2019/10/04

A Lei de Execução vs RGPD (Deliberação/2019/494)

Augusto Almeida Correia e Catarina Silva Caetano escrevem sobre a deliberação da CNPD (Deliberação/2019/494), que determina a desaplicação de 9 das 68 normas da Lei de Execução do RGPD, por considerá-las violadoras do direito da União.

Não é pela pressa ser inimiga da perfeição que a delonga a faz alcançar. Exemplo claro disto, é a Lei n.º 58/2019 de 8 de agosto – Lei de Execução do RGPD –, que tardou a chegar e, desde logo, causou alguma inquietação relativamente à sua conformidade com o diploma que a mesma veio regular.

Os objetivos desta lei eram claros, passando por regular a execução do RGPD na ordem jurídica nacional – nos limites permitidos pelo mesmo –, sem o repetir, contradizer ou obstar à sua aplicabilidade. Todavia, diz-nos o atual estado da arte da Lei de Execução, que tal não se verificou, ainda que a CNPD tenha alertado o legislador, no seu Parecer n.º 20/2018, do elenco de normas que considerava serem suscetíveis de violar o RGPD e, bem assim, o próprio direito da União Europeia.

É nesta senda, que a CNPD veio a tornar pública a sua Deliberação/2019/494, na qual determina que desaplicará 9, das 68 normas da Lei de Execução do RGPD, porquanto as considera violadoras do direito da União, sendo normas «cuja redação final não permite salvá-las de tal juízo através de uma interpretação corretiva conforme ao direito da União, por ser insuprível a antinomia com as normas do RGPD». Vejamos, sucintamente, as desconformidades apontadas pela CNPD:

Ora, logo no artigo 2.º da Lei de Execução, o legislador começa por comprometer a aplicação das normas de competência entre as Autoridades Nacionais de Controlo dos Estados-Membros, previstas no RGPD, dando azo a uma divergência e incompatibilidade de soluções quando esteja em causa um tratamento transfronteiriço de dados pessoais.

No tocante aos direitos do titular dos dados, o legislador português veio a restringir o direito de acesso de que aqueles dispõem, em claro incumprimento com o RGPD, não respeitando os limites em que tal restrição se deveria verificar, nem especificando as finalidades inerentes à mesma. O resultado? Oferece à norma portuguesa uma abertura que a mesma não deveria ter.

Este alargamento do âmbito de aplicação de disposições do RGPD na Lei de Execução é uma realidade frequente apontada pela CNPD na sua deliberação. Veja-se que, relativamente ao tratamento de dados por entidades públicas para finalidades diferentes das originais, o legislador não determinou quais as finalidades capazes de justificar tal reutilização, tendo-se limitado a dispor de clausulas gerais, suprimindo requisitos impostos pelo RGPD para a verificação da mesma. Daqui, resulta que, qualquer interesse público poderá justificar a utilização de dados para finalidades diferentes das iniciais, o que configura uma grosseira contradição com um dos princípios basilares do RGPD – princípio da finalidade.

E se em algumas disposições o legislador peca por ampliar o âmbito de aplicação de normas, noutras, procede a uma restrição desnecessária e por vezes excessiva. É o que acontece, por exemplo, em relação ao consentimento no âmbito laboral. Alerta a CNPD, que a Lei de Execução restringe a relevância do consentimento dos trabalhadores, de forma desproporcionada e injustificada, entrando em clara contradição com o que dispõe o RGPD.

De entre todas as matérias em que o legislador mereceu a crítica da CNPD, destaca-se o regime das contraordenações. Logo à partida, determina a Lei de Execução que constitui contraordenação grave, a inobservância dolosa dos princípios consagrados no artigo 5.º do RGPD. Pretendeu o legislador com esta expressão, afastar a punibilidade da conduta negligente, mais uma vez, contrariando o RGPD, que não apresenta qualquer distinção entre a conduta negligente ou dolosa, nem conferindo ao legislador o poder de a concretizar, adulterando as infrações previstas pelo regulamento, diminuindo, assim, o elenco de ilícitos.

