Opinião
A nova lei da execução do RGPD em Portugal
Acerca das coimas, e não obstante a controvérsia gerada a este nível aquando da anterior proposta de lei, o legislador manteve uma clara distinção entre entidades públicas e privadas.
Com mais de um ano de atraso, entrou em vigor no passado dia 9 de agosto a lei nacional de execução do Regulamento (UE) 2016/679 (RGPD) - Lei 58/2019, de 8 de agosto. Na sua maioria, e com exceção da extensão da aplicabilidade desta lei e do próprio RGPD a alguns tipos de tratamentos de dados pessoais de pessoas falecidas (como será o caso dos dados de saúde), este regime não trouxe verdadeiras novidades, vindo sim regular e clarificar algumas matérias relativamente às quais se assistia a alguma incerteza jurídica no que respeita ao entendimento a ser seguido pelas entidades que tratam dados pessoais.
Esse é o caso de matérias como o consentimento de menores - no âmbito da oferta direta de serviços da sociedade de informação, o consentimento será válido a partir dos 13 anos de idade (inclusive).
Relativamente à figura do EPD (encarregado de proteção de dados), chamamos especial atenção para o reforço das suas funções, nomeadamente ao nível da realização de auditorias (periódicas ou não programadas) e do trabalho ao nível da sensibilização para a importância da deteção de incidentes.
A nível laboral, vem clarificar-se não ser o consentimento a condição de legitimidade para o tratamento de dados pessoais necessários à gestão do próprio contrato de trabalho; quanto ao tratamento de dados biométricos, deixarão de existir dúvidas quanto à sua legitimidade para as finalidades de controlo de assiduidade e de acesso a instalações. Por último, vem reforçar que, quanto a sistemas de videovigilância, tais imagens apenas podem ser utilizadas em contexto de processos disciplinares, na medida em que o sejam também a nível penal.
Ainda a respeito da videovigilância, para além dos requisitos legais já aplicáveis, foram destacadas as áreas sobre as quais as câmaras não devem incidir (como vias públicas ou o interior de zonas reservadas a clientes e a trabalhadores), prevendo ainda a proibição de captação de som (exceto em período em que as instalações estejam encerradas ou autorização prévia da CNPD).
Um dos temas que mais controvérsia têm suscitado respeita aos períodos de conservação de dados, sendo que o normativo nacional pouco trouxe de clarificador: a regra será que tal prazo é o que estiver fixado por norma legal ou regulamentar ou, na sua falta, o período necessário para prossecução da finalidade. Sendo o tratamento necessário para efeitos de prova do cumprimento de obrigações, poderão os dados ser conservados até ao termo do prazo prescricional para o exercício de direitos.
Terminamos com uma das matérias mais aguardadas e que respeita às sanções inerentes ao incumprimento das obrigações impostas pelo RGPD e pela Lei 58/2019. Assente que está o tecto máximo já previsto no RGPD (20 mil euros ou 4% do volume de negócios anual, a nível mundial), o legislador nacional veio distinguir as contraordenações muito graves das graves, tendo definido as respetivas coimas mínimas e máximas em razão do sujeito infrator (pessoa singular, PME ou grande empresa). Assim, as contraordenações muito graves serão punidas com coimas mínimas entre os 1.000 euros e os 5.000 euros; já as contraordenações graves serão punidas com coimas mínimas entre os 500 euros e os 2.500 euros.
Acerca das coimas, e não obstante a controvérsia gerada a este nível aquando da anterior proposta de lei, o legislador manteve uma clara distinção entre entidades públicas e privadas (abre assim portas a, durante o período de três anos, e desde que autorizado pela CNPD, as entidades públicas fiquem isentas do pagamento de coimas).
Em face da relevância que, cada vez mais, os titulares dão à privacidade dos seus dados e às consequências do incumprimento dos normativos comunitário e nacional suprarreferidos, mostra-se essencial a sua estrita observância por todas as entidades que tratem dados pessoais.
Esse é o caso de matérias como o consentimento de menores - no âmbito da oferta direta de serviços da sociedade de informação, o consentimento será válido a partir dos 13 anos de idade (inclusive).
A nível laboral, vem clarificar-se não ser o consentimento a condição de legitimidade para o tratamento de dados pessoais necessários à gestão do próprio contrato de trabalho; quanto ao tratamento de dados biométricos, deixarão de existir dúvidas quanto à sua legitimidade para as finalidades de controlo de assiduidade e de acesso a instalações. Por último, vem reforçar que, quanto a sistemas de videovigilância, tais imagens apenas podem ser utilizadas em contexto de processos disciplinares, na medida em que o sejam também a nível penal.
Ainda a respeito da videovigilância, para além dos requisitos legais já aplicáveis, foram destacadas as áreas sobre as quais as câmaras não devem incidir (como vias públicas ou o interior de zonas reservadas a clientes e a trabalhadores), prevendo ainda a proibição de captação de som (exceto em período em que as instalações estejam encerradas ou autorização prévia da CNPD).
Um dos temas que mais controvérsia têm suscitado respeita aos períodos de conservação de dados, sendo que o normativo nacional pouco trouxe de clarificador: a regra será que tal prazo é o que estiver fixado por norma legal ou regulamentar ou, na sua falta, o período necessário para prossecução da finalidade. Sendo o tratamento necessário para efeitos de prova do cumprimento de obrigações, poderão os dados ser conservados até ao termo do prazo prescricional para o exercício de direitos.
Terminamos com uma das matérias mais aguardadas e que respeita às sanções inerentes ao incumprimento das obrigações impostas pelo RGPD e pela Lei 58/2019. Assente que está o tecto máximo já previsto no RGPD (20 mil euros ou 4% do volume de negócios anual, a nível mundial), o legislador nacional veio distinguir as contraordenações muito graves das graves, tendo definido as respetivas coimas mínimas e máximas em razão do sujeito infrator (pessoa singular, PME ou grande empresa). Assim, as contraordenações muito graves serão punidas com coimas mínimas entre os 1.000 euros e os 5.000 euros; já as contraordenações graves serão punidas com coimas mínimas entre os 500 euros e os 2.500 euros.
Acerca das coimas, e não obstante a controvérsia gerada a este nível aquando da anterior proposta de lei, o legislador manteve uma clara distinção entre entidades públicas e privadas (abre assim portas a, durante o período de três anos, e desde que autorizado pela CNPD, as entidades públicas fiquem isentas do pagamento de coimas).
Em face da relevância que, cada vez mais, os titulares dão à privacidade dos seus dados e às consequências do incumprimento dos normativos comunitário e nacional suprarreferidos, mostra-se essencial a sua estrita observância por todas as entidades que tratem dados pessoais.
Mais artigos do Autor
