Não se afigura como novidade a discordância relativa à interpretação e aplicação das normas relativas à protecção de dados pessoais manifestada entre os órgãos de soberania – leiam-se, a Assembleia da República e o Governo –, por um lado, e a Comissão Nacional de Protecção de Dados (CNPD) enquanto autoridade nacional de controlo, por outro lado.
Aliás, e agora a propósito da questão de medição da temperatura corporal dos trabalhadores por empregadores, a CNPD já havia referido que o consentimento deve ser livre para poder constituir fundamento de licitude do tratamento dos dados, devendo ser garantidas as condições que garantam a liberdade de manifestação pelo titular dos dados, o que tendencialmente não acontecerá no contexto das relações laborais.
Na verdade, em 23 de Setembro de 2019, a CNPD já havia deliberado a desaplicação de algumas normas constantes da Lei n.º 58/2019, de 8 de Agosto, que vem executar, na ordem jurídica nacional, o Regulamento Geral de Protecção de Dados (RGPD). Isto porque, segundo o entendimento unânime da CNPD, algumas destas normas contradizem manifestamente o estatuído no RGPD, assim violando o princípio do primado da União Europeia preceituado na Constituição da República Portuguesa e pondo em causa a aplicabilidade directa do RGPD, bem como a eficácia e consistência da aplicação do mesmo.
As normas que a CNPD não aplicará vêm listadas na Deliberação 2019/494, respeitando nomeadamente ao âmbito de aplicação da lei nacional, aos direitos dos titulares, à utilização pelas entidades públicas de dados para finalidades diferentes e ao regime sancionatório. Nesta deliberação, a CNPD recorda ainda que já havia chamado à atenção sobre estes aspectos no Parecer n.º 20/2018, de 2 de Maio, emitido a respeito da Proposta de Lei que deu origem à Lei n.º 58/2019, de 8 de Agosto.
Âmbito de aplicação – artigo 2.º, n.º 1 e n.º 2
A Deliberação da CNPD versa, desde logo, sobre o âmbito de aplicação da lei, no sentido de que a referência ao território nacional aí expressa, enquanto critério de aplicação territorial da lei portuguesa aos tratamentos aqui realizados, é incompatível com o funcionamento do mecanismo de balcão único (“one-stop-shop”) previsto no RGPD, além de não contemplar as situações em que também é aplicável o RGPD como sejam as embaixadas e consulados portuguesas, bem como embarcações e aeronaves.
Dever de segredo – artigo 20.º, n.º 1
No entendimento da CNPD, este artigo carece de relevância jurídica face ao RGPD, dado que se limita a repetir disposições já constantes do RGPD, nomeadamente no que respeita à possibilidade de restringir o direito à informação do titular dos dados nos casos em que a recolha dos dados seja indirecta e se verifique existe dever legal de segredo.
Já no que respeita à possibilidade de restringir o direito à informação no âmbito da recolha de dados junto do titular, esse direito só poderá ser restringido ao abrigo do disposto no artigo 23º do RGPD e a Lei de Protecção de Dados não cumpre com os requisitos ali ínsitos, pelo que contraria normas do RGPD e da Carta dos Direitos Fundamentais.
Tratamento de dados pessoais por entidades públicas para finalidades diferentes – artigo 23.º, n.º 1 e n.º 2
Para a CNPD, além de contrariar o princípio da finalidade ou da limitação das finalidades, a alargada possibilidade de tratamento de dados pessoais por entidades públicas para finalidades distintas da originária face ao disposto no RGPD não cumpre os requisitos impostos por este diploma quanto às normas legais que prevejam a reutilização de dados. Estamos em absoluto acordo, considerando o espírito e as normas constantes do RGPD.
Relações laborais – artigo 28.º, n.º 3, alínea a)
Como temos referido, o consentimento não constitui fundamento válido de licitude do tratamento de dados no âmbito da relação laboral, uma vez que se verifica um manifesto desequilíbrio entre o trabalhador titular dos dados e o empregador responsável pelo tratamento dos mesmos, o que impede que aquele consentimento seja dado livremente. No entanto, e alargando esse princípio a todos os casos que não estejam previstos no número 3 do artigo 28º, a Lei de Protecção de Dados contraria aquela que tem sido a doutrina das instituições europeias, no sentido de aceitar o consentimento do trabalhador nas situações em que o acto de dar ou recusar o consentimento não tenha, por si só, consequências negativas para o trabalhador. Por este motivo, a CNPD recusa esta limitação injustificada, que retira relevância jurídica ao livre arbítrio do trabalhador.
Regime das contra-ordenações – artigos 37.º, 38.º e 39.º
Refere a CNPD que algumas das infracções previstas na lei contrariam o elenco taxativo previsto no RGPD. A CNPD também critica a distinção de molduras sancionatórias em função da dimensão das empresas e da natureza colectiva ou singular dos sujeitos que realizem tratamentos de dados, uma vez que o impacto sobre os dados pessoais não depende daquelas características, mas sim da natureza da actividade desenvolvida.
Renovação do consentimento – artigo 61.º, n.º 2
Mais uma vez, a CNPD alerta que o consentimento do titular dos dados e o contrato em que este seja parte são duas fontes distintas de licitude para o tratamento de dados pessoais. Dito de outro modo, a CNPD vem sublinhar que o tratamento de dados necessários à execução de um contrato não tem – nem pode ter – por fundamento o consentimento do titular, pelo que é totalmente violadora do RGPD a relação imposta pelo número 2 do artigo 61º: “caso a caducidade do consentimento seja motivo de cessação de contrato em que o titular de dados seja parte, o tratamento de dados é lícito até que esta ocorra”.
Existindo um contrato, o tratamento de dados que sejam necessários à sua execução não depende de consentimento, pelo que não percebemos em que situação a caducidade do consentimento teria como consequência a cessação do contrato. De facto, como refere a CNPD, há alguma confusão de conceitos por parte do legislador, que tentava resolver ou amenizar o problema das seguradoras, mormente no que respeita aos seguros de saúde, considerando que a execução contratual não constitui fundamento de licitude para tratamento de dados de saúde. Não só não teve sucesso, como criou uma disposição legal em que os próprios termos se contradizem. Tal é a situação, que a própria norma seria inaplicável pela própria natureza das coisas, independentemente da intervenção, aliás louvável, da CNPD.
Regime de protecção de dados pessoais – artigo 62.º, n.º 2
Relativamente à aplicação retroactiva do RGPD aparentemente pretendida pelo legislador, a CNPD vem frisar que a mesma, além de violadora daquele diploma, esvazia o efeito útil pretendido com o período de transição de 2 anos estabelecido pelo legislador da União Europeia.
Finalmente, a CNPD decidiu tornar pública esta deliberação por forma a assegurar, no futuro, a transparência dos seus procedimentos decisórios, assim contribuindo para a certeza e segurança jurídicas. Partilhamos em anexo a deliberação da CNPD, para melhor referência dos nossos leitores.