Dados Pessoais – Lei Portuguesa de Execução do RGPD
EA BriefSocietário e Dados Pessoais
21 Agosto, 2019Entraram em vigor no passado dia 9 de Agosto de 2019, os seguintes diplomas: (i) a Lei n.º 58/2019, de 8 de Agosto (“Lei de Execução”), com vista à execução do Regulamento Geral sobre a Proteção de Dados (“RGPD”), e (ii) a Lei n.º 59/2019, de 8 de Agosto (“Lei 59/2019”).
(i) Lei de Execução
Com a Lei de Execução, o legislador nacional veio introduzir algumas novidades e pormenorização relativamente às regras resultantes do RGPD, vigente em Portugal (como no remanescente Espaço Económico Europeu) desde 25 de Maio de 2018.
Para além da revogação da antiga lei de protecção de dados pessoais, a Lei n.º 67/98, de 26 de Outubro (“LPDP”), e da alteração e republicação da lei de organização e funcionamento da Comissão Nacional de Protecção de Dados (“CNPD”), a Lei n.º 43/2004, de 18 de Agosto, a Lei de Execução estabelece o seguinte:
- Esclarece-se ser a CNPD a autoridade de controlo nacional para efeitos de tal lei e do RGPD.
- Atribui-se ao Instituto Português de Acreditação, I.P. (“IPAC, I.P.”) a competência para a acreditação dos organismos de certificação em matéria de protecção de dados.
- Regulam-se certos aspectos do desempenho das funções de Encarregado de Protecção de Dados (“DPO”), não sendo exigível a sua certificação profissional e sobrevivendo o seu dever de sigilo à cessação de funções. Especificam-se ainda algumas competências do DPO, a saber (a) assegurar a realização de auditorias, (b) sensibilizar os utilizadores para questões de segurança e (c) assegurar as relações com os titulares dos dados, bem como é fixada a obrigatoriedade de designação de DPO nas entidades públicas.
- Fixa-se em 13 anos a idade mínima para o consentimento de menores no âmbito de oferta directa de serviços da sociedade da informação, sem a necessidade da intervenção dos titulares das respectivas responsabilidades parentais (note-se que esta regra não é válida quanto aos restantes domínios, nos quais permanece o regime regra da maioridade).
- Especifica-se o âmbito de protecção dos dados pessoais de pessoas falecidas (incluindo dados pessoais de categorias especiais, dados que se reportem à intimidade da vida privada, à imagem ou aos dados relativos às comunicações) e o modo de exercício dos respectivos direitos por quem haja sido designado para o efeito pelo titular dos dados ou, na sua falta, pelos respectivos herdeiros.
- Clarifica-se que o direito de portabilidade apenas abrange os dados fornecidos pelos respectivos titulares e que a portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
- Fixam-se limites aos sistemas de videovigilância para protecção de pessoas e bens, sem prejuízo de outras normas legais sobre a sua utilização, designadamente por motivos de segurança pública; tais limites correspondem, em termos gerais, às condições que já eram impostas pela CNPD na concessão de autorizações ao abrigo da LPDP. Proíbe-se a captação de som, excepto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.
- Limita-se o exercício dos direitos de informação e de acesso a dados pessoais no âmbito do RGPD quando o responsável de tratamento ou subcontratante esteja legalmente obrigado a dever de segredo que seja oponível ao próprio titular dos dados.
- Consagram-se regras específicas para a conservação de dados, sendo limitado o exercício do direito ao apagamento dos dados no âmbito do RGPD nos casos em que existe prazo legalmente fixado para a conservação dos mesmos.
- Aplicam-se limitações à protecção de dados pessoais quando estes sejam tratados para fins jornalísticos, de expressão académica, artística ou literária, de arquivo de interesse público, de investigação científica ou histórica ou estatísticos.
- Clarifica-se o regime da publicação de dados pessoais em jornal oficial e no âmbito da contratação pública.
- Prevê-se um regime diferenciado para a protecção de dados pessoais quando estejam em causa entidades públicas, podendo estas tratar os dados pessoais para finalidades diferentes das que justificaram sua recolha, desde que tal tratamento tenha natureza excepcional e seja devidamente fundamentado em interesse público, bem como se prevê que estas podem, mediante pedido fundamentado, solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da Lei de Execução, pese embora estarem também sujeitas ao regime sancionatório.
- No âmbito das relações laborais, determinam-se as condições em que os dados pessoais podem ser tratados sem o consentimento dos trabalhadores, limita-se a possibilidade de utilização de dados registados através de sistemas de vigilância à distância (incluindo videovigilância) ao processo penal e o tratamento de dados biométricos fica circunscrito ao controlo de assiduidade e de acessos às instalações.
- Disciplinam-se certos aspectos do tratamento de dados de saúde e de dados genéticos, prevendo-se que, em determinados casos (designadamente, para efeitos de medicina preventiva ou do trabalho, diagnóstico médico, prestação de cuidados ou tratamentos de saúde ou de acção social ou a gestão de sistemas e serviços de saúde ou de acção social), o acesso aos dados seja feito exclusivamente de forma electrónica, salvo impossibilidade técnica ou expressa indicação em contrário do titular dos dados. Estabelece-se ainda o dever de notificação ao titular dos dados de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação. Por fim, sujeita-se o tratamento dos dados de saúde e dos dados genéticos a medidas e requisitos técnicos mínimos de segurança que serão objecto de regulamentação por portaria governamental.
- Fixam-se os montantes mínimos das coimas, consoante se trate de infractor pessoa singular, PME ou grande empresa, podendo estas variar entre €500, no caso de contra-ordenações graves praticadas por pessoas singulares, e €20.000.000 ou 4% do volume de negócios a nível mundial, conforme o que for mais elevado, no caso de contra-ordenações muito graves praticadas por grandes empresas. De notar que, excepto em caso de dolo, a instauração de processo de contra-ordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável.
- À semelhança do que já acontecia ao abrigo da LPDP, são ainda tipificados crimes, com penas que podem ascender a 4 anos de prisão ou a multa de 480 dias, a saber (i) utilização de dados de forma incompatível com a finalidade da recolha, (ii) acesso indevido, (iii) desvio de dados, (iv) viciação ou destruição de dados, (v) inserção de dados falsos, (vi) violação do dever de sigilo e (vii) desobediência.
- Por fim, no âmbito das disposições finais e transitórias, a Lei de Execução refere expressamente que quando o tratamento dos dados em curso à data da entrada em vigor da referida lei se basear no consentimento do titular dos dados, não será necessária a obtenção de novo consentimento, desde que o anterior tenha observado as exigências constantes do RGPD.
(ii) Lei 59/2019
Relativamente à Lei 59/2019, que aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, detecção, investigação ou repressão de infracções penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, salienta-se a proibição de decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, excepto quando autorizadas por lei.
A Espanha e Associados criou uma equipa, integrada no departamento de societário, dedicada à assessoria dos clientes no cumprimento das obrigações em matéria de dados pessoais. Por favor contacte-nos caso necessite de informação detalhada sobre estas matérias.