Aprovada a Lei de Execução do RGPD

Volvidos 3 anos da publicação do Regulamento Geral de Proteção de Dados e 1 ano a sua produção plena de efeitos, foi aprovada a Lei de Execução do RGPD. Tem como objectivo clarificar o documento europeu e legislar nas matérias em que o RGPD é omisso ou liberta essa margem aos Estados-Membros. Conheça as principais novidades.

CONSENTIMENTO

• Mantém-se a idade de 13 anos como a mínima para a obtenção de um consentimento válido quanto à oferta directa de serviços da sociedade de informação.
• Fica preenchido o vazio legal que irremediavelmente conduzia à obtenção de consentimento para o tratamento de dados biométricos no âmbito das relações laborais. A nova lei vem pôr um final na discussão quanto à concreta base de licitude a ter em conta. Fica agora definido que o consentimento não é necessário sempre que o tratamento de dados pessoais tenha por finalidade o controlo de assiduidade e controlo de acessos às instalações do empregador. Fundamentando-se desse modo, deverá entender-se que estamos perante um interesse legítimo do empregador.
• Contudo, é expressamente definido que, na prossecução dessa finalidade, apenas poderão ser utilizadas representações dos dados biométricos, devendo assegurar-se que o respectivo processo de recolha não permita a reversibilidade dos referidos dados.
• No que toca ao tratamento de dados para fins de investigação científica, estabelece-se que o consentimento poderá abranger diversas áreas de investigação ou, em alternativa, ser prestado unicamente para determinados domínios/projectos de investigação específicos.

ENCARREGADO DE PROTECÇÃO DE DADOS (EDP/DPO)

Quanto ao encarregado de protecção de dados, permanece a obrigatoriedade para as entidades públicas quanto à sua designação, densificando-se organizações sujeitas a tal obrigação:

• freguesias com mais de 750 habitantes;
• instituições de ensino superior público; e
• sector empresarial do estado.

No que respeita às entidades privadas, nada se densificou, mantendo-se assim os critérios algo vaogs e abstractos já definidos no Regulamento.
A nova lei prevê ainda um dever de sigilo profissional relativamente o exercício das respectivas funções que se prolongará além do termos das mesmas.

VIDEOVIGILÂNCIA

Estabeleceu-se legalmente quais os limites e princípios a ter em conta na instalação de câmaras de videovigilância, definindo-se que não podem incidir sobre:

1. Vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
2. A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
3. O interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade, designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
4. O interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afectas ao seu descanso.

Ainda no âmbito dos circuitos de videovigilância, fica expressamente previsto que nos estabelecimentos de ensino as câmaras só podem incidir sobre os perímetros externos, locais de acesso, e espaços cujos bens e equipamentos requeiram especial protecção, como laboratórios ou salas de informática.
A captação de som é expressamente proibida, exceptuando-se os períodos em que as instalações estejam encerradas. Em situações específicas, a captação de som poderá também ser autorizada pela CNPD.

TUTELA ADMINISTRATIVA E JURISDICIONAL

Quanto a esta matéria a Lei não traz grandes novidades. Mantém-se os vários níveis de responsabilidade e de defesa (por queixa à CNPD, por via administrativa, por via judicial e a existência de responsabilidade civil no tratamento ilícito de dados).

Ainda assim, surge no Artigo 35.º da lei uma novidade, em que sem prejuízo das leis relativas ao patrocínio judiciário, o titular dos dados tem o direito de mandatar um organismo, uma organização ou uma associação sem fins lucrativos constituída em conformidade com o direito nacional, cujos fins estatutários sejam de interesse público e cuja atividade abranja a defesa dos direitos, liberdades e garantias do titular dos dados quanto à proteção de dados pessoais para, em seu nome apresentar reclamação CNPD ou intentar um ação.

CONTRAORDENAÇÕES

No plano contraordenacional, alteram-se tanto os limites mínimos definidos na LPD de 1998, como máximos previstos no RGPD. Se quanto aos primeiros era presumível que assim fosse, quanto aos segundos a decisão do legislador é de legalidade duvidosa, porquanto não é dada essa liberdade aos Estados-Membro no Regulamento.

Segundo a Lei, as contraordenações graves serão punidas com coima de:
a) De € 2500 a € 10 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De € 1000 a € 1 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) De € 500 a € 250 000, no caso de pessoas singulares.

As contraordenações muito graves serão punidas com coima:
a) De € 5000 a € 20 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) De € 2000 a € 2 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) De € 1000 a € 500 000, no caso de pessoas singulares.

Prazo de prescrição do procedimento de contraordenação (sem prejuízo das regras do RGCO):
a) 3 anos – Contraordenações muito graves;
b) 2 anos – Contraordenação grave.

Prazo de prescrição das coimas (sem prejuízo das regras do RGCO):
a) 3 anos – Coimas de montante superior a € 100 000;
b) 2 anos – Coimas de montante igual ou inferior a € 100 000.

Quanto à aplicação de coimas às entidades públicas, estas poderão mediante pedido devidamente fundamentado, solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de 3 (três) anos a contar da data de entrada em vigor da Lei. Esta norma será, em princípio, alvo de reavaliação três anos após a entrada em vigor.

Uma vez mais, tenderemos a discordar da opção legislativa que pugna por um tratamento desigual das organizações que deveriam ter no plano de contraordenacional idêntico tratamento, conforme têm no plano regulatório.

CRIMES

No plano criminal, realça-se que em certos casos o tratamento ilícito de dados poderá consubstanciar a prática de crimes, nomeadamente:

• Utilização de dados de forma incompatível com a finalidade da recolha;
• Acesso indevido;
• Desvio de dados;
• Viciação ou destruição de dados;
• Inserção de dados falsos;
• Violação do dever de sigilo;
• Desobediência.

Em qualquer dos casos, a tentativa é sempre punível. Caso constitua simultaneamente crime e contra-ordenação, o agente será sempre punido no plano criminal. Além das sanções aplicadas pode ainda haver lugar à determinação de sanções acessórias, como será, por exemplo, a publicidade da condenação.