Nova Lei do RGPD: “Agora é que vão começar os problemas jurídicos”

O tratamento de dados pessoais passou a ser uma preocupação constante e diária na vida das empresas e dos particulares. Fazer uma compra online ou assinar uma newsletter pode traduzir-se numa partilha infindável de dados. Perante a necessidade de defender os direitos dos cidadãos, foi publicado um novo regulamento comunitário de proteção de dados, que entrou em vigor em 2016.

Inicialmente era suposto ser um regulamento de aplicação direta e imediata, sem necessidade de regulamentação extra, mas os legisladores nacionais entenderam que era urgente produzir normas que concretizassem e executassem o regime geral de proteção de dados (RGPD), surgindo assim, em Portugal, a Lei n.º 58/2019, de 8 de agosto.

“A legislação traça um quadro diversificado e agora é que vão começar os problemas jurídicos”, refere Catarina Sarmento e Castro, na conferência “Nova lei da proteção de dados”. Para a professora da Universidade de Coimbra, o grande problema do legislador, nos vários Estados, foi “conseguir desempenhar a sua tarefa sem entrar em confronto com o regulamento”. “Neste momento estamos no limbo”, diz Filipe Pereira, head of digital lead & protection na LCG. “Metade credibiliza a Comissão Nacional de Proteção de Dados (CNPD) e outra metade não”, acrescenta. A CNPD foi a entidade nomeada pela Assembleia da República para controlar a fiscalização da aplicação do RGPD. Mas até que ponto não se sobrepôs o legislador nacional ao direito europeu?

Um novo quadro sancionatório

Apesar da matéria de proteção de dados ser uma preocupação do legislador há bastante tempo, foram as coimas previstas que acabaram por trazer o RGPD para a ordem do dia. Previram-se valores bastantes mais elevados que na diretiva anterior e apesar de o RGPD determinar que devem existir sanções equivalentes aos restantes Estados membros, a nova lei veio definir diferentes limites máximos e mínimos para Portugal.

Exista um primado do direito comunitário sobre o direito interno e a lei, ao introduzir estes limites, viola o direito da União Europeia. “A CNPD deliberou, mas suscita dúvidas, porque é às instâncias europeias que cabe avaliar se o direito interno viola ou não o direito europeu”, explica Catarina Pimenta Coelho. Fica assim aberta a porta para novas sanções do próprio RGPD. “As organizações começaram a preparar-se com medo das coimas, o bicho papão”, enfatizou Filipe Pereira. Perante o novo quadro sancionatório previsto podemos concluir que o legislador sobrepôs-se ao RGPD.

Com a Lei de 8 de agosto foram estabelecidos diferentes limites máximos para as pequenas e médias empresas e pessoas singulares. O RGPD prevê coimas de 20 milhões de euros ou 4% das receitas anuais da empresa em inconformidade, consoante seja o valor mais alto, a aplicação do regulamento em Portugal vai diferenciar as grandes das pequenas e médias empresas (PME). As coimas também serão divididas em graves e muito graves, mudando a moldura penal em cada um dos casos.

Um dos problemas graves apontadas na conferência promovida pela B’Law e pelo ECO é que segundo a remissão feita na lei, são consideradas pequenas e médias empresas as que integram “menos de 250 pessoas” ou têm um volume de negócios inferior a 50 milhões de euros, ou seja, não são pequenas empresas, ainda “possuem alguma dimensão”, aponta Cristina Pimenta Coelho. Recorde-se que este critério afeta também a determinação do valor da coima, uma vez que a lei considera-o um fator determinante.

Estão as entidades Públicas sujeitas ao RGPD?

Um dos pontos mais controversos em torno das normas subjacentes à proteção de dados, foi se as entidades públicas ficavam sujeitas ao RGPD. O regulamento referiu para os Estados membros não aplicarem durante o período de três anos, principalmente devido às elevadas coimas, mas a lei tipificou que as coimas aplicavam-se também às entidades públicas.

O legislador português decidiu construir uma norma “estranha”, segundo Catarina Sarmento e Castro. Desta forma, as entidades públicas passam a estar sujeitas a coimas, mas podem dispensar a aplicação por três anos. A dispensa, segundo a lei, pode ser requerida após ser interposto o processo de contraordenação.

