No passado dia 28 de janeiro, celebrou-se o Dia Internacional da Proteção de Dados. Trata-se de uma iniciativa criada a 26.4.2006 pelo Comité de Ministros do Conselho da Europa para celebrar o início do processo de aprovação e ratificação da Convenção n.º 108 do Conselho da Europa sobre a Proteção das Pessoas relativamente ao tratamento automático de dados pessoais.
Cabe, por isso, recordar as linhas gerais da Lei de Execução do RGPD. Desde logo, regula e densifica o estatuto jurídico da Comissão Nacional de Proteção de Dados (CNPD) como autoridade nacional de controlo para efeitos do RGPD.
No que diz respeito à figura de Encarregado de Proteção de Dados (EPD ou sigla em inglês DPO, Data Protection Office), a lei define as suas funções e os deveres de sigilo e de confidencialidade. A novidade coloca-se em sede de entidades públicas, nomeadamente a nomeação de DPO por cada Ministério ou Área Governativa; nas Juntas de Freguesia com menos de 750 habitantes a nomeação pode não ser obrigatória. Em entidades com natureza privada, a designação de DPO é obrigatória, por exemplo, quando envolva operações de tratamento de dados e tratamento de categorias especiais de dados
Sobre o consentimento dos menores, no âmbito da oferta direta de serviços da sociedade de informação, fixa-se a idade de 13 anos. Os representantes legais terão assim de prestar o consentimento com recurso a autenticação segura, aos menores com idades inferiores a 13 anos.
Outra inovação, trazida pelo artigo 17.º, é a proteção de dados pessoais de pessoas falecidas que terão os seus dados, relativos às categorias especiais de dados (i.e. “dados sensíveis” e/ou os dados que reportem a vida íntima, imagem) salvaguardados no âmbito do RGPD. O direito de acesso, retificação e apagamento poderão ser exercidos por quem o de cujus haja designado para o efeito, ou não existindo, pelos seus herdeiros.
Sobre a questão da captação de imagens e sons, a lei determina a proibição da captação de som, salvo se existir uma autorização prévia da CNPD ou quando as instalações vigiadas estejam encerradas.
O prazo de conservação de dados pessoais observa o já estipulado pelo RGPD – segue o fixado pela lei ou regulamento ou na falta deste o que se revele necessário para a prossecução da finalidade. O art. 21.º, n.º 6, estabelece que relativamente às aposentações ou reforma os dados podem ser conservados sem limite temporal, com vista a auxiliar o titular na reconstituição das carreiras contributivas.
A transferência de dados para países terceiros à União Europeia ou organizações internacionais, por entidades públicas no cumprimento das obrigações legais, são consideradas de interesse público.
No capítulo referente a situações específicas de tratamento de dados pessoais designadamente na publicação de dados no âmbito da contratação pública, não devem ser publicados outros dados pessoais além do nome.
No seio laboral este capítulo dedica a norma do artigo 28.º sobre as imagens gravadas, por sistemas de vídeo ou outros meios tecnológicos de vigilância à distância (cfr. artigo 20.º do Código do Trabalho), só podem ser utilizadas no âmbito do processo penal e ser utilizadas para efeitos de apuramento de responsabilidade disciplinar, também no âmbito do processo penal. O tratamento de dados biométricos dos trabalhadores só será lícito para controlo de assiduidade e para controlo de acesso às instalações do empregador, devendo assegurar-se que apenas se utilizem representações de dados biométricos e que o respetivo processo de recolha não permita a reversibilidades dos referidos dados. Esta norma suscita diversos problemas e deve ser interpretada com cautela (cfr., por exemplo, Deliberação da CNPD n.º 2019/494).
Da tutela administrativa e jurisdicional, além da apresentação de queixa à CNPD, qualquer pessoa pode recorrer a meios de tutela administrativa, tal como em sede de responsabilidade civil para ressarcir um dano sofrido. Acresce, a legitimidade processual de qualquer individuo para propor ações contra decisões de natureza contraordenacional e omissões da CNPD, bem como ações de responsabilidade civil.
As contraordenações e o valor das coimas foram definidos pelo legislador português e o prazo de prescrição das coimas será de três anos, para coimas de montante superior a €100.000, e de dois anos, no caso de coimas de montante igual ou inferior a €100.000. As coimas são aplicáveis a entidades públicas e privadas, sendo que as entidades públicas estão sujeitas aos poderes de correção da CNPD, tal como previstos no RGPD.
O artigo 61.º, que estatui a renovação do consentimento, foi alvo de alguma discussão parlamentar, tendo sido encontrada a seguinte solução: o tratamento de dados em curso na data da entrada em vigor da Lei de Execução baseado no consentimento dispensa novo consentimento, se o anterior cumprir as exigências constantes do RGPD. Se a caducidade do consentimento for motivo de cessação de contrato em que o titular seja parte, o tratamento dos dados é lícito até que esta ocorra.
A tão esperada lei agora em vigor vem, por fim, regular e vincular a CNPD como autoridade de controlo, esclarecer a obrigatoriedade de DPO, entre outras validar os temas no seio laboral, os prazos de conservação e a renovação de consentimento.
Pese embora, se tenha assistido a uma corrida para se fazer cumprir o RGPD desde o dia da sua entrada em vigor, não podemos desvalorizar o importante papel do legislador em clarificar os preceitos normativos à luz do ordenamento jurídico português, bem como o papel dos tribunais na concretização e correção de algumas soluções que podem, numa primeira análise, resultar da aplicação estrita da Lei de Execução.
David Carvalho Martins | Rita Mendes Moreira