Opinião
Compasso de espera
O quadro sancionatório irá aplicar-se tanto a entidade privadas como a públicas, podendo estas solicitar à CNPD a dispensa de aplicação de coimas durante um prazo de três anos.
- 1
- ...
Mais um compasso de espera. A promessa era de que a Lei de Execução Nacional do Regulamento Geral de Proteção de Dados (RGPD) seria aprovada antes de 25 de maio de 2019. Chegaria com um ano de atraso, no entanto, teríamos um novo nível de segurança jurídica e a maioria das entidades públicas começaria a preparar-se para as primeiras fases do processo de compliance. Algo iria mexer, por pouco que fosse, existiria um sinal por parte do Estado.
Volvido um ano desde a sua aplicação plena, e continuando Portugal como um dos países que ainda tardam na promulgação da Lei nacional de execução do RGPD, importa hoje percebermos em que ponto nos situamos no cumprimento desta normativa europeia. O facto novo é que temos já acesso às alterações mais relevantes que a Lei Nacional virá introduzir, plasmadas nos documentos publicados no website da Assembleia da República. Acrescendo a este, é sabido que o Regulamento Comunitário tem aplicação direta e imediata no ordenamento jurídico dos estados membros. O que faltará, então, para as instituições implementarem o estatuído?
Foquemo-nos em alguns pontos daquela que se prevê ser a futura lei nacional de execução da normativa europeia. No campo laboral, o tratamento de dados biométricos apenas e só será considerado legal para controlo de assiduidade e acessos às instalações do empregador. Deverá, ainda assim, existir sempre a garantia de que sejam utilizadas apenas representações dos dados biométricos e que a recolha dos mesmos não permita a sua reversibilidade.
No contexto contraordenacional, prevê-se um conjunto de critérios que a CNPD terá em conta na determinação da medida da coima a aplicar, entre os quais a situação económica do agente, a dimensão da entidade ou o caráter continuado da infração. O quadro sancionatório irá aplicar-se tanto a entidade privadas como a públicas, podendo estas, mediante pedido fundamentado, solicitar à CNPD a dispensa de aplicação de coimas durante um prazo de três anos a contar da data de entrada em vigor da lei. Fica desde já aguçada a curiosidade para ver quantas entidades públicas o farão e quais as decisões tomadas pela CNPD, que já se manifestou contra a isenção.
No campo penal, a proposta atual determina que tanto a utilização de dados pessoais de forma incompatível com a finalidade determinante como o acesso não autorizado ou justificado passarão a ser punidos com pena de prisão até um ano ou multa até 120 dias, sendo a pena agravada para o dobro sempre que se tratar de categorias especiais de dados pessoais ou dados pessoais relacionados com condenações penais e infrações. São ainda contemplados agravamentos noutras situações, como a violação de regras técnicas de segurança ou quando o acesso tenha proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
Consta também que os Encarregados de Proteção de Dados não necessitarão de certificação profissional. Esta opção apresenta-se desde logo polémica, por múltiplas razões: desde o perfil complexo que o próprio RGPD prevê, ao exercício de funções da maior relevância destes profissionais no seio das organizações, públicas e privadas, passando pelo especial agravamento em sede penal a que o Encarregado da Proteção de Dados está sujeito, em caso de incumprimento do quadro funcional.
Dadas estas e outras regras previstas pela proposta, o que poderemos, afinal, esperar da nova e tão aguardada lei? Independentemente dos pontos mais e menos discutíveis assentes na proposta, a lei vindoura virá, acima de tudo, contribuir para o processo essencial que é a consciencialização coletiva no que concerne à proteção de dados pessoais pelas organizações, com a implementação de medidas técnicas e organizativas e o fomento de uma cultura real de privacidade e de segurança da informação. Isto porque um regulamento europeu não é ainda percebido como sendo obrigatório, apesar de o ser. Uma lei nacional, por sua vez, é já percebida enquanto sinónimo de normas coercivas e sanções reais.