Mais, para o legislador, o desrespeito pelo dever de informação do titular dos dados apenas configura contraordenação em caso de omissão da informação, deixando de fora a responsabilização do responsável pelo tratamento quando este forneça informações incompletas, erróneas ou datadas – mais uma vez, aponta a CNPD a limitação do elenco de infrações.

Pretendendo um quadro regulatório uniforme no espaço europeu, o RGPD definiu os limites máximos aplicáveis para as coimas. Apesar de em lado algum o RGPD prever diferenciação quanto à estrutura das empresas, o legislador português procedeu à sua categorização, estipulando tetos diferentes de coima para os diferentes escalões de empresas, violando, assim, o RGPD, ao determinar limites máximos de coima, inferiores aos estipulados naquele. A este propósito, recorda a CNPD que o impacto das violações do tratamento de dados pessoais não depende do tamanho das organizações dos responsáveis pelo tratamento, mas antes da natureza das atividades de tratamento que prosseguem – factualidade esta, despercebida pelo legislador.

Para além disso, o legislador não só altera os limites máximos, como vem também a alterar os limites mínimos de coima. De novo, temos disposições da lei, contrárias e incompatíveis com o RGPD.

A CNPD manifesta-se também em relação aos critérios que presidem à ponderação da medida da pena, criticando o regime especial que o legislador estabeleceu, em relação aos ilícitos negligentes, impondo à CNPD a realização de uma prévia advertência dos agentes. Este, para além de incompatível com o RGPD, vem a retirar a discricionariedade que aquele oferece à Autoridade de Controlo, retirando o efeito útil das disposições do regulamento que a preveem, relativamente à matéria em causa.

Aquela que é, se calhar, a contradição mais evidente da Lei de Execução, está patente no n.º 2, do artigo 61.º, que determina que «[c]aso a caducidade do consentimento seja motivo de cessação do contrato em que o titular dos dados seja parte, o tratamento dos dados é lícito até que este ocorra». Ora, evidencia a CNPD na sua deliberação, a confusão no legislador, entre dois fundamentos de licitude diferentes inerentes ao tratamento de dados, pois que, com tal disposição «o mesmo é dizer, por admitir que o consentimento no tratamento de dados pessoais seja condição da vigência de um contrato em que o titular dos dados seja parte». Esta disposição, é, contudo, apenas mais uma das normas violadoras do RGPD.

Em resultado do exposto, e entre outros demais fundamentos, a CNPD declara na sua deliberação, desaplicar, em casos que venha futuramente a apreciar, nove normas da Lei de Execução.

Esta deliberação da CNPD acaba por se seguir a uma outra (Deliberação/2019/495 relativa à interpretação da dispensa de aplicação de coimas durante 3 anos às entidades públicas) onde o tom crítico desta entidade já era patente, o que só vem a demonstrar as manifestas discordâncias, que já haviam sido reveladas no decorrer do processo legislativo que levou à criação da Lei de Execução, entre a CNPD e o legislador nacional.

Em conclusão, apesar de dispormos de uma Lei que vem, de facto, a regular a aplicação do RGPD e cuja necessidade era imperativa, não podemos afirmar que estamos perante uma lei que nos traz total certeza e segurança jurídicas, porquanto a mesma, por diversas vezes, entra em clara contradição com o regulamento objeto da sua execução. Sendo que, em consequência direta do exposto, a mesma incorre, ainda, em violação de diversas fontes de direito da União. Por forma a obstar a tal resultado e a garantir a plena exequibilidade do RGPD, resta seguir a posição tomada pela CNPD, desaplicando os normativos supra enunciados e aplicando, ao invés, as correspondentes normas patentes no RGPD.

Augusto Almeida Correia | Associado Sénior | augusto.correia@pra.pt
Catarina Silva Caetano | Advogada Estagiária | catarina.caetano@pra.pt