Foram aprovadas em agosto duas novas leis sobre o Regulamento Geral de Proteção de Dados (RGPD): Lei n.º 58/2019 e a Lei n.º 59/2019.
A Lei n.º 58/2019 assegura a proteção das pessoas singulares no tratamento dos seus dados pessoais e a livre circulação desses dados, enquanto que a Lei n.º 59/2019 aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais. Apesar de tudo, a lei não se aplica aos dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informações da República Portuguesa.
Os novos diplomas atribuem competências que visam esclarecer a responsabilidade de cada entidade e organismo envolvido e dá a conhecer os patamares das coimas por incumprimento. Reduzimos o conteúdo dos diplomas em pequenas perguntas e respostas para assim partilhamos o “essencial” para a gestão da sua empresa:
O que é e o que compete à Comissão Nacional de Proteção de Dados (CNPD)?
A CNPD é a autoridade pública independente que controla a aplicação da legislação relativa à proteção de dados, funciona junto da Assembleia da República e é presidida por Filipa Calvão desde 2012, que entre outras, tem a competência de aplicar coimas e homologar deliberações.
A recente lei atribui à CNPD uma voz ativa, mas não vinculativa, nas medidas legislativas e regulamentares, a fiscalização do cumprimento do RGDP, a avaliação do impacto sobre a proteção de dados, o dever de cooperar com o Instituto Português de Acreditação na acreditação dos organismos de certificação em matéria de proteção de dados e apresentar ao Comité Europeu os critérios para a acreditação dos organismos.
Por sua vez, a partir de 1 de janeiro de 2020, a CNPD será fiscalizada por um revisor oficial de contas, designado pela Assembleia da República, responsável pelo controlo da legalidade, da regularidade e da boa gestão financeira e patrimonial da CNPD.
O que é e o que compete ao Encarregado de proteção de dados?
O encarregado de proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas. Mas diz a atual lei portuguesa que não carece de certificação profissional para o efeito.
O encarregado de proteção de dados tem de exercer a sua função com autonomia técnica e a ele compete assegurar a realização de auditorias periódicas ou esporádicas, sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a respetiva necessidade de informar imediatamente o responsável pela segurança.
Qual é o valor das coimas por incumprimento?
| Tipo de empresa | |||
| Contraordenações | Grande empresa | PME | Pessoas singulares |
| Muito graves ex.: tratamentos de dados pessoais que não tenham por base o consentimento ou outra condição de legitimidade, etc. |
De 5000 €
a 20 000 000 € (ou 4 % do volume de negócios anual se for mais elevado) |
De 2000 €
a 2 000 000 € (ou 4 % do volume de negócios anual se for mais elevado) |
De 1000 €
a 500 000 € |
| Graves ex.: não facultar informações quando os dados pessoais são recolhidos junto do titular; consentimento de crianças, etc. |
De 2500 €
a 10 000 000 € (ou 2 % do volume de negócios anual se for mais elevado) |
De 1000 €
a 1 000 000 € (ou 2 % do volume de negócios anual se for mais elevado) |
De 500 €
a 250 000 € |
Como nota de rodapé parece importante frisar que o montante das coimas cobradas reverte em 60% para o Estado e em 40 % para a CNPD.
Quais são as disposições especiais na nova lei em vigor?
Se tem videovigilância na sua empresa, salvo disposições legais específicas, esta não pode incidir sobre vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável. Outras das curiosidades é que o regulamento europeu define os 16 anos como a idade máxima a partir da qual seria legítimo consentir o tratamento de dados pessoais, no entanto, a lei portuguesa fixou os 13 anos como idade a partir da qual tal pode ocorrer. Por fim, salientamos que a lei prevê que a portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
Quais os crimes previstos na nova lei em vigor?
A Lei n.º 59/2019 prevê a responsabilidade das pessoas coletivas e entidades equiparadas, com exceção do Estado, dos crimes previstos na secção II da mesma lei. Nesta secção são identificados vários tipos de crimes em torno da proteção de dados: desvio ou acesso indevido aos dados, utilização de dados de forma incompatível com a finalidade da recolha, interconexão ilegal de dados, viciação ou destruição de dados, violação do dever de sigilo, inserção de dados falsos com a intenção de obter vantagem indevida, entre outros. A pena de prisão pode ir até 2 anos.
Como entidade privada qual é o meu dever se surgir uma fiscalização da CNPD?
As entidades privadas devem prestar a sua colaboração à CNPD, facultando-lhe todas as informações que lhes sejam solicitadas, mesmo que isso signifique o examinar do sistema informático e dos ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.
O mesmo se aplica às entidades públicas só que nestes casos a aplicabilidade de coimas poderá ser dispensada, mesmo nos casos que se identifique uma eventual prática contraordenacional, conforme disposto no artigo n.º 59 da Lei 58/2019.
Dispensa de aplicação de coimas às entidades públicas – verdade ou mito?
A legislação aprovada prevê que a possibilidade da não aplicabilidade de coimas às entidades públicas deve ser objeto de reavaliação três anos após a entrada em vigor da nova lei, ou seja, após 9 de agosto de 2019. É com este argumento que várias entidades publicas solicitaram à CNPD dispensa de aplicação de coimas durante 3 anos. Contudo, a CNPD aprovou uma deliberação interpretativa precisamente sobre a dispensa de aplicação de coimas às entidades públicas, considerando “que só é possível requerer essa dispensa fundamentada após acusação da prática de um ilícito contraordenacional. A decisão da CNPD terá em conta o caso concreto, ponderados todos os interesses e direitos aí em presença”.
RGPD no dia-a-dia
Fique a par de algumas normas que tem de ter em conta no seu dia-a-dia de trabalho, de acordo com o RGPD.
:: Este artigo não dispensa a leitura da legislação na íntegra.
Próxima leitura recomendada
Prestação de contas: penalidades comerciais e penais por eventuais incumprimentos
Receba a newsletter Sage Advice
Inscreva-se para receber o boletim do Sage Advice e receba os conselhos mais recentes diretamente no seu e-mail.
