
Deliberação 2019/494, Posição da CNPD Perante a lei n.º 58/2019
EA BriefSocietário e Dados Pessoais
04 Outubro, 2019No passado dia 3 de Setembro de 2019, foi aprovada, em sede de reunião da Comissão Nacional de Protecção de Dados («CNPD»), a Deliberação 2019/494, a qual define o entendimento desta entidade reguladora perante algumas das normas da Lei n.º 58/2019, de 28 de Agosto (lei que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de Abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados («RGPD»)).
Neste âmbito, a CNPD deliberou:
- Fixar o entendimento de que determinadas normas desta lei são manifestamente incompatíveis com o direito da União, centrando, nesta deliberação, a atenção sobre aquelas disposições que, pela sua relevância e frequência de aplicação, suscitam a premência da adopção formal de tal entendimento.
- Com fundamento no princípio do primado do direito da União Europeia e, nos demais argumentos que expõe na deliberação, desaplicar essas mesmas normas em casos futuros que venha a apreciar relativamente ao tratamento de dados e às condutas dos respectivos responsáveis ou subcontratantes.
Assim, à luz da Deliberação 2019/494, a CNPD considera desaplicar, nos casos que venha futuramente a apreciar, os seguintes artigos da Lei n.º 58/2019:
- Artigo 2.º, n.º 1 e n.º 2, onde é estabelecido o âmbito de aplicação da Lei. Segundo a CNPD, esta norma compromete a aplicação das normas procedimentais e de distribuição de competência entre as autoridades nacionais de controlo, sempre que esteja em causa um tratamento transfronteiriço.
- Artigo 20.º, n.º 1, o qual estabelece a restrição dos direitos de informação e acesso no caso de um dever de segredo oponível ao titular. Entende a CNPD que o respectivo conteúdo ultrapassa os limites que poderão ser colocados aos direitos de informação e acesso dos titulares tal como estes estão dispostos no RGPD e que qualquer limitação legal ao exercício de direitos, em particular ao exercício de um direito fundamental como o direito de acesso, nunca poderá resultar do teor de uma norma genérica como a do artigo 20.º, n.º1.
- Artigo 23.º, o qual se reporta ao tratamento de dados pessoais por parte de entidades públicas e possibilidade de transferência interentidades públicas para finalidades diferentes das que justificaram a recolha dos dados. Neste ponto, A CNPD considera que o interesse público, definido de tal forma lata, não pode suplantar os direitos dos titulares, não podendo ser alargado de tal forma que perca a sua caracterização inerente. Ademais, a CNPD considera que o artigo em causa contraria o princípio da finalidade, consagrado no artigo 5º do RGPD.
- Artigo 28.º, n.º 3, alínea a), o qual estabelece que, salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador. Considera a CNPD que se trata de uma limitação excessivamente restritiva do consentimento do trabalhador, que não assegura a dignidade e os direitos fundamentais dos trabalhadores.
- Artigo 37.º, n.º 1, alínea a), o qual determina que constituem contra-ordenações muito graves os tratamentos de dados com inobservância dolosa dos princípios consagrados no artigo 5.º do RGPD. A CNPD entende que o RGPD não distingue entre o incumprimento doloso e negligente destes princípios, devendo ser puníveis todas as situações de incumprimento, sejam dolosas ou negligentes.
- Artigos 37.º, n.º 1, alínea h) e 38.º, n.º 1, alínea b), onde se determina que constitui contra-ordenação muito grave a não prestação de informação relevante nos termos dos artigos 13.º e 14.º do RGPD e contra-ordenação grave a não prestação da restante informação prevista nos referidos artigos. A CNPD esclarece que o RGPD não faz qualquer distinção entre a informação relevante e a demais, devendo ser puníveis como contra-ordenações muito graves todas as situações de falta de cumprimento dos deveres de informação previstos nos artigos 13.º e 14.º do RGPD.
- Artigo 37.º, n.º 1, alínea k), o qual determina que constitui contra-ordenação muito grave a recusa de colaboração com a CNPD, quando, nos termos do RGPD, é prevista uma moldura contra-ordenacional menos gravosa.
- Artigos 37.º, n.º 2 e 38.º, n.º 2, que estabelecem diferentes molduras contra-ordenacionais em função da dimensão e da natureza jurídica do agente. Declara a CNPD que o RGPD não faz qualquer diferenciação, pelo que o legislador português não pode afastar os limites máximos contra-ordenacionais estabelecidos pelo RGPD.
- Artigo 39.º, n.º 1, o qual estabelece critérios para determinação do montante concreto das coimas. Entende a CNPD que os mesmos extravasam o disposto no RGPD.
- Artigo 39.º, n.º 3, o qual determina que, excepto em caso de dolo, a instauração de processo contra-ordenacional depende de prévia advertência do agente. Esclarece a CNPD que a previsão de um regime especial para as condutas praticadas com negligência não é compatível com o RGPD.
- Artigo 61.º, n.º 2, que prescreve que «caso a caducidade do consentimento seja motivo de cessação de contrato em que o titular dos dados seja parte, o tratamento dos dados é lícito até que esta ocorra.» A CNPD refere que esta norma é incongruente, confundindo dois tipos de fundamento de licitude, o consentimento e a execução de contrato. O contrato no qual o titular dos dados é parte é suficiente para fundamentar o tratamento dos dados necessários à sua execução.
Artigo 62.º, n.º 2, o qual determina a aplicação retroactiva (a 25 de Maio de 2016) da não vigência das normas que prevejam autorizações ou notificações de tratamentos de dados à CNPD. A CNPD esclarece que o RGPD só se tornou aplicável a partir de 25 de Maio de 2018.