Entrou em vigor a Lei portuguesa de execução do RGPD

Home / Notícias / Entrou em vigor a Lei portuguesa de execução do RGPD

Foi publicada em Diário da República a Lei 58/2019 de 8 de agosto

Entrou em vigor a Lei portuguesa de execução do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, também conhecido por Regulamento Geral sobre a Proteção de Dados (doravante RGPD).

As empresas nacionais e internacionais, que operam em território nacional, já não podem alegar a falta de enquadramento interno para as regras europeias de proteção de dados, tendo sido publicado ontem (8 agosto de 2019), em Diário da República, a Lei 58/2019.

Importa refletir que a legislação final portuguesa apenas é publicada mais de um ano depois da entrada em vigor do RGPD, não só devido aos atrasos na elaboração da sua versão inicial, mas também devidos às divergências entre o Governo e a Comissão Nacional de Proteção de Dados (doravante CNPD). Até à presente data, Portugal era um dos três países da UE que ainda não tinha atualizado a lei nacional em conformidade com a legislação comunitária. Desta forma, sem mais demoras, procederemos a uma breve análise da nova Lei 58/2019, de 8 de agosto.

 

Descarregue em PDF AQUI

 

Âmbito de aplicação territorial

Em primeiro lugar, destaca-se que a presente lei aplica-se, geralmente, aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou subcontratante. Por outro lado, a Lei 58/2019 poderá ainda ser aplicada aos tratamentos de dados pessoais realizados fora do território nacional quando:

  1. Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou
  2. Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento; ou
  3. Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.

 

Autoridade de Controlo Nacional

A CNPD é considerada a autoridade de controlo nacional para efeitos do RGPD e da presente lei. Controla e fiscaliza, de forma independente, o cumprimento do RGPD e da presente lei, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.

 

Encarregado de Proteção de Dados

O encarregado da proteção de dados é designado com base nas suas qualidades profissionais, destacando-se o facto de a nova Lei estabelecer a desnecessidade de certificação profissional para o efeito. O encarregado da proteção de dados é indicado com base nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados.

No caso das entidades públicas (como o Estado, regiões autónomas, autarquias locais e as entidades supranacionais previstas na lei, entidades administrativas independentes e o Banco de Portugal, institutos públicos, instituições de ensino superior públicas, independentemente da sua natureza, empresas do setor empresarial do Estado e dos setores empresariais regionais e locais, associações públicas) é obrigatória a designação de encarregados de proteção de dados.

O responsável pelo tratamento e o subcontratante designam um encarregado de proteção de dados sempre que a atividade privada desenvolvida, a título principal, implique:

  1. Operações de tratamento que, devido à sua natureza, âmbito e ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
  2. Operações de tratamento em grande escala das categorias especiais de dados, ou de dados pessoais relacionados com condenações penais e infrações.

 

Acreditação, certificação e códigos de conduta

A autoridade competente para a acreditação dos organismos de certificação em matéria de proteção de dados é o Instituto Português de Acreditação, I.P. (doravante IPAC). A certificação, bem como a emissão de selos e marcas de proteção de dados, é efetuada por organismos de certificação acreditados pelo IPAC, destinando-se a atestar que os procedimentos implementados cumprem o disposto no RGPD e na presente lei.

Compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas. O tratamento de dados pessoais pela administração direta e indireta do Estado é objeto de códigos de conduta próprios.

 

Consentimento dos Menores na oferta de serviços na Sociedade da Informação

Ao contrário do que seria expetável, o legislador português consagrou que, a partir dos 13 anos, qualquer pessoa está habilitada a dar o seu consentimento livre, específico, informado e explícito, sem necessitar do consentimento do titular das responsabilidades parentais da criança.

 

Direito de Portabilidade e Interoperabilidade dos Dados

O direito de portabilidade dos dados abrange apenas os dados fornecidos pelos respetivos titulares, devendo, sempre que possível, ter lugar em formato aberto.

 

Videovigilância

A presente lei delimita as zonas de incidência das câmaras de videovigilância não podendo as mesmas incidir, por exemplo, nas vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel, entre outros… É ainda proibida a captação de som, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.

Tratamento de Dados Pessoais por Entidades Públicas para finalidades diferentes

O tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas pela recolha tem natureza excecional e deve ser devidamente fundamentado com vista a assegurar a prossecução do interesse público que de outra forma não possa ser acautelado.

 

Liberdade de expressão e informação

A proteção de dados pessoais, nos termos do RGPD e da presente lei, não prejudica o exercício da liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão académica, artística ou literária.

 

Publicação de dados pessoais em jornal oficial e no âmbito da contratação pública

A publicação de dados pessoais em jornais oficiais e no âmbito da contratação pública deve obedecer aos princípios da finalidade e da minimização dos dados pessoais, ou seja, sempre que o dado pessoal “nome” seja suficiente para garantir a identificação do titular, não devem ser publicados outros dados pessoais.

 

Relações Laborais

O empregador pode tratar os dados pessoais dos seus trabalhadores para as finalidades e com os limites definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes setoriais. A mesma faculdade abrange, também, o tratamento efetuado por subcontratante ou contabilista certificado em nome do empregador, desde que efetuado no âmbito de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo.

O consentimento do trabalhador não constitui requisito de legitimidade para o tratamento dos seus dados pessoais se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador ou se o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular de dados.

As imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou outros meios tecnológicos de vigilância à distância só podem ser utilizados no âmbito do processo penal ou para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no âmbito do processo penal. O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador.

 

Tratamento de dados de saúde e dados genéticos

Nos tratamentos de dados de saúde e de dados genéticos, o acesso a dados pessoais rege -se pelo princípio da necessidade de conhecer a informação, devendo ser efetuado por um profissional obrigado a sigilo ou por outra pessoa sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.

 

Contraordenações

Por um lado, as contraordenações aplicadas podem ser muito graves punidas com coimas que variam entre os € 1.000,00 (mil euros) e os € 20.000,00 (vinte mil euros), ou 4% do volume de negócios anual, a nível mundial, consoante o que for mais elevado. Por outro lado, as contraordenações aplicadas também podem ser graves, com coimas que variam entre os € 500,00 (quinhentos euros) e os € 10.000,00 (dez mil euros), ou 2% do volume de negócios anual, a nível mundial, consoante o que for mais elevado. As coimas mencionadas podem ser aplicadas a entidades públicas ou privadas, sendo que na determinação da medida da coima aplicável será tido em conta a realidade económica distinta vivenciada por Pequenas e Médias Empresas, grandes empresas, ou pessoas singulares.

 

Crimes

Quem utilizar dados pessoais de forma incompatível com a finalidade determinante da recolha é punido com pena de prisão até um ano ou com pena de multa até 120 dias, podendo a referida pena ser agravada para o dobro. A tentativa é sempre punível.

 

Renovação do consentimento

Quando o tratamento dos dados pessoais em curso se basear no consentimento do respetivo titular, não é necessário obter novo consentimento se o anterior tiver observado as exigências constantes do RGPD.

 

Descarregue em PDF AQUI

 

N-Advogados

Solidez. Confiança. Resolução. Credibilidade

Advogados. Braga. Porto. Lisboa. Funchal. Portugal

Advogados. Angola. Moçambique

Lawyer. Portugal. Angola