Dia Europeu da Proteção de Dados: das críticas – da CNPD à Lei de Execução do RGPD – às coimas aplicadas

Hoje, dia 28 de janeiro de 2020, comemora-se pela 14.ª vez o Dia Europeu da Proteção de Dados, denominado, fora da Europa, por “Dia da Privacidade”. Esta data, instituída em 2006 pelo Conselho da Europa, foi escolhida já que foi a 28 de janeiro de 1981 que a convenção do Conselho da Europa relativa à proteção das pessoas relativamente ao tratamento automatizado de dados de caráter pessoal, conhecida por “Convenção 108”, foi aberta à assinatura. Esta Convenção visa garantir, de um modo geral, a todas as pessoas singulares, seja qual for a sua nacionalidade ou residência, o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seu direito à vida privada, face ao tratamento automatizado dos dados de caráter pessoal que lhes digam respeito (proteção dos dados).

Com a comemoração deste dia pretende-se aumentar a consciência relativamente à importância da privacidade, promover a proteção dos dados pessoais, informar os cidadãos sobre os seus direitos e sobre como exercê-los de forma mais eficaz e, bem assim, alertar as entidades para as melhores práticas a verificar quanto a esta matéria.

Em Portugal, ao Regulamento Geral sobre a Proteção de Dados (“RGPD”), diretamente aplicável em todos os Estados-Membros desde 25 de Maio de 2018, juntou-se a Lei n.º 58/2019, de 8 de agosto. Entre outros aspetos que, infelizmente, ficaram aquém de toda a discussão pública que a proposta inicial suscitou, o diploma nacional veio, sem grande surpresa, confirmar a Comissão Nacional de Proteção de Dados (“CNPD”) como “a autoridade de controlo nacional para efeitos do RGPD e da presente lei”, bem como regular vários aspetos, atendendo às cláusulas de abertura constantes do RGPD, como sejam, consentimento de menores relativo à oferta direta de serviços da sociedade de informação, proteção de dados pessoais de pessoas falecidas, videovigilância, relações laborais e tratamento de dados de saúde e dados genéticos.

Refira-se, no entanto, que a CNPD, já na qualidade de autoridade de controlo nacional, manifestou uma frontal discordância com a aplicabilidade de diversas disposições daquele diploma, através da Deliberação/2019/494, chamando à colação as palavras da Comissão Europeia na Comunicação ao Parlamento Europeu e ao Conselho, datada de 24 de janeiro de 2018, quando a mesma menciona que os Estados-Membros, quando adotam as respetivas legislações nacionais “devem ter em conta o facto de que quaisquer medidas nacionais que resultem na criação de um obstáculo à aplicabilidade direta do Regulamento e ponham em perigo a sua aplicação simultânea e uniforme em toda a UE, são contrárias aos Tratados”. Cita ainda o Tribunal de Justiça da União Europeia, no Acórdão Costa/Enel, quando este afirma que o supra referido seria destituído “de significado se um Estado pudesse, unilateralmente, anular os seus efeitos através de um ato legislativo oponível aos textos comunitários”. Considera, assim, a CNPD, que a adoção nacional de normas jurídicas em contradição com o previsto no RGPD viola o princípio do primado do direito da União e prejudica gravemente o funcionamento do mecanismo de coerência.

De entre as normas que a CNPD deliberou desaplicar “em casos futuros que venha a apreciar” contam-se disposições relativas ao regime das contraordenações. Trata-se, contudo, de uma desaplicação parcial/pontual de parte deste regime, pelo que, a CNPD, no desempenho das suas atribuições e competências, aplicou já 4 coimas, a entidades públicas e privadas, devido ao incumprimento dos direitos dos titulares dos dados e à insuficiência de medidas técnicas e organizativas para garantir a segurança da informação. Comparativamente, verifica-se que das 190 coimas aplicadas pelo conjunto das autoridades de controlo nacionais europeias, a AEPD espanhola destaca-se com 43 coimas aplicadas, seguida da ANSPDCP romena com 21.

*Catarina Costa Ramos é associada coordenadora da GPA e Paula Alegria Martins é associada da GPA.