27 Junho, 2019

Aplicação do RGPD à Lei Portuguesa

A nossa especialista ajuda a clarificar os detalhes

Votada e aprovada a Proposta de Lei de Aplicação nacional do RGPD, no passado dia 14 de Junho, a expetativa criada face a possíveis questões relativamente à aplicabilidade e ajuste em Portugal mantém-se até ser publicada a versão final e promulgada a Lei e com esta alguma incerteza relativamente a prazos, consequências e até obrigações e direitos decorrentes da implementação efetiva do  Regulamento Geral de Proteção de Dados, se espera deixar de existir.

“A Proposta de Lei nº120/XIII/3ª (GOV), assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.”

A proposta do diploma de execução do RGPD para fins judiciais, bem como a principal Proposta de Lei e a Lei Orgânica da CNPD seguiram, em versão consensual, para votação final.

Muito embora o RGPD, pelo fato de ser um regulamento não necessite de transposição para a Lei portuguesa e seja de aplicação direta desde 25 de Maio de 2018, o mesmo também prevê e permite uma adequação à realidade de cada Estado-Membro. Convém no entretanto sublinhar que existem definições fulcrais que se mantêm desde a Diretiva n.º 95/46/CE, nomeadamente a de dados pessoais, a de tratamento e a de responsável pelo tratamento, atestando a continuidade da mesma e relembrando que grande parte da legislação respeitante a esta matéria não é tão recente, apenas assume um caráter mais marcante do ponto de vista das sanções e consequências face ao incumprimento. A alteração mais relevante, da nossa perspetiva, está, na realidade, no princípio da auto-regulação, que anteriormente não existia.

Ainda assim, esta fase transitória aligeirou esta obrigatoriedade transversal a todos os Estados-Membros, de cumprimento do RGPD, tornando-o um tema, de certa forma, pouco premente em algumas organizações, o que se apoiou e justificou, de certa forma até ao momento, na incerteza do que resultaria da aprovação (ou não) desta Proposta de Lei.

Na verdade, o paradigma que esteve na base do RGPD, por parte do legislador, teve uma relação direta com a necessidade de regular o tratamento de dados pessoais a que se assistia em grande escala, envolvendo recolha e utilização intensivas de dados pessoais, na gestão por exemplo de redes sociais ou aplicações informáticas à escala global.

Eventualmente, por este motivo,  constata-se alguma desproporcionalidade relativamente à aplicação deste regulamento ao nosso tecido empresarial bem como em tipo de organizações nacionais.

Após uma avaliação de impacto, da qual resultou uma avaliação financeira ao nível de custos decorrentes da implementação, deparamos-nos igualmente com alguns eventuais cenários de desadequação em Portugal.

Neste contexto, o principal objectivo desta Proposta de Lei foi mitigar esses encargos, sem no entanto desvirtuar o próprio RGPD, até mesmo porque a margem conferida pelo mesmo não o permitia.

Objetivamente, urge encontrar o devido equilíbrio entre a necessidade de cumprir o Regulamento (RGPD) e a de assegurar as liberdades, os direitos e as garantias previstas na Constituição, mantendo contudo a liberdade da iniciativa económica e a promoção do bem estar social.

Decorrente deste processo, o definir e consolidar das atribuições das entidades de controlo é fundamental. Mantêm-se no que é fundamental o regime que constava já da Diretiva e que previa poderes consultivos, de correção e de investigação, sendo nesta fase de importância extrema a definição da Lei Orgânica da Comissão Nacional de Proteção de Dados, uma vez que se trata de uma peça fundamental na fiscalização e apoio a Profissionais de Tratamento de Dados – Consultores e DPO´s.

Relativamente à Proposta de Lei, destacamos algumas observações que remetem para um maior detalhe e especificação, clarificando de certo modo, questões de dúvida ou omissas no RGPD e que se encontram espelhadas na Proposta de Lei:

  • Funções do Encarregado de Proteção de Dados (artº 11º): acrescenta e especifica funções não explícitas no RGPD e que fazem sentido ficar devidamente identificadas para evitar conflitos e sobreposições de atribuições.
  • Acreditação e Certificação (art 14º): designação das entidades competentes e com atribuições para o efeito.
  • Códigos de conduta (artº 15º): define entidade competente para aprovação e contexto do código de conduta.
  • Consentimento de menores (artº 16º): estabelece a idade mínima de 13 anos e circunstâncias aplicáveis
  • Portabilidade e interoperabilidade dos dados (artº 18º): prevê por ex, no caso da administração pública, a necessidade de ter em linha de conta, dependendo da situação, o Regulamento Nacional de Interoperabilidade de Dados.
  • Videovigilância (artº 19º): refere-se, nomeadamente, a áreas em que as câmaras não podem incidir, bem como a questões de captação de audio, que são independentes da captação de imagem.
  • Tratamento de dados pessoais por entidades públicas para finalidades diferentes ( artº 23º): faz menção, por exemplo, ao carecer de ser objeto de protocolo e manter a fundamentação prevista no RGPD.
  • Liberdade de expressão e informação (artº 24º): onde se faz alusão à necessidade de observar e respeitar o principio da dignidade humana previsto na Constituição da República Portuguesa, os direitos de personalidade e a legislação nacional vigente, no exercício da Liberdade de expressão e informação, nos termos considerados.
  • Tratamento de dados de saúde e dados genéticos (artº 29º): destaque para o ponto 4, onde se faz referência ao dever de sigilo a que se obrigam todos os intervenientes em processos de tratamento de dados no exercício das suas funções como profissionais de saúde, em processos de investigação, aos titulares dos orgãos, trabalhadores e prestadores de serviçosdo responsavel pelo ptratamento de dados e que se contextualizem em processos de acompanhamento, financiamento ou fiscalização da atividade de prestação de cuidados de saúde.
  • Bases de dados ou registos centralizados de saúde (artº 30º): diz respeito ao registo em plataformas únicas de registo de bases de dados.
  • Tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos ( artº 31º): de notar, conforme o nº3 deste artº, “Ao tratamento de dados pessoais para fins de arquivo de interesse público é aplicável o Decreto-Lei n.º 16, de 23 de janeiro, na sua redação atual.”o nº 5 deste mesmo artº  sublinha a obrigatoriedade de  anonimização e pseudomização, no tratamento para fins juridíco, sem prejuízo no entanto para o disposto na Lei do Sistema Estatístico Nacional.
  • Tutela administrativa (artº 32º): a garantia de que, independentemente da queixa à CNPD, qualquer pessoa poderá instaurar um processo nos termos do Código do Procedimento Administrativo.
  • Responsabilidade civil (artº 33º): decorrente de tratamento ilícito ou outro tipo de vilolação do disposto no RGPD e/ou na Lei Nacional, qualquer pessoa poderá reclamar a reparação de algum dano sofrido, a quem de direito.
  • Tutela Jurisdicional (artº 34º): nos tribunais nacionais, se o responsável pelo tratamento ou subcontratante tiver estabelecimentos em território nacional ou se o titular dos dados aqui residir habitualmente.
  • Representação dos titulares dos dados (artº 35º): onde se faz referência à possibilidade do titular dos dados mandatar um organismo, uma organização ou uma associação sem fins lucrativos, para em seu nome exercer os direitos constantes no RGPD, nos seguintes artigos:
    • Direito de apresentar reclamação a uma autoridade de controlo (artº77º);
    • Direito à ação judicial conra uma autoridade de controlo ( artº 78º);
    • Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante (artº 79º);
    • Direito de indemnização e responsabilidade (artº 82º).
  • Legitimidade da CNPD (artº 36º): para intervir em processos judiciais.
  • Contraordenações: onde estam elencadas as contraordenações muito graves (artº 37º) e as contraordenações graves (artº 38º) onde se faz referência, nomeadamente a diferenciação das coimas, caso se trate de uma PME ou de uma grande empresa ou de pessoas singulares.
  • Prescrição do procedimento por contraordenação (artº40º):
    3 anos, caso se trate de contraordenação muito grave;
    2 anos, se se tratar de contraordenação grave.
  • Prazo de prescrição das coimas (artº 41º):
    3 anos, caso se trate de coimas de montante superior a € 100 000;
    2 anos, se se tratar de coimas de montante igual ou inferior a € 100 000.
  • Destino das coimas (artº 42º): não previsto de todo no RGPD, prevê que reverta 60% para o Estado e 40% para a CNPD.
  • Âmbito de aplicação das contraordenações (artº 44º): onde se esclarece uma das questões mais polémicas desta proposta de lei – um regime especial para entidades públicas ou pelo contrário, igualdade na Implementação do RGPD. As coimas previstas aplicam-se de igual modo ao Estado e ao setor privado, muito embora as entidades públicas possam vir a solicitar à CNPD a isenção de coimas pelo período de 3 anos, se devidamente fundamentado. As entidades públicas ficam no entanto sujeitas aos poderes de correção da CNPD, tal como previsto no RGPD, com exceção das coimas aplicadas.
  • Regime subsidiário (artº 45º): “Em tudo o que não esteja presente na lei em matéria contraordenacional, aplica-se o disposto no regime geral do ilícito de mera ordenação social.”.
  • Secção III – Refere-se a especificações relativamente a artigos que definem “crimes” , tais como:
    • Utilização de dados de forma incompatível com a finalidade de recolha (artº 46º)
    • Acesso indevido (artº47º)
    • Desvio de dados (artº 48º)
    • Viciação ou destruição de dados (artº 49º)
    • Inserção de dados falsos (artº 50º)
    • Violação do dever de sigilo (artº 51º)
    • Desobediência (artº 52º) (poderá levar a uma pena de prisão até um ano ou o dobro mediante verificação de agravamento)
    • Punibilidade da tentativa (artº 53º) ( a tentativa de crime previsto nesta secção é sempre punida)
  • Orientações técnicas (artº 58º): faz menção à Resolução do Conselho de Ministros, a qual aprova as orientações técnicas para aplicação ditreta ao Estado e recomenda a sua aplicação, se for o caso, às empresas do Estado 
  • Aplicabilidade das coimas às entidades públicas (artº 59º): prevê a reavaliação de aplicabilidade das coimas às entidades públicas, após três anos de entrada em vigor da presente lei
  • Situações de tratamento de dados pessoais pré-existentes (artº 60º) – vem esclarecer lacunas em relação a estes tratamentos, nomedamente no que concerne a registos públicos de dados 
  • Renovação do consentimento (artº 60º): contem aspetos importantes e esclarecedores em situações muito particulares que dependem do consentimento do titular
  • Alteração da Lei nº 43/2004, de 18 de Agosto ( artº 63º): prevê nova redação para os artigos 2º, 3º, 8º, 16º a 22º e 24º a 31º da Lei n.º 43/2004, de 18 de Agosto, alterada pela Lei n.º 55 – A/2010, de 31 de Dezembro

Porquanto, aprovada a Proposta de Lei nº120/XIII/3ª, aguardamos versão final e Promulgação da Lei e, assim,  ver esclarecidas algumas lacunas do RGPD relativamente à realidade nacional, bem como assistir a uma maior tomada de consciência e consequente tomada de decisão por parte das organizações, relativamente a processos de implementação do RGPD, traduzindo-se na prática em um “novo” olhar para o tema da Proteção de Dados Pessoais como algo que definitivamente acrescenta valor às empresas e a todas as organizações.

Célia Barata, RegTech & GDPR Business Manager

Partilhar: