Regulamento Geral sobre a Proteção de Dados (RGPD)

Lei n.º 58/2019, de 8 de agosto

Lei de execução do Regulamento (UE) 2016/679 em Portugal

Decorridos mais de três anos sobre a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (maio de 2016) e mais de um ano sobre a data da sua aplicação (maio de 2018), foi, finalmente, publicada a lei que assegura a execução na ordem jurídica nacional do Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados): Lei n.º 58/2019 de 8 de agosto.

O diploma entra hoje, 9 de agosto, em vigor.

Destacamos as principais novidades desta lei:

A. DESIGNAÇÃO DA CNPD : AUTORIDADE DE CONTROLO NACIONAL

A Comissão Nacional de Proteção de Dados (CNPD) é designada como autoridade de controlo nacional para efeitos do RGPD e da lei.

A lei introduz alterações à lei de organização e funcionamento da CNPD (e procede à sua republicação) e prevê novas atribuições além das que estão estabelecidas no artigo 57.º do RGPD.

B. ENCARREGADO DA PROTEÇÃO DE DADOS : OBRIGATÓRIO PARA ENTIDADES PÚBLICAS

De forma a cumprir com o estabelecido no artigo 37.º do RGPD, a lei esclarece quais as entidades públicas obrigadas a nomear um Encarregado da Proteção de Dados:

  • Estado
  • Regiões autónomas (Açores e Madeira)
  • Autarquias locais e as entidades supramunicipais previstas na lei
  • Entidades administrativas independentes
  • Banco de Portugal
  • Institutos públicos
  • Instituições de ensino superior públicas
  • Empresas do setor empresarial do Estado e dos setores empresariais regionais e locais
  • Associações públicas.

C. ENCARREGADO DA PROTEÇÃO DE DADOS OBRIGATÓRIO PARA ALGUMAS ENTIDADES PRIVADAS

Estipula que é obrigatória nomear um Encarregado da Proteção de Dados quando a atividade privada desenvolvida, a título principal, implicar tratamentos que exijam um controlo regular e sistemático dos titulares dos dados em grande escala ou tratamentos, em grande, escala das categorias especiais de dados nos termos do artigo 9.º do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do artigo 10.º daquele regulamento.

D. ENCARREGADO DA PROTEÇÃO DE DADOS DISPENSA DE CERTIFICAÇÃO PROFISSIONAL

Esclarece que o exercício das funções de encarregado da proteção de dados não carece de certificação profissional e reforça que, independentemente da natureza da sua relação jurídica com o responsável pelo tratamento de dados, aquele mantém autonomia técnica.

E. CERTIFICAÇÃO : INSTITUTO PORTUGUÊS DE ACREDITAÇÃO

Determina-se que o Instituto Português de Acreditação (IPAC, I.P.) é a autoridade competente para a acreditação dos organismos de certificação em matéria de proteção de dados, conforme exigido no artigo 43.º do RGPD.

A acreditação dos organismos de certificação pelo IPAC tem de ter em consideração os requisitos previstos no RGPD e os requisitos adicionais estabelecidos pela CNPD. Estes organismos irão proceder à certificação das entidades cujos procedimentos implementados cumprem o disposto no RGPD e no diploma legal ora aprovado.

F. CONSENTIMENTO DE MENORES : SERVIÇOS DA SOCIEDADE DE INFORMAÇÃO

O consentimento prestado por menores no que respeita à oferta direta de serviços da sociedade da informação é lícito se os menores tiverem, pelo menos, 13 anos.

Caso o menor tenha menos de 13 anos, o tratamento só é lícito se o consentimento for dado pelos titulares das responsabilidades parentais, com recurso a meios de autenticação segura.

G. VIDEOVIGILÂNCIA : AUTORIZAÇÃO PRÉVIA DA CNPD PARA CAPTAÇÃO DE SOM

Determina-se a proibição de captação de som por parte de câmaras de videovigilância, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.

H. DADOS PARA A SEGURANÇA SOCIAL : PRAZOS DE CONSERVAÇÃO

Determina-se a possibilidade de conservação sem limite de prazo de dados relacionados com as declarações contributivas para a segurança social para efeitos de aposentação ou reforma.

