A transposição do Regulamento Geral de Proteção de Dados (RGPD) para a legislação portuguesa foi objeto de proposta – Proposta de Lei 120/XIII, publicada pelo Conselho de Ministros a 28 de março de 2018. Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Foram, também, publicadas em Diário da República as obrigações e requisitos técnicos a implementar nos sistemas da Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação – Resolução do Conselho de Ministros n.º 41/2018.
Apesar do RGPD ter aplicação direta em toda a União Europeia (UE) desde o dia 25 de maio de 2018, a transposição para o ordenamento jurídico nacional permite criar regras mais específicas e complementar pontos mais gerais do novo Regulamento, nas matérias em que este dá aos Estados-membros essa liberdade.
Recorde-se que a transposição legal do RGPD para Portugal aplica-se a todos os tratamentos de dados pessoais realizados em território nacional. Esta transposição abrange também o tratamento de dados pessoais no âmbito da atividade de uma empresa sediada em Portugal, que afetem quer titulares de dados de residentes, quer afetem portugueses residentes no estrangeiro.
RGPD em Portugal: o que está previsto na proposta de lei do Governo
1. Quem fiscaliza/supervisiona o cumprimento do RGPD?
A proposta de lei do Governo estabelece que a Comissão Nacional de Proteção de Dados (CNPD) é a “autoridade de controlo nacional para efeitos do RGPD e da presente lei”.
Cabe, assim, à CNPD – entidade administrativa independente, com personalidade jurídica de direito público e poderes de autoridade, dotada de autonomia administrativa e financeira – fiscalizar o cumprimento do RGPD e da restante legislação relativa à proteção de dados pessoais, assim como corrigir e sancionar possíveis irregularidades e incumprimentos.
A CNPD, por sua vez, já tornou público que, enquanto não for aprovada legislação nacional que complemente o RGPD e que venha a revogar a Lei 67/98, de 26 de outubro, esta lei manter-se-á em vigor em tudo o que não contrarie o novo Regulamento europeu.
2. Quais são as sanções previstas?
O RGPD estabelece um quadro de aplicação de coimas bastante severo para as empresas que não cumprirem os requisitos da nova legislação. As sanções assentam em dois escalões (em função da gravidade), a saber:
- Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado;
- Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
No primeiro caso, as coimas aplicar-se-ão a falhas no cumprimento de exigências técnicas ou organizacionais, como, por exemplo, falha na comunicação de violações das suas bases de dados, ou falta de certificações.
No segundo, para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados, como, por exemplo, o não respeito pelo consentimento dado pelo utilizador, a transferência de dados pessoais para outros países ou organizações que não assegurem um determinado nível de proteção de dados.
A este propósito, o Governo português decidiu, ainda, propor valores mínimos das coimas a serem aplicadas às empresas. Por exemplo, no caso de uma contraordenação grave, as coimas mínimas previstas são:
- 1000€ para PME’s;
- 2500€ para grandes empresas;
- 500€ para pessoas singulares.
Já no caso de uma contraordenação muito grave, as coimas mínimas previstas são:
- 2000€ para PME’s;
- 5000€ para grandes empresas;
- 1000€ para pessoas singulares.
3. Entidades isentas de coimas
De acordo com a proposta de lei, as entidades públicas não estarão sujeitas a coimas por não cumprimento do RGPD. Esta decisão foi aprovada em Conselho de Ministros tendo em conta o artigo 83.º do RGPD, que estabelece que cabe aos Estados-Membros determinar se as coimas se aplicam a autoridades e organismos públicos.
Segundo o Governo, esta isenção é prevista para o espaço de 3 anos com intuito de permitir que as entidades públicas se preparem. Depois deste período, a isenção será reavaliada.
4. Outras especificidades
À semelhança do que foi legislado em países como Espanha, Reino Unido ou Dinamarca, a proposta de transposição do RGPD para a legislação nacional prevê que a idade do consentimento do uso de dados pessoais é a partir dos 13 anos. Abaixo desta idade, o tratamento dos dados só é legal se for consentido pelos representantes legais da criança.
De entre um conjunto de medidas, a proposta de lei do Governo estabelece ainda que compete à CNPD “fomentar a elaboração de códigos de conduta que regulem atividades determinadas”, tendo em atenção as necessidades específicas de micro, pequenas e médias empresas.