NOTÍCIAS
2019/10/22

A transposição para a ordem jurídica interna do RGPD

No dia 8 de agosto do presente ano foi aprovada a lei que assegura a execução, na ordem jurídica interna, do regulamento geral da proteção de dados (RGPD – Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016). Recorde-se que o regulamento já tinha aplicação plena desde 25 de Maio 2018.Com a entrada em vigor desta lei importa destacar alguns pontos, nomeadamente:

 

O Encarregado da Proteção de Dados é designado com base nas suas capacidade e qualidades profissionais nomeadamente nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados mas não necessita de certificação profissional para o efeito e exerce a sua posição com autonomia técnica perante a entidade responsável pelo tratamento de dados. Cabe-lhe para além das funções previstas nos artigos 37º e 39º do RGPD:

a. assegurar a realização de auditorias periódicas e não programadas;

b. sensibilizar os utilizadores para a importância da detecção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;

c. assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

 

Fixando a nova lei quais as condições subjacentes à obrigação de designação de um encarregado de proteção de dados nas entidades públicas, e quais dessas entidades públicas estão obrigadas a nomear um encarregado de proteção de dados. Sendo que o Encarregado de Proteção de Dados é também obrigatório para algumas entidades privadas sempre que a atividade desenvolvida a título principal implique:

• Operações de tratamentos que, devido à sua natureza, âmbito e ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

• Operações de tratamento, em grande escala das categorias especiais de dados nos termos do artigo 9.º do RGPD, ou de dados pessoais relacionados com condenações penais e contraordenacionais nos termos do artigo 10.ºdo RGPD.

 

Os sistemas de videovigilância, além dos requisitos previstos no artigo 31º da Lei nº 34/2013 de 16 Maio, não poderão incidir sobre:

• vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;

• a zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;

• o interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade, designadamente instalações sanitárias, zonas de espera e provadores de vestuário;

• o interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso. Surgem situações específicas de tratamento de dados quanto às relações laborais onde se estabeleceu regras específicas relativas ao tratamento de dados dos trabalhadores relativo ao:

• Consentimento - o legislador nacional estabeleceu que o consentimento do trabalhador não constitui requisito de legitimidade para o tratamento dos seus dados pessoais, se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador ou se esse tratamento for necessário para a execução de um contrato no qual o trabalhador seja parte, ou necessário para diligências pré-contratuais;

• Em relação a sistemas de videovigilância fixou-se que só podem ser utilizadas imagens de vigilância à distância em processo disciplinar, na medida em que o sejam no âmbito do processo penal.

• O legislador português estipulou que o tratamento de dados biométricos dos trabalhadores só é considerado legítimo para o controlo de acessos às instalações do empregador e para o controlo de assiduidade.

 

E o legislador introduziu algumas novidades no regime das contraordenações. Assim as contraordenações muito graves são punidas com coima: • de €5.000 a €20.000.000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;

• de €2.000 a €2.000.000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;

• de €1.000 a €500.000, no caso de pessoas singulares. Já as contraordenações graves são punidas com coima: • de €2.500 a €10.000.000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;

• de €1.000 a €1.000.000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;

• de €500 a €250.000, no caso de pessoas singulares.

 

Como critérios de determinação da medida da coima, a CNPD terá que ter em conta, para além dos previstos no artigo 83º nº 2 do RGPD, os seguintes:

• a situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;

• o carácter continuado da infração;

• a dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.

 

Acrescendo o facto de a nova lei prever que, excepto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável. As coimas previstas no RGPD e na presente lei aplicam-se de igual modo, às entidades públicas e privadas. Contudo, mediante pedido devidamente fundamentado, as entidades públicas podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei.

PRETENDE OBTER MAIS INFORMAÇÕES?
Marque a sua consulta, ou exponha-nos as suas dúvidas, através do nosso formulário de contacto.