RGPD: Portugal já tem nova lei de execução nacional

O texto que assegura a execução da norma europeia em Portugal foi finalmente aprovado e reunimos as principais alterações. Esqueça o prazo adicional para renovar o consentimento de tratamento de dados pessoais. Apesar de ser uma das mudanças mais pedidas pelas organizações, prevalecem os aplicados na altura da entrada em vigor do RGPD, há mais de um ano.

 

Agora que a inexistência de uma lei nacional, apontada como uma das principais dificuldades para a eficiente aplicação do Regulamento Geral de Proteção de Dados (RGPD) em território nacional deixou de ser um  facto – no passado dia 14 de junho, mais de um ano após a sua aplicação plena, a 25 de maio de 2018, o Parlamento aprovou a lei de execução nacional do RGPD – está na hora de ficar a par dos principais updates.

 

A Proposta de Lei n.º 120/XIII/3.ª  “assegura a execução, na ordem jurídica nacional, do Regulamento (U.E) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados”, adaptando as normas do regulamento europeu à realidade nacional. Por ser um regulamento da União Europeia, o RGPD passou a ser diretamente aplicável em Portugal assim que entrou em vigor, mas impunha-se uma lei nacional em matérias específicas, como a idade de consentimento para o tratamento de dados ou as coimas a aplicar.

 

O que mudou com o RGPD?

Recuemos ao dia 25 de maio de 2018, data que recorda certamente por ter visto a sua caixa de e-mail invadida por dezenas de e-mails a pedir o seu consentimento para o tratamento dos seus dados pessoais. Nesse mesmo dia, e ainda que já existisse um conjunto forte de direitos protetores dos dados pessoais, definidos pela legislação anterior, os direitos dos cidadão passaram a ser melhor protegidos. Muito à conta do “direito a ser esquecido” e do “direito à portabilidade dos dados” que o RGPD veio acrescentar.

 

Mas não foi só isso que o RGPD significou. O enquadramento sancionatório imposto pelo regulamento (20 milhões ou 4% dos resultados globais da organização sancionada) criou o alerta e ajudou a reforçar a preocupação das empresas em cumprir a lei, ao mesmo tempo que ajudou a reforçar a consciência das pessoas acerca dos direitos de que são titulares. Tais “avanços” não foram, porém, isentos de vulnerabilidades, com Alexandre Sousa Pinheiro, professor e investigador especializado em proteção de dados na Faculdade de Direito da Universidade de Lisboa, a afirmar recentemente ao Observador que as empresas e entidades públicas ficaram “mais centradas na fuga à coima, do que propriamente na correta execução das exigências do RGPD”.

 

Se a isso somarmos “o desconhecimento de medidas básicas de segurança da informação no plano tecnológico na maior parte das entidades” – alerta também avançado pelo especialista –, e os “vários equívocos na interpretação e aplicação do Regulamento” assumidos pela própria Comissão Nacional de Proteção de Dados (CNPD), eleita autoridade nacional de controle para efeitos de RGPD,  facilmente se percebe que ainda há um longo caminho a percorrer que, espera-se, venha a ser “encurtado” pela entrada em vigor da lei portuguesa.

 

As coimas de acordo com a lei de execução nacional

Desde que o RGPD foi implementado, houve multas multimilionárias à Google e, para citar um caso português, de centenas de milhar ao Hospital do Barreiro, mas e de acordo com o secretário de Estado da Presidência do Conselho de Ministros, Tiago Antunes, o “regulamento foi feito a pensar nas grandes multinacionais” e, para Portugal, “algumas soluções – nomeadamente as sanções até 20 milhões de euros ou 4% do volume de negócios por incumprimento do regulamento – eram exageradas”. O objetivo da lei portuguesa, entretanto aprovada, foi encontrar algum equilíbrio, moderando alguns excessos na proposta de lei.

