Nova Lei de Execução Nacional do RGPD entrou em vigor

Lei nº 58/2019 de 8 de Agosto

A Lei de Execução Nacional do Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor no dia 9 de Agosto de 2019.

A lei de execução nacional vem regular e esclarecer algumas matérias no RGPD, no âmbito do território nacional.

As principais novidades trazidas por este diploma legal são as seguintes:

1. Comissão Nacional de Proteção de Dados (CNPD)

O diploma legal vem esclarecer que a Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e da lei de execução nacional. A CNPD passa a ter poderes de autoridade.

Assim, cabe à CNPD controlar e fiscalizar o cumprimento do RGPD e da lei de execução nacional assim como corrigir e sancionar o seu incumprimento.

As entidades públicas e privadas encontram-se obrigadas a prestar a sua colaboração à CNPD, tendo de lhe facultar todas as informações que esta lhes solicitar.

2. Encarregado de Proteção de Dados (“Data Protection Officer – DPO”)

Em relação ao Encarregado de Proteção de Dados (DPO) a lei vem confirmar que o DPO não necessita de certificação profissional para o efeito e é designado com base nas suas qualidades profissionais e, em especial, pelos seus conhecimentos do direito e das práticas de proteção de dados. Esclarece-se que o Encarregado de Proteção de Dados pode ser um elemento do pessoal (com contrato de trabalho) ou pode exercer as suas funções com base num contrato de prestação de serviços ou em regime de avença.

Uma das novidades da lei de execução nacional é a obrigatoriedade das entidades públicas de designarem encarregados de protecção de dados.

3. Consentimento de Menores

Realça-se que relativamente à oferta direta de serviços da sociedade de informação, que as crianças com 13 anos de idade podem dar o seu consentimento para o tratamento dos seus dados pessoais. No entanto, se a criança tiver idade inferior a 13 anos, o tratamento só será lícito se o consentimento for dado pelos seus representantes legais, sendo que o consentimento deverá ser dado, de preferência, com recurso a meios de autenticação segura (por exemplo, assinatura digital).

4. Proteção de dados pessoais de pessoas falecidas

Outra das novidades que esta lei vem trazer prende-se com a proteção dos dados pessoais de pessoas falecidas. Porém, cumpre destacar que nem todos os dados pessoais de pessoas falecidas são protegidos pelo RGPD ou pela lei nacional de execução do RGPD, apenas se encontram protegidos os dados que se integram nas categorias especiais de dados (dados sensíveis), os dados que se reportem à intimidade da vida privada, à imagem ou aos dados relativos às comunicações de pessoas falecidas.

Os direitos de acesso, retificação e apagamento relativos a dados pessoais de pessoas falecidas acima mencionados serão exercidos por quem a pessoa falecida tenha designado para o efeito ou, na sua falta, pelos seus herdeiros.

5. Videovigilância

Já no que diz respeito à videovigilância, a lei vem estabelecer e clarificar os locais em que as câmaras de videovigilância não podem incidir, ou seja, nas vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável pelo tratamento; a zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM; o interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade, designadamente instalações sanitárias, zonas de espera e provadores de vestuário; o interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.

É proibida a captação de som, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.

Chama-se a atenção de que com o RGPD, já não é necessário pedir autorização à CNPD para utilizar sistemas de videovigilância nas instalações quando a finalidade seja a proteção e segurança de pessoas e bens, exceto quando haja a captação de som quando as instalações estejam abertas. Não obstante, o empregador continua obrigado a cumprir todos os restantes requisitos previstos na legislação laboral relativamente a esta matéria, que constam dos artigos 20º e 21º do Código do Trabalho.

6. Prazo de Conservação de Dados Pessoais

A lei vem esclarecer que o prazo de conservação de dados pessoais é o que estiver fixado por lei ou regulamento, ou na falta desta, o que se revele necessário para a prossecução da finalidade. De realçar, ainda, que podem ser conservados sem limite de prazo os dados relativos às declarações contributivas para efeitos de aposentação ou reforma.

7. Relações Laborais

Em relação às relações laborais, destaca-se a “legalização” do tratamento de dados biométricos para controlo de assiduidade e para controlo de acessos às instalações do empregador.

Esta lei vem permitir que as imagens gravadas e outros dados pessoais registados através de sistemas de vídeo ou outros meios tecnológicos de vigilância à distância (por exemplo, “car tracking”) podem ser usados no âmbito de processos disciplinares, desde que as mesmas tenham sido usadas no âmbito de um processo crime e esse processo disciplinar vise apurar a responsabilidade disciplinar do trabalhador pelos factos relativos ao processo crime.

8. Coimas

A lei vem reproduzir em parte o que se encontra no RGPD em relação às coimas, tendo, no entanto, previsto que o montante das coimas tenha em conta a dimensão da empresa. Assim, nas contraordenações muito graves, estabelece-se coimas para grandes empresas de € 5.000 a € 20.000.000 ou 4% do volume de negócios anual a nível mundial, conforme o que for mais elevado, para as PME’s de € 2.000 a € 2.000.000 ou 4% do volume de negócios anual a nível mundial, conforme o que for mais elevado e para as pessoas singulares de € 1.000 a € 500.000. No que concerne às contraordenações graves são estabelecidas coimas para grandes empresas de € 2.500 a € 10.000.000 ou 1% do volume de negócios anual a nível mundial, conforme o que for mais elevado, para as PME’s de € 1.000 a € 1.000.000 ou 2% do volume de negócios anual a nível mundial, conforme o que for mais elevado e para as pessoas singulares de € 500 a € 250.000.

9. Dispensa da aplicação de coimas para as entidades públicas

Apesar das coimas serem aplicáveis tanto às entidades públicas e privadas de igual modo, a lei vem fazer uma distinção, permitindo que as entidades públicas possam mediante pedido fundamentado solicitar à CNPD a dispensa de aplicação de coimas durante o prazo de 3 anos a contar da entrada em vigor da lei de execução nacional do RGPD. Não se sabe qual vai ser a orientação da CNPD nestas situações, apesar da CNPD ter publicamente afirmado a sua discordância com esta diferenciação.

 

Esta lei veio clarificar algumas questões importantes principalmente a nível da videovigilância e a nível laboral, no entanto, a lei não é clara e existem muitos outros assuntos que necessitarão de clarificação, o que não veio a acontecer.

É importante notar que a lei de execução nacional não veio dar um prazo adicional às organizações para renovar o consentimento dos titulares dos dados.

 

A Nucase está sempre disponível, para informar, ajudar e apoiar em todas as situações que possam ser aplicáveis à sua empresa. Para isso, basta que nos contacte através do email geral@nucase.pt ou dos meios de comunicação que utiliza habitualmente. Pode, ainda, fazer download desta informação, aqui.