I. ENTIDADES PÚBLICAS : EXCECIONAL TRATAMENTO DE DADOS PESSOAIS PARA FINALIDADES DIFERENTES

Permite, a título excecional:

  • O tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas pela recolha. O fundamento para o tratamento deve residir na prossecução do interesse público que de outra forma não possa ser acautelado; e
  • A transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas pela recolha. O tratamento deve ser objeto de protocolo que estabeleça as responsabilidades de cada entidade interveniente, quer no ato de transmissão, quer em outros tratamentos a efetuar.

J. ACESSO A DOCUMENTOS ADMINISTRATIVOS APLICAÇÃO DE DIPLOMA PRÓPRIO

O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na Lei n.º 26/2016, de 22 de agosto, que aprova o regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos, que foi, pontualmente, alterada por esta nova lei.

K. SAÚDE E GENÉTICA TRATAMENTO DE DADOS

Estabelece-se que o tratamento de dados de saúde e de dados genéticos deve reger-se pelo princípio da necessidade de conhecer a informação, sendo o responsável pelo tratamento dos dados obrigado a notificar o titular dos dados de qualquer acesso aos seus dados pessoais, o que significa que terá necessariamente de implementar um mecanismo de rastreabilidade e de notificação.

L. PESSOAS FALECIDAS : PROTEÇÃO DE DADOS PESSOAIS

Estabelece-se que os dados pessoais de pessoas falecidas que integrem as categorias especiais de dados pessoais, de acordo com o disposto no artigo 9.º do RGPD, serão também objeto de proteção.

M. RELAÇÕES LABORAIS : DADOS DOS TRABALHADORES

São estabelecidas regras específicas relativas ao tratamento de dados dos trabalhadores no âmbito de relações laborais, em especial, relativamente às seguintes matérias:

  • Consentimento do trabalhador: não é lícito se do tratamento resultar vantagem jurídica ou económica para o trabalhador.
  • Sistemas de videovigilância: só podem ser utilizadas imagens de vigilância à distância em processo disciplinar se tiverem sido previamente utilizadas em processo penal.
  • Dados Biométricos: o tratamento só é considerado lícito para controlo de assiduidade e para controlo de acessos às instalações.

N. TUTELA JURISDICIONAL TRIBUNAIS ADMINISTRATIVOS

Estipula que são os tribunais administrativos que têm competência para decidir as ações propostas contra a CNPD.

O. ENTIDADES PÚBLICAS : DISPENSA DE APLICAÇÃO DE COIMAS

Determina-se a possibilidade de dispensa de aplicação de coimas pelo prazo de três anos a contar da entrada em vigor da lei, mediante pedido fundamentado à CNPD. A previsão legal desta prerrogativa deve ser objeto de reavaliação três anos após a data de 9 de agosto.

Todas as demais regras, incluindo os poderes de correção previstos no RGPD, serão aplicáveis às entidades públicas.

P. CONTRAORDENAÇÕES : ADVERTÊNCIA PRÉVIA PARA CUMPRIMENTO

Relativamente aos processos de contraordenação, estabelece-se que, exceto em casos de dolo, a instauração de processo de contraordenação depende sempre da advertência prévia da CNPD ao infrator para que, num prazo razoável, possa cumprir a obrigação omitida ou para que reintegre a proibição violada.

Prevê contraordenações adicionais àquelas previstas no RGPD.

Os limites mínimos e máximos das coimas previstas para a prática de contraordenações graves e muito graves variam consoante o tipo de infrator:

  • Grandes empresas (o limite máximo tem correspondência com o valor estipulado no RGPD);
  • Pequenas e médias empresas (o limite máximo tem correspondência com o valor estipulado no RGPD);
  • Pessoas singulares.

 Estipula como regime subsidiário o disposto no regime geral do ilícito de mera ordenação social.

Q. CRIMES POUCAS ALTERAÇÕES

Tipifica crimes em matéria de dados pessoais: a utilização de dados incompatível com a finalidade da recolha; acesso indevido; desvio de dados; viciação ou destruição de dados; inserção de dados falsos; violação do dever de sigilo; desobediência.

As molduras penais, bem como os tipos de crimes, são semelhantes aos previstos na Lei n.º 67/98, de 26 de outubro (LPDP), exceto o crime de violação do dever de sigilo profissional, cujo limite máximo é reduzido para metade.

A tentativa é sempre punível.

R. REVOGAÇÃO : LEI N.º 67/98, DE 26 DE OUTUBRO (LPDP)

É revogada a Lei n.º 67/98, de 26 de outubro (LPDP), que transpôs para a ordem jurídica portuguesa a Diretiva 95/45/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção de pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados.

Conhecimento