No passado dia 22 de março, o Conselho de Ministros aprovou uma proposta de lei que regula a implementação do Regulamento Geral de Proteção de Dados em Portugal. Esta proposta deverá ser aplicada em conjunto com o próprio regulamento visto que este instrumento de Direito da União Europeia se aplica diretamente nas ordens jurídicas dos Estados-membro.
A Proposta de Lei 120/XIII é da autoria do Governo, contudo, como nos encontramos no âmbito de direito e liberdades dos cidadãos, qualquer instrumento legislativo nesta área terá que ser aprovado pela Assembleia da República.
O que veio esta proposta acrescentar ao que já sabíamos?
Comissão Nacional de Proteção de Dados
A Comissão Nacional de Proteção de Dados é confirmada como autoridade de controlo aos olhos do RGPD.
A CNPD terá assim que definir:
- Lista de tipos de tratamento de dados cuja avaliação prévia de impacto não é obrigatória
- Requisitos adicionais para o ato de acreditação das entidades de certificação (cuja entidade responsável será o IPAC)
- Fomentar a elaboração de códigos de conduta que regulem determinadas atividades.
Encarregado de Proteção de Dados
Em relação ao Encarregado de Proteção de Dados, a proposta de lei apenas determina que este poderá ser designado pela entidade e não carece de certificação profissional para o efeito.
Consentimento de crianças
O regime especial para o consentimento de crianças é obrigatório até aos 13 anos.
O consentimento por parte dos responsáveis parentais terá de ser feito através do Cartão de Cidadão ou da Chave Móvel Digital.
Dados sensíveis
O tratamento de dados sensíveis para efeitos de medicina no trabalho e por motivos de interesse público no domínio da saúde pública terá de ser feito por profissionais obrigados a sigilo ou por outra pessoa sujeita a dever de confidencialidade.
Dados biométricos em contexto laboral
É permitido o tratamento de dados biométricos em contexto laboral para fins de controlo de assiduidade e de acesso às instalações do empregador.
Em contexto laboral, o consentimento não pode ser a base legal para o tratamento de dados pessoais (decorre dos trabalhos do Working Party 29)
Tutela jurisdicional
Quando existir litígio contra o responsável pelo tratamento ou contra o subcontratante, os tribunais judiciais serão competentes. Quando se tratar de litígio contra a atuação ou omissão de atuação contra a CNPD os tribunais administrativos serão competentes.
Coimas
Contraordenações muito graves:
€5000 a €20 000 000 – grande empresa
€2000 a €2 000 000 – PME
€1000 a €500 000 – pessoa singular
Contraordenações graves:
€2500 a €10 000 000 – grande empresa
€1000 a €1 000 000 – PME
€500 a €250 000 – pessoa singular
Prescrições de coimas:
3 anos – acima de €100 000
2 anos – igual ou inferior a €100 000
Prescrição do processo de contraordenação:
3 anos – contraordenação muito grave
2 anos – contraordenação grave
Os montantes das coimas serão divididos entre o Estado (60%) e a CNPD (40%) (artigo 42.º proposta de lei)
Relativamente a coimas, a proposta de lei isenta as autoridades públicas das mesmas. Contudo, prevê a revisão desta isenção 3 anos depois da lei entrar em vigor.
Crimes:
A proposta de lei prevê os seguintes crimes e respetivas molduras penais:
- Utilização de dados de forma incompatível com a finalidade da recolha
- Acesso indevido
- Desvio de dados
- Viciação ou destruição de dados
- Inserção de dados falsos
- Violação do dever de sigilo
- Desobediência
A responsabilidade penal das pessoas coletivas é regulada pelo Código Penal, isto é, ”sem prejuízo do direito de regresso, as pessoas que ocupem uma posição de liderança são subsidiariamente responsáveis pelo pagamento das multas e indemnizações em que a pessoa coletiva ou entidade equiparada for condenada, relativamente aos crimes” (artigo 11.º, n.º 9 Código Penal).
A proposta de lei determina que a tentativa é sempre punível.
De resto, a proposta de lei limita-se a transpôr para o ordenamento jurídico o que já estava contemplado no RGPD (não que fosse necessário). Aguardamos assim o agendamento para discussão da proposta na Assembleia da República.
2 thoughts on “Notas sobre o projeto de lei do Governo para implementação do Regulamento Geral de Proteção de Dados”