2019/06/18

RGPD | Lei de Execução já foi aprovada – Conheça as 10 principais novidades!

Augusto Almeida Correia aborda a aguardada Lei de Execução do Regulamento Geral de Proteção de Dados (RGPD), bem como o conjunto de novidades e confirmações que esta traz consigo.

E eis que, passado um ano e quase 1 mês depois, a tão aguardada lei de execução do RGPD é finalmente aprovada e, com ela, um conjunto de novidades e confirmações que põem termo à constante contrainformação a que assistimos nos últimos tempos.

O referido diploma é composto por 68 artigos e visa regular e (tentar) esclarecer, no âmbito do território nacional, o já tão famoso Regulamento Geral de Proteção de Dados (RGPD).

Assim, podemos sistematizar as 10 principais novidades da seguinte forma:

1 – O aludido diploma começa por esclarecer, se é que alguma dúvida existia, que a Comissão Nacional de Proteção de Dados (CNPD) é, de facto, a autoridade nacional de controlo para efeitos do RGPD.

2 – Relativamente à figura do DPO, esta lei veio concretizar a questão desta figura nas entidades públicas. Embora sem grandes novidades, existem certos pontos que merecem ser destacados, como é o facto de dever ser nomeado um DPO por cada ministério ou área governativa, e, nas Juntas de Freguesia, poderá não existir a necessidade de nomeação de um DPO, o que se entende, sobretudo naquelas com poucos habitantes (menos de 750).

3 – No que concerne ao consentimento de menores, no âmbito da oferta direta de serviços da sociedade de informação, o legislador português acabou por optar pela idade mínima prevista no RGPD, ou seja, 13 anos. No caso de menores de 13, e no caso de tudo o que não tenha a ver com serviços de sociedade de informação, o consentimento só será lícito quando dado pelos seus representantes legais, sendo que tal consentimento deverá ser feito, de preferência, com recurso a autenticação segura (ex: assinatura digital).

4 – Um dos temas mais interessantes que esta lei nos traz é a questão da proteção dos dados pessoais de pessoas falecidas, onde se estipula que tais dados estão protegidos no âmbito do RGPD. Mas não todos, apenas os relativos às categorias especiais de dados (os anteriormente denominados dados sensíveis) ou então os que se reportem à intimidade da vida privada, à imagem e os relativos às comunicações. No que à questão dos direitos desses titulares, já falecidos, nomeadamente, os direitos de acesso, retificação e apagamento, estes serão exercidos por quem a pessoa falecida haja designado para o efeito ou, não existindo, pelos seus herdeiros.

Apenas como nota de rodapé, refira-se que a questão dos dados pessoais de pessoas falecidas vem expressamente referida no considerando 27 do RGPD que estipula “O presente regulamento não se aplica aos dados pessoais de pessoas falecidas. Os Estados-Membros poderão estabelecer regras para o tratamento dos dados pessoais de pessoas falecidas.”, pelo que não se percebe qual foi a intenção do legislador português de seguir posição contrária e, até que ponto, tal posição será aceitável.

5 – Quanto à videovigilância, não existe nada de novo, chamando-se apenas a atenção para a captação de som, a qual é proibida, salvo se houver uma autorização prévia da CNPD, ou então quando as instalações vigiadas estejam encerradas.

6 – Os prazos de conservação dos dados pessoais também foram alvo de atenção por parte do legislador português, sendo que o ponto que chamará mais a atenção é o facto de não existir um prazo específico para a conservação de dados relativos às declarações contributivas para efeitos de aposentação ou reforma.

7 – A temática da transmissão de dados para países terceiros da UE foi sempre uma questão sensível e de elevada complexidade, que obrigava os responsáveis pelo tratamento de dados a especiais cuidados. Ora, o legislador português optou por “simplificar” esse tipo de transferência no que às entidades públicas diz respeito. Assim, caso tais transferências de dados para países terceiros da UE, ou organizações internacionais, sejam efetuadas no cumprimento de obrigações legais, por entidades públicas no exercício de poderes de autoridade, serão consideradas de interesse público, estando por isso conformes ao RGPD. Quanto às entidades privadas, nada é referido.