“Esta norma determina que haja uma avalanche de pedidos para a isenção do pagamento. Muito problemática. Não há critérios que fundamentem este pedido. Quais são os critérios para ter em conta a decisão da dispensa ou não?”, questiona Cristina Pimenta Coelho, consultora principal do Centro de Competências Jurídicas do Estado.

Deliberações da CNPD podem ser impugnadas?

As deliberações da CNPD são orientações formuladas pela comissão perante determinadas situações que surgem no âmbito da proteção de dados. Muitas vezes as deliberações mantêm-se válidas e podem continuar a ser utilizadas como referência. “Mas atendendo aos conteúdos das deliberações da CNPD, será que podem ser administrativamente impugnadas?“, questionou Alexandre Sousa Pinheiro, professor da Faculdade de Direito da Universidade de Lisboa.

Os atos administrativos são praticados com base na interpretação da comissão face ao regulamento da lei e fazendo fé das deliberações interpretativas. Nestes atos, a via de impugnação devia ser através de um regulamento, mas nas deliberações interpretativas não existem normas e sem normas não existe regulamento.

“O Tribunal Constitucional considerou que não eram normas que pudessem ser fiscalizadas pelo tribunal. Conclusão, não estamos perante matéria regulamentar que possa ser impugnada por uma via prevista no CPTA“, refere Alexandre Sousa Pinheiro.

“Caso para dizer que o crime compensa”

Para além de um novo quadro sancionatório e da sujeição das entidades públicas à RGPD, a nova lei da proteção de dados consagra ainda a responsabilidade penal das pessoas coletivas. A norma vem consagrar que se o mesmo facto for crime e contraordenação, é punido a título de crime. O legislador levantou um grave problema com esta disposição. “Como há uma série de normas em que a constituição simultaneamente considera como contraordenação e crime, é caso para dizer que o crime compensa. Pois a sanção é muito inferior no crime“, refere Catarina Pimenta Coelho.

Optando pela sanção do crime, e não pela contraordenação, aos agentes é atribuída uma punição bastante inferior ao consagrado no RGPD. Por exemplo, em caso de sanção com pena de prisão até um ano, o juiz aplica a multa, o que se traduz, na opinião dos intervenientes, num “desrespeito” face ao RGPD.

Mas apesar dos pontos duvidosos da Lei, num aspeto o legislador teve sucesso, segundo Luís Neto Galvão, sócio da SRS. O RGPD não protegeu os dados pessoais dos falecidos — referentes à saúde, à intimidade e à imagem –, mas a nova lei portuguesa fá-lo.

O que se entende por DPO?

Não é intuitiva a sigla DPO, mas o que representa é um encarregado de proteção de dados. Com a nova lei, as empresas passam a ter o dever de designar um DPO que assegura a realização de auditorias e sensibiliza os utilizadores para a importância da deteção atempada de incidentes de segurança.

A tarefa de um encarregado de proteção de dados vai muito além das obrigações dispostas na lei. Para prosseguir a sua função com êxito, um DPO tem de adotar certas diligências. Precisa de ter um suporte por parte da organização para a qual presta o serviço, conhecendo os seus fins e objetivos. “É necessário que as formações sejam feitas para que as pessoas vistam a camisola da privacidade. As formações têm de instituir boas práticas”, assegura Ana Fazendeiro, CEO/Legal expert protect data.

Equipas multidisciplinares são uma mais valia

Os sistemas de segurança do tratamento de dados pessoais são uma realidade à qual Portugal não pode ignorar. Nestes sistemas, que se consubstanciam em subsistemas integrados que visam um determinado objetivo, os dados pessoais são apenas um dos ramos. Para tal, é necessário uma gestão de segurança da informação, de forma a garantir que todos os dados armazenados e transmitidos sejam bem tratados.

O professor tenente coronel da Academia Militar, José Lourenço Martins, alertou para o facto de ser importante “conhecer as organizações, o adversário, o estado da arte e a lógica de abordagem do risco”. É fundamental fazer uma avaliação do respetivo risco para se proceder à implementação de controlos de segurança.

A grande dificuldade que o tenente coronel sentiu até ao momento foi na “integração de equipas com competências diferentes”. Os profissionais de cada área veem conceitos de formas diferentes e assim é essencial constituir equipas multidisciplinares para um melhor desempenho nos processos de segurança.