 

# Estado isento de coimas durante três anos se CNPD concordar

No mesmo artigo do Observador já mencionado, Paulo Miranda, responsável pela gestão digital da Axians, consultora de tecnologias de informação e comunicação, dá o exemplo dos organismos públicos para justificar a ideia de que ainda há muito a fazer em contexto português. De acordo com o especialista, “em muitas destas organizações praticamente ainda não foram iniciados os programas de conformidade com o RGPD” e, “em muitas delas, o único passo que foi dado, foi a nomeação de um EPC (Encarregado de Proteção de Dados), que é um dos requisitos (obrigatório para organismos públicos) de apenas um domínio específico do RGPD”.

 

Talvez por isso, e embora não inclua a moratória de seis meses para o cumprimento da legislação pelo setor público, o documento aprovado pelo Parlamento no passado dia 14 de julho preveja a exceção para o Estado durante três anos, mas apenas com autorização da CNPD. “Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à Comissão Nacional de Proteção de Dados a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei”, lê-se no documento.

 

# Introdução de um valor mínimo

As coimas podem ir até 20 milhões de euros ou 4% do volume de faturação das empresas, mas a lei de execução nacional introduz um valor mínimo: cinco mil euros no caso de contraordenações muito graves e 2.500 euros para contraordenações graves de grandes empresas. Já os valores mínimos das pequenas e médias empresas oscilam entre os mil e dois mil euros. O montante das coimas que forem aplicadas reverte em 60% para o Estado e em 40% para a CNPD.

 

De ressalvar que, exceto em caso de dolo, antes da aplicação de qualquer sanção, é obrigatória a advertência prévia dos agentes em incumprimento, por parte da CNPD.

 

13 anos é a idade mínima para o consentimento requerida

Apesar de no último ano se ter falado na eventualidade de Portugal optar pela idade de 16 anos para consentimento de tratamento de dados pessoais (e não 13), com validação por chave digital, no documento final optou-se pela idade mínima de 13 anos , sendo que para comprovarem este dado pessoal, as entidades têm de utilizar “de preferência meios de autenticação segura”.

 

Relações laborais

De entre as principais novidades, destaque para a tão aguardada “legalização” do tratamento de dados biométricos para controlo de assiduidade (recorde-se que desde a entrada em vigor do RGPD, tal tratamento era ilegal), e acesso às instalações do empregador. Além disso, esta lei vem expressamente permitir à entidade patronal a utilização de imagens gravadas em processos disciplinares, desde que as mesmas tenham sido usadas no âmbito de um processo crime e esse processo disciplinar vise apurar a responsabilidade do trabalhador pelos factos a ele relativos.

 

Outros factos importantes

NN

O direito de portabilidade dos dados, previsto no artigo 20.º do RGPD, abrange apenas os dados fornecidos pelos respetivos titulares e deve, sempre que possível, ter lugar em formato aberto;

NN

O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou, na falta desta, o que se revele necessário para a prossecução da finalidade. Assim que a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, cesse, o responsável pelo tratamento deve proceder à sua destruição ou anonimização;

NN

Quem, sem a devida autorização ou justificação, aceder, por qualquer modo, a dados pessoais é punido com pena de prisão até um ano ou com pena de multa até 120 dias. A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD ou quando o acesso for conseguido através de violação de regras técnicas de segurança ou tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial.

 

A lei de execução nacional vem clarificar questões importantes na aplicação do RGPD, mas importa relembrar aquele que, segundo Paulo Miranda, continua a ser o principal obstáculo à eficiente aplicação do RGPD: a própria cultura empresarial portuguesa, que “potencia a lógica da visão a curto prazo com resultados a muito curto prazo, com o mínimo custo possível, ou, o mais baratinho possível”. De acordo com o responsável pela gestão digital da Axians, esta mesma cultura, “pela falta de investimento ou visão a médio, longo prazo vai ter o efeito borboleta, com impactos significativos para as organizações, um maior potencial de danos reputacionais e no final de tudo, financeiros”.

Mais do que evitar as multas cabe-lhe a si, enquanto gestor tornar o regulamento numa alavanca à melhoria de processos internos de gestão de dados pessoais, à adoção de novas ferramentas e à mudança de mentalidades.

Quer sabe mais sobre o RGPD e a forma como o software PHC o pode ajudar a cumprir o regulamento? Inscreva-se no nosso webinar gratuito, que vai decorrer no próximo dia 26 de junho.