×
  • 12 Novembro, 2019

Um Encarregado de Proteção de Dados (DPO) pode ser punido com uma coima?

A aprovação, na ordem jurídica nacional, da Lei n.º 58/2019, de 8 de agosto, que assegura a execução do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD), suscita uma panóplia de problemas e dificuldades.

Nestas linhas vamos dedicar-nos a uma em concreto, tentando responder à questão de saber se um Encarregado de Proteção de Dados (EPD) pode ser responsabilizado no âmbito de um processo contraordenacional e punido com uma coima.

Lei portuguesa para a proteção de dados desafiadora

Antes de mais importa salientar que a referida Lei n.º 58/2019, de 8 de agosto, espoletou a Deliberação 2019/494 da Comissão Nacional de Proteção de Dados (CNPD), na qual esta autoridade de controlo, em tom crítico e desafiador, desaplica vários artigos da lei, considerando-os manifestamente incompatíveis com o direito da União Europeia, mormente com o próprio RGPD. Não nos vamos adentrar na referida Deliberação nem em nenhuma temática em especial na qual versa. Vamos, antes, levantar uma questão que, mau grado, a CNPD não suscita, mas que, na nossa opinião, também parece violar o RGPD. Vejamos.

Tipos de coimas previstas pelo RGPD

O RGPD, no artigo 83.º, prevê a aplicação de coimas, dirigindo-se diretamente às autoridades de controlo, a quem incumbe o poder de as aplicar. São elencados dois tipos de coimas: coimas até 10 milhões de euros, ou no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado; e coimas até 20 milhões de euros, ou no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado. Podemos afirmar que o primeiro tipo de coimas, de valor mais baixo, aplicar-se-á a violações menos gravosas do que aquelas que levam à aplicação de coima mais elevada. Ora, uma dessas violações menos gravosas refere-se ao incumprimento dos artigos 37.º a 39.º do RGPD, atinentes ao EPD.

E os Encarregados de Proteção de Dados?

Com efeito, a alínea a) do n.º 4 do artigo 83.º pune com coima até 10 milhões (ou 2% do volume de negócios no caso de empresa) a violação das obrigações do responsável pelo tratamento e do subcontratante que decorrem dos artigos 37.º a 39.º. E são várias as obrigações que decorrem destes artigos para os responsáveis pelo tratamento e subcontratantes.

Em primeiro lugar, a obrigação de designar o EPD, que implica o ato formal de nomeação por parte da entidade (n.ºs 1, 2 e 3 do artigo 37.º), mas também, a montante, a obrigação de designar um EPD com as qualidades profissionais que o próprio RGPD impõe (n.º 5 do artigo 37.º). Sublinhe-se que não basta designar um qualquer profissional como EPD: o EPD deve poder comprovar os seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como a sua capacidade, mormente as características pessoais, para o desempenho de funções.

Em segundo lugar, a obrigação de assegurar a posição do EPD que o RGPD impõe no artigo 38.º: o EPD deve ser envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais e deve ser apoiado com os recursos necessários e livre acesso às operações de tratamento; por outro lado, o EPD não recebe instruções, não pode ser destituído nem penalizado pelo exercício das suas funções e responde à direção ao mais alto nível; ademais, a entidade deve proporcionar aos titulares dos dados o contacto direto com o EPD; por fim, a entidade não pode incumbir o EPD de outras atribuições que resultem num conflito de interesses com a sua função de EPD.

Em terceiro e último lugar, não menos importante, o artigo 39.º exige ao responsável pelo tratamento e subcontratante que atribua, pelo menos, ao EPD, funções de informação e aconselhamento, sensibilização e formação do pessoal, assim como de controlo e auditoria.

Ora, voltemos à alínea a) do n.º 4 do artigo 83.º: o RGPD é muito claro, ao punir com coima a violação das obrigações que competem ao responsável pelo tratamento e subcontratante. A interpretação literal da norma não deixa espaço para outras leituras: o que está em causa é a eventual aplicação de uma coima ao responsável pelo tratamento ou subcontratante.

Ao arrepio desta norma, que – ipsis verbis – identifica o agente como sendo o responsável pelo tratamento ou subcontratante, a Lei n.º 58/2019, de 8 de agosto, veio determinar que constitui contraordenação o incumprimento dos deveres previstos no artigo 39.º do RGPD, não identificando o agente da infração, isto é, a quem se aplicará a coima (alínea p) do n.º 1 do artigo 38.º da Lei n.º 58/2019, de 8 de agosto).

Ora, não resultando da letra da lei nacional o agente a quem se aplicará a coima, parece-nos que a Lei n.º 58/2019, de 8 de agosto, visa punir com coima o EPD que incumpre as suas funções de informação e aconselhamento, sensibilização e formação do pessoal, controlo e auditoria.

O que diz a CNPD?

Salvo melhor opinião, e apesar de a CNPD nada ter dito quanto a esta questão, a alínea p) do n.º 1 do artigo 38.º da Lei n.º 58/2019, de 8 de agosto, não pode ser aplicada, porque viola o ensejo do RGPD, que é punir o responsável pelo tratamento e subcontratante, e nunca o EPD.

De facto, o princípio do primado do direito da União Europeia dita que a punição do EPD numa lei nacional esteja ferida, à partida, uma vez que o RGPD apenas pretende visar, no âmbito de processos contraordenacionais, a entidade e não o profissional que exerce as funções de EPD.

O que é certo é que a CNPD não desaplica a alínea p) do n.º 1 do artigo 38.º da Lei n.º 58/2019, de 8 de agosto, o que nos leva a concluir que, futuramente, um EPD pode ser punido com coima a título de contraordenação.

Mais: o artigo 45.º da Lei n.º 58/2019, de 8 de agosto, manda aplicar, como regime subsidiário, em tudo o que não esteja previsto em matéria contraordenacional, o disposto no regime geral do ilícito de mera ordenação social, aprovado pelo Decreto-Lei n.º 433/82, de 27 de outubro; ora, este diploma, no artigo 7.º, estabelece que as coimas tanto se aplicam a pessoas singulares como coletivas e que as pessoas coletivas apenas serão responsáveis pelas contraordenações praticadas pelos seus órgãos.

Com efeito, estas normas nacionais, lidas no seu conjunto, ditam a possibilidade de aplicação de coimas ao EPD, exercendo ele funções enquanto elemento do quadro de pessoal da entidade ou com base num contrato de prestação de serviços. Na nossa opinião, tal possibilidade é violadora do direito da União Europeia.

Inês Oliveira, Encarregada de Proteção de Dados do Ministério da Justiça (pelo Despacho n.º 5643/2018)

Partilhar: