Proteção de dados: nova lei com mudanças nas coimas entra sexta-feira em vigor

Lei portuguesa de execução do Regulamento Europeu de Proteção de Dados, que reduz receios de aplicação de coimas elevadas ao introduzir limites mínimos, foi publicada esta quinta-feira em Diário da República. Foi também publicada a lei que aprova as regras para tratamento de dados pessoais no contexto da prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais.

A partir desta sexta-feira, as empresas a operar em Portugal já não podem alegar falta de enquadramento nacional para as regras europeias de proteção de dados. Esta quinta-feira foi publicada em Diário da República a Lei nº 58/2019, que assegura a execução, na ordem jurídica nacional, do Regulamento Europeu de Proteção de Dados (RGPD). A presente lei entra em vigor na sexta-feira.

Essencial para clarificar e traduzir alguns aspetos do regulamento europeu para a realidade portuguesa, a legislação final é publicada mais de um ano depois da data em que as regras de Bruxelas se tornaram obrigatórias na União Europeia (UE), a 25 de maio de 2018. Não só devido aos atrasos na elaboração da sua primeira versão, mas também pelas divergências entre Governo, Comissão Nacional de Proteção de Dados (CNPD) e deputados.

As temidas coimas que, nos casos mais graves, podem ir até 20 milhões de euros ou 4% do volume de negócios anual da empresa a nível mundial foram atenuadas pela Assembleia da República, com a introdução de limites mínimos (artigos 37º e 38º). Nas contraordenações mais graves, por exemplo, o seu valor começa nos 5 mil euros para as grandes empresas, nos dois mil euros para as pequenas e médias empresas e nos mil euros para as pessoas singulares.

O legislador português considerou ainda que, a partir dos 13 anos, qualquer pessoa está habilitada a dar o seu consentimento livre, específico, informado e explícito, sem necessitar do encarregado de educação. E especificou que os encarregados de proteção de dados não precisam de ter uma certificação profissional (artigo 9º), mas apenas conhecimentos em direito e em matéria de proteção de dados.

Ao contrário do que estava previsto nas primeiras versões, o texto final não inclui a moratória de seis meses para o cumprimento da legislação pelo sector público - um ponto que, aliás, gerou alguma discussão por criar uma vantagem do público face ao privado. Na versão hoje publicada, os organismos do Estado estão obrigados ao cumprimento das regras de proteção de dados tal como os privados.

Mas há uma exceção para o Estado. Se a autoridade de controlo - a Comissão Nacional de Proteção de Dados (CNPD) - assim o considerar, os organismos públicos estão isentos de coimas durante um período de três anos. De acordo com o artigo 44º da lei portuguesa, “as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei”.

DADOS PESSOAIS NO CONTEXTO PENAL
Além da lei de execução nacional do RGPD, foi também publicada em Diário da República a Lei nº 59/2019, que aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais. Esta lei transpõe a diretiva 2016/680, de 27 de abril de 2016.

Esta legislação prevê que o tratamento de dados pessoais neste contexto “só é lícito se estiver previsto na lei e na medida em que for necessário para o exercício de uma atribuição da autoridade competente” para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública. A lei, no entanto, não se aplica ao tratamento de dados pessoais relacionados com a segurança nacional.

No caso do tratamento não estar autorizado por lei, este apenas pode ser efetuado “se for necessário para a proteção dos interesses vitais do titular dos dados ou de outra pessoa singular”, lê-se no texto final hoje publicado.

Além disso, o tratamento de dados pessoais genéticos, biométricos, de saúde ou que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical ou orientação sexual “só pode ser efetuado se for estritamente necessário, se estiver sujeito a garantias adequadas de proteção dos direitos e liberdades do titular dos dados” e ainda “se for autorizado por lei, se destinar a proteger os interesses vitais do titular dos dados ou de outra pessoa singular ou se estiver relacionado com dados manifestamente tornados públicos pelo titular dos dados”.

Fonte: Expresso