flash news

Proposta de Lei de Execução do Regulamente Geral sobre a Proteção de Dados

Foi aprovada a Proposta de Lei n.º 120/XIII/3.ª que “assegura a execução, na ordem jurídica nacional, do Regulamento (U.E) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados”, adaptando as normas do Regulamento Europeu (RGPD) à realidade nacional.

Por ser um regulamento, o RGPD entrou automaticamente em vigor em todos os países da União Europeia (UE) a 25 de maio de 2018, depois de um período de dois anos de transição.

Porém, o documento prevê que os Estados-membros o adequem à sua realidade, pelo que se impunha a necessidade de criação de uma lei nacional em matérias específicas, como a idade de consentimento para o tratamento de dados ou as coimas a aplicar.

A proposta foi aprovada sendo ainda necessária a promulgação pelo Presidente da República e a publicação em Diário da República.

Vejamos então as principais normas de execução propostas:

• Em matéria de proteção de dados dos menores, apesar do RGPD prever o tratamento a partir dos 16 anos, a proposta de lei aprovada reduz para 13 anos a idade a partir da qual é possível uma pessoa dar o seu consentimento livre, específico, informado e explícito para tratamento de dados pessoais. Note-se que a idade de 13 anos é o mínimo estabelecido no RGPD, acabando por ser a idade adotada por quase metade dos países da UE.

• Embora o documento aprovado não inclua a moratória de seis meses para o cumprimento da legislação pelo sector público, no que diz respeito à possibilidade de aplicação de coimas a entidades públicas, como a aplicada no último ano ao hospital do Barreiro, o diploma prevê uma exceção para a aplicação de coimas ao Estado durante três anos, sendo necessária a autorização da CNPD (Comissão Nacional de Proteção de Dados).

• De entre as principais novidades, destaca-se a “legalização” do tratamento de dados biométricos para controlo de assiduidade dos trabalhadores e o acesso às instalações do empregador.

Além disso, esta lei vem expressamente permitir à entidade patronal a utilização de imagens gravadas em processos disciplinares, apenas quando sejam usadas no âmbito de um processo-crime e esse processo disciplinar vise apurar a responsabilidade do trabalhador pelos factos a ele relativos.

• No que diz respeito à matéria de videovigilância manteve-se a necessidade de avaliação do impacto do tratamento de dados por parte do seu responsável com parecer pelo Encarregado de proteção de dados que, em caso positivo, comunicará à CNPD a necessidade de serem adotadas medidas e orientações caso se mantenha o risco de impacto. Sucede ainda que desaparece a obrigatoriedade de notificação à CNPD para que em determinadas situações a mesma seja chamada à fiscalização.

• Uma das medidas inovadoras de RGPD é a criação da figura do Encarregado de Proteção de Dados.

A função desta nova entidade encontra aplicação no controlo e informação ao responsável pelo tratamento, na averiguação e fiscalização da sua atividade na recolha dos dados assegurando a conformidade com as disposições do RGPD.

A proposta de lei nesta matéria foi ainda mais longe, consagrando, detalhadamente, as funções desta nova figura ao contrário do RGPD que apenas o define em moldes genéricos.

Assim, são funções do encarregado de proteção de dados assegurar a realização de auditorias, sensibilizar os utilizadores para a importância da deteção de incidentes de segurança e a necessidade de informar imediatamente o responsável pela segurança.

Ainda neste âmbito, e sem prejuízo do RGPD definir a designação de um encarregado sempre que o tratamento for efetuado por uma autoridade ou organismo público, a Proposta de Lei identifica como obrigatório a existência e a nomeação pelo dirigente máximo do serviço de um Encarregado de Proteção de Dados em todas as entidades integradas na Administração pública, independentemente da sua natureza.

• A violação das disposições regulamentares transpostas para o Ordenamento Jurídico português é passível de multa.

Pese embora o RGPD preveja um teto máximo em caso de violação e omissão nas disposições aprovadas e desrespeito pelos direitos fundamentais dos titulares dos dados no momento do tratamento, cabe a cada Estado-membro definir os montantes mínimos a aplicar, não podendo, porém, alterar os máximos.

Nos termos da Proposta de Lei, as contraordenações muito graves são punidas com coimas entre:

a. €5.000,00 e € 20.000.000,00 ou 4% do volume de negócios anual a nível mundial, conforme for mais elevado, tratando-se de grande empresa;

b. € 2.000,00 e € 2.000.000,00 ou 4% do volume de negócios anual a nível mundial, conforme for mais elevado, tratando-se de pequenas ou médias empresas; e

c. € 1000,00 e 500.000,00, no caso de pessoas singulares.

Por sua vez, às contraordenações graves é aplicável uma coima entre:

a. €2.500,00 e € 10.000.000,00 ou 2% do volume de negócios anual a nível mundial, conforme for mais elevado, tratando-se de grande empresa;

b. € 1.000,00 e € 1.000.000,00 ou 2% do volume de negócios anual a nível mundial, conforme for mais elevado, tratando-se de pequenas ou médias empresas;

c. € 500,00 e € 250.000,00, no caso de pessoas singulares.

Outros factos importantes:

• A proteção concedida aos dados pessoais das pessoas falecidas é aumentada. Os dados destas são protegidos no âmbito do RGPD e no âmbito deste diploma, quando se trate de categorias especiais de dados, ou quando se reportem à intimidade da vida privada, à imagem ou a dados relativos às comunicações. O exercício dos direitos previstos no RGPD, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a pessoa falecida aja designado para o efeito, ou na sua falta, pelos respetivos herdeiros.

• O direito de portabilidade dos dados, previsto no artigo 20.º do RGPD, abrange apenas os dados fornecidos pelos respetivos titulares e deve, sempre que possível, ter lugar em formato aberto

• Quanto aos direitos consagrados nos artigos 13.º a 15.º do RGPD (direito de informação e de acesso a dados pessoais), a lei nacional esclarece que não podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou ao subcontratante um dever de segredo que seja oponível ao próprio titular dos dados (a CNPD pode ser chamada a emitir parecer quanto à oponibilidade do dever de segredo).

• O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou, na falta desta, o que se revele necessário para a prossecução da finalidade. Assim que a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, cesse, o responsável pelo tratamento deve proceder à sua destruição ou anonimização;

• Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais é punido com pena de prisão até um ano ou com pena de multa até 120 dias. A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD ou quando o acesso for conseguido através de violação de regras técnicas de segurança ou tiver proporcionado ao agente ou a terceiros beneficio ou vantagem patrimonial.

Em suma, a nova lei de proteção de dados é hoje um forte instrumento de regulação que tem em vista a proteção dos direitos fundamentais. Estes mecanismos regulatórios vêm reforçar ainda mais a natureza protecionista da União e das suas políticas entre os seus Estados-Membros, de e fora da União.

O conteúdo desta informação não constitui aconselhamento jurídico e não deve ser invocado nesse sentido. Aconselhamento específico deve ser procurado sobre as circunstâncias concretas do caso. Se tiver alguma dúvida sobre uma questão de direito Português, não hesite em contactar-nos.

Autores
Área de Prática
partilhar
Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email
ÁREA DE PRÁTICA
PARTILHAR
Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email
AuTORES

Contacto