RGPD: já conhece as especificações para Portugal?

No último ano, o Regulamento Geral sobre a Proteção de Dados está na ordem do dia. Depois do regulamento europeu, Portugal, finalmente aprovou a lei de execução adaptada ao contexto nacional. Conheça as especificações do RGPD para Portugal e adapte o seu negócio a esta nova realidade.

 

Desde maio de 2018 que o Regulamento Geral sobre a Proteção de Dados (RGPD) passou a ser plenamente aplicável na União Europeia. Em Portugal, a lei de execução relativa ao RGPD foi aprovada em junho de 2019, adaptando as normas do regulamento europeu à realidade portuguesa. Isto porque, apesar de se tratar de um regulamento europeu – logo diretamente aplicável a Portugal – era necessária uma lei nacional que viesse esclarecer alguns pontos específicos, como a idade mínima de consentimento para o tratamento de dados ou as coimas a aplicar às infrações.

O RGPD vem fornecer aos cidadãos, nacionais e europeus, uma maior proteção dos seus dados pessoais, bem como o direito ao esquecimento e à portabilidade dos seus dados. A Proposta de Lei nº 120/XIII/3.ª  vem assegurar “a execução, na ordem jurídica nacional, do Regulamento (U.E) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados”.

Já no mês de agosto foram publicados em Diário da República dois diplomas que concretizam a entrada no ordenamento jurídico português das leis de proteção de dados impostas pela União Europeia.

 

Coimas

De acordo com a norma europeia, o não cumprimento do Regulamento Geral sobre a Proteção de Dados obriga ao pagamento de coimas, na sua maioria, de valor extremamente elevado. Em Portugal, muito devido à pequena dimensão de muitas das empresas nacionais, a lei de execução procurou tornar a estas coimas mais ajustadas à realidade nacional.

Apesar da lei europeia prever sanções até 20 milhões de euros ou 4% do volume de negócios da empresa, em Portugal, as infrações terão coimas mais baixas, uma vez que foi introduzindo um valor mínimo para as infrações. De acordo com o Lei nº59/2019, publicada em Diário da República, as infrações terão as seguintes penalizações: cinco mil euros para as grandes empresas – ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado –, dois mil euros para as pequenas e médias empresas, ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, e mil euros para as pessoas singulares.

Antes de aplicar a sanção, a lei prevê que os incumpridores sejam previamente advertidos por parte da Comissão Nacional de Proteção de Dados (CNPD). Os valores pagos em coimas já têm o seu destino definido: 60% para o Estado e 40% para a CNPD.

 

Idade mínima de consentimento

Portugal definiu os 13 anos como a idade mínima para o consentimento de dados. Isto significa que, a partir dos 13 anos de idade, os cidadãos estão aptos para dar o seu consentimento explícito para que os seus dados pessoais sejam usados, podendo exigir que estão sejam esquecidos a qualquer momento.

 

Isenção do Estado

Paulo Miranda, responsável pela gestão digital da consultora Axians, afirma que, apesar de já aprovada a lei, existe ainda, em Portugal, um longo caminho a percorrer para que esta esteja totalmente em conformidade. Para os organismos públicos é obrigatória a nomeação de um EPC – Encarregado de Proteção de Dados. No entanto, para alguns destes organismos públicos este foi o único passo dado. É talvez por isto mesmo que a lei aprovada pelo Parlamento contemple uma exceção para o Estado, durante três anos, no que ao pagamento de coimas diz respeito.

Assim, “nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à Comissão Nacional de Proteção de Dados a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei”.

 

A Lei contempla ainda que, o tratamento dos dados pessoais que possam revelar a origem racial ou étnica, as opiniões políticas, as convicções religiosas, filosóficas ou a filiação sindical, assim como os dados genéticos, os dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, os dados relativos à saúde ou os dados relativos à vida sexual ou à orientação sexual, só pode ser efetuado se for estritamente necessário e sempre sujeito a garantias adequadas de proteção dos direitos e liberdades do titular dos dados.

A lei de execução nacional clarifica a norma europeia e torna-a mais enquadrada à realidade portuguesa. Mais do que evitar as coimas previstas, cumprir com este regulamento e adotar um tratamento adequado aos dados pessoais é uma excelente oportunidade de melhorar os processos de gestão internos.