No dia 8 de Agosto foi publicada a Lei n.º 58/2019, que vem assegurar a execução, na ordem jurídica portuguesa, do Regulamento Geral de Protecção de Dados, o Regulamento (UE) 679/2016 (RGPD).
A lei nacional vem nomear como autoridade de controlo nacional a Comissão Nacional de Protecção de Dados como era, aliás, esperado.
Por outro lado, a Lei n.º 58/2019 vem estabelecer algumas regras no âmbito dos temas que foram deixados, pelo RGPD, à consideração dos Estados-Membros, pelo que existem algumas notas que merecem destaque.
1. Encarregado de Protecção de Dados (EPD)
a. Fica esclarecido que o EPD não requer certificação profissional para exercício das suas funções;
b. É estabelecido o dever legal de sigilo profissional do EPD;
c. Em aditamento ao disposto no RGPD, o EPD:
i. Assegura a realização de auditorias periódicas e/ou programadas;
ii. Sensibiliza os utilizadores de dados da importância da detecção atempada dos incidentes de segurança;
iii. Assegura as relações com os titulares de dados pessoais.
2. Acreditação, certificação e códigos de conduta:
a. O IPAC IP foi nomeado autoridade competente para acreditar os organismos de certificação em matéria de protecção de dados;
b. A CNPD fomentará a elaboração de códigos de conduta que regulem actividades determinadas.
3. Videovigilância:
a. Os sistemas de videovigilância devem cumprir o disposto na Lei da Actividade da Segurança Privada (Lei n.º 34/2013, de 16 de Maio), mas as câmaras não podem incidir sobre:
i. Vias públicas;
ii. Zonas de pagamento (digitação de códigos) em caixa multibanco ou ATM;
iii. Interior de áreas reservadas a clientes onde deva ser preservada a privacidade (instalações sanitárias, zonas de espera ou provadores de vestuário, etc.);
iv. Interior de áreas reservadas a trabalhadores (zonas de refeição, vestiários, ginásios, instalações sanitárias, zonas de descanso, etc.);
b. Ainda que admitida a videovigilância, é proibida a captação de som.
4. Relações Laborais:
a. O consentimento do trabalhador não é necessário no âmbito da execução contratual e processamento salarial e, ainda, quando do tratamento de dados resultar uma vantagem jurídica ou económica para o trabalhador;
b. As imagens gravadas e outros dados pessoais registados através da utilização de meios tecnológicos de vigilância à distância podem ser utilizados no âmbito do processo penal, mas também podem ser utilizados para efeitos de apuramento de responsabilidades disciplinares na medida em que o sejam no âmbito do processo penal;
c. O tratamento de dados biométricos apenas é permitido para controlo de assiduidade e controlo de acessos às instalações.
5. Dados de Saúde e Dados Genéticos:
a. No tratamento de dados de saúde e genéticos, o acesso aos dados rege-se pelo princípio da necessidade de conhecer a informação;
b. Todos os profissionais que tenham acesso aos dados de saúde e genéticos ficam obrigados a um dever legal de sigilo;
c. As medidas de segurança inerentes ao tratamento destes dados serão aprovadas por meio de portaria governamental.
6. Tutela administrativa e jurisdicional:
a. Tutela administrativa – qualquer pessoa pode recorrer a meios de cariz petitório ou impugnatório para garantir o cumprimento das disposições legais em matéria de protecção de dados;
b. Tutela jurisdicional – qualquer pessoa que tenha sofrido um dano devido à violação de disposições legais em matéria de protecção de dados pode demandar o responsável pelo tratamento, o subcontratante e a CNPD (relativamente a decisões ou omissões desta autoridade).
7. Contraordenações:
a. Foram tipificadas contraordenações muito graves (punidas com coimas de € 1.000,00 a € 20.000.000,00 ou 4% do volume de negócios mundial) e graves (punidas com coimas de € 500,00 a € 10.000.000,00 ou 2% do volume de negócios mundial);
b. O procedimento por contraordenação prescreve:
i. No prazo de 3 anos após a prática da contraordenação muito grave;
ii. No prazo de 2 anos após a prática da contraordenação grave.
8. Crimes:
a. Foram tipificados os seguintes crimes:
i. Utilização de dados de forma incompatível com a finalidade da recolha – punido com pena de prisão até um ano ou com pena de multa até 120 dias;
ii. Acesso indevido - punido com pena de prisão até um ano ou com pena de multa até 120 dias;
iii. Desvio de dados - punido com pena de prisão até um ano ou com pena de multa até 120 dias;
iv. Viciação ou destruição de dados - punido com pena de prisão até dois anos ou com pena de multa até 240 dias;
v. Inserção de dados falsos - punido com pena de prisão até dois anos ou com pena de multa até 240 dias;
vi. Violação do dever de sigilo - punido com pena de prisão até um ano ou com pena de multa até 120 dias;
vii. Desobediência - punido com pena de prisão até um ano ou com pena de multa até 120 dias;
b. As penas referidas são objecto de agravamento para o dobro em circunstâncias específicas.
9. Sanções acessórias:
a. Conjuntamente com as sanções aplicadas pode ser ordenada a proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;
b. Pode ser, ainda, determinada a publicidade da condenação no Portal do Cidadão.
10. Consentimento:
a. Fica determinado que a renovação do consentimento não é necessária se o consentimento anterior à entrada em vigor da lei tiver cumprido com as exigências decorrentes do RGPD.
A CNPD tem vindo a actualizar a sua página de internet com novos recursos, pelo que aconselhamos a sua consulta em https://www.cnpd.pt/.