Este deverá ser um caminho sem retorno, pois mais e melhor privacidade é precisa. Mais e melhor proteção de dados tem de ser exigida. Mais e melhor segurança da informação, pública e privada, coletiva e pessoal, é, já hoje, um imperativo de soberania e de respeito pelos direitos de todos os cidadãos e cidadãs.
Este artigo foi redigido ao abrigo do novo acordo ortográfico.
Volvido um ano desde a sua aplicação plena, e continuando Portugal como um dos países que ainda tardam na promulgação da Lei nacional de execução do RGPD, importa hoje percebermos em que ponto nos situamos no cumprimento desta normativa europeia. O facto novo é que temos já acesso às alterações mais relevantes que a Lei Nacional virá introduzir, plasmadas nos documentos publicados no website da Assembleia da República. Acrescendo a este, é sabido que o Regulamento Comunitário tem aplicação direta e imediata no ordenamento jurídico dos estados membros. O que faltará, então, para as instituições implementarem o estatuído?
No contexto contraordenacional, prevê-se um conjunto de critérios que a CNPD terá em conta na determinação da medida da coima a aplicar, entre os quais a situação económica do agente, a dimensão da entidade ou o caráter continuado da infração. O quadro sancionatório irá aplicar-se tanto a entidade privadas como a públicas, podendo estas, mediante pedido fundamentado, solicitar à CNPD a dispensa de aplicação de coimas durante um prazo de três anos a contar da data de entrada em vigor da lei. Fica desde já aguçada a curiosidade para ver quantas entidades públicas o farão e quais as decisões tomadas pela CNPD, que já se manifestou contra a isenção.
No campo penal, a proposta atual determina que tanto a utilização de dados pessoais de forma incompatível com a finalidade determinante como o acesso não autorizado ou justificado passarão a ser punidos com pena de prisão até um ano ou multa até 120 dias, sendo a pena agravada para o dobro sempre que se tratar de categorias especiais de dados pessoais ou dados pessoais relacionados com condenações penais e infrações. São ainda contemplados agravamentos noutras situações, como a violação de regras técnicas de segurança ou quando o acesso tenha proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.
Consta também que os Encarregados de Proteção de Dados não necessitarão de certificação profissional. Esta opção apresenta-se desde logo polémica, por múltiplas razões: desde o perfil complexo que o próprio RGPD prevê, ao exercício de funções da maior relevância destes profissionais no seio das organizações, públicas e privadas, passando pelo especial agravamento em sede penal a que o Encarregado da Proteção de Dados está sujeito, em caso de incumprimento do quadro funcional.
Dadas estas e outras regras previstas pela proposta, o que poderemos, afinal, esperar da nova e tão aguardada lei? Independentemente dos pontos mais e menos discutíveis assentes na proposta, a lei vindoura virá, acima de tudo, contribuir para o processo essencial que é a consciencialização coletiva no que concerne à proteção de dados pessoais pelas organizações, com a implementação de medidas técnicas e organizativas e o fomento de uma cultura real de privacidade e de segurança da informação. Isto porque um regulamento europeu não é ainda percebido como sendo obrigatório, apesar de o ser. Uma lei nacional, por sua vez, é já percebida enquanto sinónimo de normas coercivas e sanções reais.
Este deverá ser um caminho sem retorno, pois mais e melhor privacidade é precisa. Mais e melhor proteção de dados tem de ser exigida. Mais e melhor segurança da informação, pública e privada, coletiva e pessoal, é, já hoje, um imperativo de soberania e de respeito pelos direitos de todos os cidadãos e cidadãs.
Este artigo foi redigido ao abrigo do novo acordo ortográfico.
Mais artigos do Autor
Dever cívico? Quem o determina?
10.09.2020
Compasso de espera
23.05.2019
Direito ao esquecimento visto à luz do RGPD
01.03.2018
