Foi publicada a Lei 58/2019, de 8 de agosto, que garante a execução do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento RGPD).
A presente lei aplica-se ao tratamento de dados pessoais realizados no território nacional ou fora do território nacional, desde que neste caso:
a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional;
b) Afetem titulares de dados que se encontrem no território nacional, no que se refere à oferta de bens ou serviços a esses titulares de dados na União; ou
c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.
A Lei fixa a Comissão Nacional de Proteção de Dados (CNPD) como a autoridade de controlo nacional para efeitos do RGPD, devendo todas as entidades colaborar, o que pode determinar o exame ao sistema informático e aos ficheiros de dados pessoais dos responsáveis pelo tratamento, bem como a toda a documentação relativa ao tratamento e transmissão de dados pessoais.
Competirá ainda à CNPD o fomento da elaboração de códigos de conduta que regulem atividades determinadas.
O Instituto Português de Acreditação (IPAC), por sua vez, é a entidade responsável pela fixação e verificação dos requisitos de acreditação dos organismos de certificação em matéria de aplicação do RGPD.
O encarregado de proteção de dados é designado, quando aplicável, com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, não carecendo de certificação profissional para o efeito.
Deve exercer a sua função com total autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante, sendo da sua responsabilidade, designadamente, assegurar a realização de auditorias, quer periódicas, quer não programadas e sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança.
Os dados pessoais de crianças só podem ser objeto de tratamento com base no consentimento prestado pelas próprias quando já tenham completado 13 anos de idade (o limite mínimo previsto no RGPD) ou o consentimento for dado pelos seus representantes legais.
Também os dados pessoais de pessoas falecidas são protegidos (os que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, dados genéticos ou dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa, ou quando se reportem à intimidade da vida privada e à imagem). Os direitos previstos no RGPD, nomeadamente os direitos de acesso, retificação e apagamento, são exercidos por quem a pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros (e a menos que o titular tenha deixado determinada essa impossibilidade).
São também introduzidas alterações ao regime de videovigilância – que continua a ser regulado pela Lei 34/2013 – limitando-se a incidência desse sistema. As câmaras não podem incidir sobre
a. vias públicas (exceto no que seja estritamente necessário para cobrir os acessos ao imóvel), propriedades limítrofes ou outros locais que não sejam do domínio exclusivo responsável,
b) zonas de digitação de códigos;
c) sobre interior de áreas reservadas a clientes ou utentes, designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
d) sobre o interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.
Mesmo sendo permitida a recolha de imagens, é proibida a captação de som, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.
Nos estabelecimentos de ensino em particular, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e espaços que requeiram especial proteção, como laboratórios ou salas de informática.
A proteção de dados pessoais não prejudica o exercício da liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão académica, artística ou literária (ainda que com respeito pela dignidade da pessoa humana e não estando legitimada a divulgação de moradas e contactos).
A publicação de dados pessoais em jornais oficiais deve obedecer aos princípios da finalidade e da minimização: sempre que o nome seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados outros dados pessoais. Os mesmos princípios se aplicam no âmbito da contratação pública.
O empregador pode tratar os dados pessoais dos seus trabalhadores para as finalidades e com os limites definidos no Código do Trabalho. O consentimento do trabalhador, no entanto, não constitui requisito de legitimidade do tratamento dos seus dados pessoais se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador.
As imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou outros meios tecnológicos de vigilância à distância podem ser utilizados para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no âmbito do processo penal.
O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador.
O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a sua anonimização ou pseudonimização (ou seja, a impossibilidade de os titulares dos dados serem identificados).
Qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados tem o direito de obter do responsável a reparação pelo dano sofrido, cabendo ao responsável pelo tratamento a prova de que o facto que causou o dano não lhe é imputável.
O titular dos dados tem o direito de mandatar uma entidade cujos fins estatutários sejam de interesse público e cuja atividade abranja a defesa dos direitos, liberdades e garantias do titular dos dados para, em seu nome, exercer os direitos previstos.
As contraordenações muito graves (cujo prazo de prescrição é de 3 anos) são punidas com coima:
a) De 5000 € a 20 000 000, tratando-se de grande empresa,
b) De 2000 € a 2 000 000 €, tratando-se de PME
ou, em qualquer caso, 4 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado,
c) De 1000 € a 500 000 €, no caso de pessoas singulares.
São contraordenações muito graves, por exemplo,
Os tratamentos de dados pessoais que não tenham por base o consentimento, a exigência do pagamento de uma quantia em dinheiro fora dos casos previstos no RGPD, a não prestação de informação relevante, a transferência internacional de dados pessoais, o incumprimento das decisões da autoridade de controlo ou recusa da colaboração que lhe seja exigida pela CNPD.
As contraordenações graves (com prazo de prescrição de 2 anos) são punidas com coima de:
a) De 2500 € a 10 000 000 € tratando -se de grande empresa,
b) De 1000 € a 1 000 000, tratando -se de PME;
ou, ou qualquer caso, 2 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado,
c) De 500 € a 250 000 €, no caso de pessoas singulares.
Para além das contraordenações, são criados crimes que resultam da violação das regras do RGPD e da Lei publicada, designadamente, a utilização de dados de forma incompatível com a finalidade da recolha, o acesso indevido, o desvio de dados, a viciação ou destruição de dados, a inserção de dados falsos, a violação do dever de sigilo.
A regulamentação do RGPD está em vigor desde 9 de agosto de 2019.
Alcides Martins, Bandeira, Simões & Associados,
Sociedade de Advogados, SP, RL