Este mês, o da Belzuz Abogados, S.L.P. – Sucursal em Portugal vem informar sobre Proposta de Lei n.º 120/XIII de execução do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção
das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD).
Durante o último ano, a Belzuz Abogados, S.L.P. publicou vários artigos sobre o Regulamento Geral sobre a Proteção de Dados, considerando as alterações e inovações decorrentes para as empresas.
A transmutação da sociedade digital ocorre a um ritmo avassalador, alucinante para sermos mais precisos. As compras online, o marketing digital, o controlo através de dados biométricos nas empresas, a videovigilância,
a análise de perfis, preferências, “gostos”, são parte daquilo a que hoje podemos chamar o BIG DATA – um grande conjunto de dados que diariamente levam à era em que vivemos no presente: a era digital.
O tratamento de dados regula-se por um conjunto de disposições necessárias ao controlo e fiscalização em nome do respeito pelos direitos fundamentais das pessoas singulares.
Proporcional, adequado, coerente e legitimado, são os princípios a ter em conta quando falamos em captação de imagens, áudio, dados biométricos entre outros que possam atingir a privacidade de cada e o direito
à reserva da vida privada.
Das inúmeras disposições regulamentadas no Regulamento (EU) 2016/679, o Parlamento e o Conselho Europeu deixaram a porta aberta à regulamentação específica por cada Estado-Membro em acordo com as circunstâncias
e realidades de cada país.
A ideia está em preservar o sistema nacional de proteção de dados sob a chancela da Comissão Nacional de Proteção de Dados – nomeado órgão de controlo – ao mesmo tempo que o ordenamento
abre portas à mais forte legislação protecionista dos dados de pessoas singulares.
Em matéria de proteção de dados dos menores, apesar do regulamento prever o tratamento a partir dos 16 anos, a proposta de lei aprovada reduz para 13 anos a idade para o tratamento de dados dos menores desde que consentido pelos respetivos
pais. A idade de 13 anos é o mínimo estabelecido no regulamento a qual acabou por vir a ser adotada por quase metade dos países da UE.
No que tange em matéria de videovigilância manteve-se a necessidade de avaliação do impacto do tratamento de dados por parte do seu responsável com parecer pelo Encarregado de proteção de dados que, em caso
positivo comunicará à CNPD para serem adotadas medidas e orientações caso se mantenha o risco de impacto. Desaparece a obrigatoriedade de notificação à CNPD para em determinadas situações
ser a mesma chamada à fiscalização.
Uma das medidas inovadoras em matéria de regulamento comunitário está na criação da figura do Encarregado de Proteção de Dados.
A função desta nova entidade encontra aplicação no controlo e informação ao responsável pelo tratamento, na averiguação e fiscalização da sua atividade na recolha dos dados assegurando
a conformidade com as disposições do regulamento.
A proposta de lei nesta matéria foi ainda mais ambiciosa ao consagrar detalhadamente as funções desta nova figura ao invés do regulamento que apenas o define mas em moldes genéricos.
Ainda neste âmbito, e sem prejuízo do Regulamento definir a designação de um encarregado sempre que o tratamento for efetuado por uma autoridade ou organismo público a proposta de lei identifica como obrigatório
a existência e nomeação pelo dirigente máximo do serviço de um encarregado de proteção de dados em todas as entidades integradas na Administração pública, independentemente da sua natureza.
A lei portuguesa vai ainda mais além. Define o prazo máximo de designação do encarregado de proteção de dados: 2 anos, não atribuindo qualquer remuneração pelo seu desempenho no caso de trabalhador
em funções públicas sem prejuízo do pagamento das ajudas de custo nos termos da lei em vigor.
A violação das disposições regulamentares transpostas para o Ordenamento Jurídico Português é passível de multa nos termos definidos na legislação em vigor.
Pese embora o Regulamento preveja um teto máximo em caso de violação e omissão nas disposições aprovadas e desrespeito pelos direitos fundamentais aquando do tratamento, cabe a cada Estado definir os montantes
mínimos a aplicar, mantendo intactos os máximos.
Pela prática de contraordenações muito graves cabe às grandes empresas a aplicação de coimas que podem ir de € 2.000,00 a € 20.000.000,00 ou 4 % do volume de negócio anual, a nível mundial,
conforme for mais elevado, e de € 1000,00 a € 20.000.000,00 no caso de pessoas singulares.
Ás contraordenações muito graves praticadas pelas grandes empresas é aplicável uma coima que pode ir de € 500,00 a € 10.000.000,00 e entre € 500,00 a € 10.000,000,00 em caso de pessoas singulares.
Por sua vez, às contraordenações leves é aplicável uma coima entre € 500,00 a € 5.000,00 no caso de pessoas coletivas e € 250,00 a € 2.500,00 pelas pessoas singulares.
Fácil se conclui que o legislador foi bem mais benévolo ao distinguir os valores mínimos entre pessoas coletivas e singulares ao invés do próprio Regulamento que não olhou à natureza da pessoa, fazendo
tábua rasa da aplicação dos montantes máximos milionários em riste.
A nova lei da proteção de dados é hoje um forte instrumento de regulação que tem em vista a proteção dos direitos fundamentais. Estes mecanismos regulatórios vêm reforçar ainda mais
a natureza protecionista da União e das suas políticas entre os seus Estados-Membros, de e para fora da União.
O da Belzuz Abogados S.L.P. – Sucursal em Portugal tem amplamente implementado para os seus clientes e disponibiliza um serviço integral de avaliação das atividades de tratamento e respetiva conformação com o Regulamento
Geral de Proteção de Dados.