8 – No âmbito das relações laborais, de entre as principais novidades, encontra-se a tão aguardada “legalização” do tratamento de dados biométricos para controlo de assiduidade (recorde-se que desde a entrada em vigor do RGPD, tal tratamento era ilegal e, portanto, proibido), bem assim, para controlo de acesso às instalações do empregador. Além disso, esta lei veio expressamente permitir à entidade patronal a utilização de imagens gravadas em processos disciplinares, desde que as mesmas tenham sido usadas no âmbito de um processo crime e esse processo disciplinar vise apurar a responsabilidade do trabalhador pelos factos relativos ao processo crime.

9 – Um dos temas mais sensíveis e discutidos ao longo deste último ano foram as elevadas coimas previstas no RGPD, e como é que as mesmas seriam aplicadas em Portugal. Ora, o legislador nacional acabou por, em parte, reproduzir o que está previsto no RGPD, embora com umas pequenas nuances. Assim, nas contraordenações muito graves, são previstas coimas específicas para grandes empresas (€. 5000,00 a €. 20.000.000,00 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado), PME’s (€. 2000,00 a €. 2.000.000,00 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado) e pessoas singulares (€. 1000,00 a €. 500.000,00), sendo que nas contraordenações graves o legislador repetiu o mesmo raciocínio, alterando apenas os montantes, ou seja, para grandes empresas (€. 2500,00 a €. 10.000.000,00 ou 2% do volume de negócios anual, a nível mundial. conforme o que for mais elevado), PME’s (€. 1000,00 a €. 1.000.000,00 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado) e pessoas singulares (€. 500,00 a €. 250.000,00).

Ora, numa leitura atenta do RGPD, constatamos que em lado algum há qualquer tipo de diferenciação entre o que se define por grande empresa, PME ou pessoa singular, não existindo, por isso, qualquer tipo de escalões, pelo que veremos, até que ponto, não estaremos perante uma grosseira violação do primado da legislação europeia, e que implicações poderá ter em futuros processos contraordenacionais.

10 – Já no âmbito de aplicação das contraordenações, o legislador volta a fazer uma distinção clara entre as entidades públicas e privadas, isto apesar de começar por afirmar que as coimas previstas no RGPD e na lei de execução aplicam-se, de igual modo, às entidades públicas e privadas. Todavia, logo a seguir, acaba por levantar a possibilidade, mediante pedido formulado e fundamentado junto da CNPD, de isentar as autoridades públicas do pagamento de coimas por um período de 3 anos a contar da entrada em vigor da lei de execução. Resta-nos, pois, esperar para ver qual será a orientação da CNPD para estas situações, sendo que a mesma já afirmou publicamente estar contra esta diferenciação, além de considerar que não estão concretamente definidos os critérios para aplicação dessa isenção.

Em conclusão:

Esta lei, que ainda aguarda promulgação, vem clarificar questões importantes, principalmente a nível laboral, porém, e como já vem sido hábito neste tipo de legislação, não podemos afirmar que se está perante uma lei clara quanto à sua regulação, o que se lamenta tendo em conta o elevado grau de importância que o tema dos dados pessoais comporta.

Contudo, não podemos negar que é um passo, passo esse que tardou e que poderia ter sido mais bem dado. Urge, agora, colocá-lo em prática, implementá-lo e, posteriormente, aperfeiçoá-lo, o que certamente ocorrerá, pedindo-se, para tanto, uma entidade reguladora (CNPD) interventiva, sensibilizadora e, sobretudo, com meios que atualmente escasseiam…

Augusto Almeida Correia | Propriedade Intelectual e Privacidade | PRA Porto | Associado Sénior | augusto.correia@pra.pt