Novas multas na proteção de dados entram hoje em vigor

DADOS PESSOAIS

Novas multas na proteção de dados entram hoje em vigor

A lei nacional sobre proteção de dados foi publicada esta quinta-feira em Diário da República e entra hoje em vigor. Entre as novidades, e com os limites nacionais já delimitados, estão as coimas que passam a arriscar quem não cumpra as regras.

FILOMENA LANÇA
filomenalanca@negocios.pt

Se é certo que o regulamento Geral de Proteção de Dados (RGPD), precisamente por ser um regulamento comunitário, é de aplicação automática, havia, ainda assim, um conjunto de matérias em que a União Europeia deixou espaço de manobra aos Estados-membros, para que estes fizessem as suas opções. Mais de um ano passado sobre a data em que este começou a produzir efeitos, chega agora ao terreno a lei que, em Portugal, o vem concretizar. A nova lei, que revoga a anterior lei de proteção de dados, foi publicada ontem em Diário da República e entra hoje em vigor.

Uma das questões que agora ficam concretizadas é a das coimas a aplicar a quem não cumpra as novas regras do RGPD, precisamente um dos temas em que os países tiveram margemde manobra para atuar, tendo a União Europeia fixado apenas os limites máximos. E as coimas serão diferentes consoante a gravidade da violação, por um lado - natureza, a gravidade, a duração, se houve dolo ou negligência -, e dependendo de quem a comete, por outro.

As contraordenações estão divididas entre graves e muito graves, sendo que, para estas últimas, a coimaa aplicar vai dos 5.000 euros até aos 20 milhões de euros (ou, em alternativa, 4% do volume de negócios mundial da empresa, se for mais elevado). Estando em causa uma PME, os valores baixam: entre 2.000 e dois milliões (ou os mesmos 4% do volume de negócios). Para as pessoas singulares o valor das coimas baixa, podendo ir dos mil aos 500 mil euros.

Já para as contraordenações graves, os limites são os seguintes: entre 2.500 e 10 milhões (ou 2% do volume de negócios) para as empresas em geral e entre mil e um milhão de euros (ou 2% do volume de negócios) para as PME). Tratando-se de pessoas singulares, arriscam coimas entre os 500 e os 250 mil euros.

E em que casos estaremos perante uma contraordenação muito girave? "Alguém que tenha uma base de dados em que as pessoas deram o consentimento para ser usada com uma determinada finalidade e que, afinal, é usada para outra completamente diferente", exemplifica Alexandre Sousa Pinheiro, especialista em proteção de dados e coautor do livro "Comentário ao RGPD". E um caso de uma infração grave? "Uma entidade estar obrigada a designar um encarregado de proteção de dados e não o fazer."

Coimas podem prescrever

A entidade encarregue de aplicar a lei é a Comissão Nacional de Proteção de Dados (CNPD), sendo que se prevê, por outro lado, um período a partir do qual as coimas prescrevem: Se ultrapassarem os 100 mil euros, a prescrição ocorre ao fim de três anos; sendo iguais ou inferiores, então o prazo de prescrição é de dois anos.

Tal como já havia sido noticiado, as entidades públicas estão também sujeitas à aplicação de coimas, mas podem pedir um período de isenção. "A CNPD pode dispensar a aplicação durante um prazo de três anos desde que lhe seja apresentado um pedido devidamente fundamentado", refere Alexandre Pinheiro. Ora, alerta, "do ponto de vista técnico isto não é vulgar, porque quem vai aplicar as coimas vai também isentar da sua aplicação". O legislador "não quis tomar nenhuma decisão e passou para a CNPD. Não é muito aceitável", remata o especialista. Refira-se ainda que, além da aplicação de coimas, a nova lei tipifica também um conjunto de crimes, por exemplo a utilização de dados de forma incompatível com a finalidade da recolha; acesso indevido a dados pessoais; desvio de dados; inserção de dados falsos ou violação do dever de sigilo, entre outros.

O QUE MUDA

As adaptações feitas pelo Parlamento que entram agora em vigor

O Regulamento Geral de Proteção de Dados (RGPD) está em vigor desde o dia 25 de maio de 2018, mas as normas relativas às matérias em que o Governo português quis fazer uma adaptação própria só agora vão chegar ao terreno. Eis algumas das mais relevantes:

ENCARREGADO DE PROTEÇÃO DE DADOS

A generalidade das entidades, incluindo pessoas singulares, terá de assegurar a existência de um encarregado de proteção de dados (EPD). Por cá este regime é desenvolvido e o EPD é responsável por assegurar a realização de audições periódicas ou não programadas, o que não decorria do RGPD. As auditorias terão ser feitas por auditores que respeitem as normas internacionais, avisa Alexandre Pinheiro.

CERTIFICAÇÃO SÓ POR ENTIDADES ACREDITADAS

A certificação de selos, procedimentos e marcas de proteção de dados - que asseguram, por exemplo, que uma empresa cumpre toda a lei em matéria de proteção de dados - exige a intervenção de entidades devidamente certificadas pelo Instituto Português de Acreditação (IPAC) e pela Comissão Nacional de Proteção de Dados e a expectativa é que esta venha estabelecer requisitos adicionais aos que o IPAC introduza.

CONSENTIMENTO A PARTIR DOS 13 ANOS

Era uma matéria em que os Estados podiam optar e em Portugal optou-se pela idade mínima, pelo que o consentimento de menores para o acesso aos produtos da sociedade de informação pode acontecer a partir dos 13 anos e independentemente de autorização dos pais. Estão em causa, por exemplo, acessos a jogos, música, material de entretenimento em geral e excluídos, por exemplo, materiais de natureza pornográfica.

VIDEOVIGILÂNCIA NO LOCAL DE TRABALHO

O RGPD não prevê e em Portugal a opção agora tomada e posta na lei deriva das orientações que já havia por parte da CNPD. Basicamente, é possível a utilização de câmaras em espaços fechados e também para finalidades de trabalho. Porém, as gravações só podem ser usadas para fins disciplinares se delas decorrer algum indício de natureza penal.

DADOS BIOMÉTRICOS COM REGIME PRÓPRIO

Estes dados são considerados legítimos para controlo de assiduidade e de acesso ao local de trabalho, por exemplo. Já o eram de acordo com a lei anterior e o RGPD veio considerá-los dados sensíveis, permitindo que os Estados fixassem um regime próprio, o que Portugal optou por fazer.

RENOVAÇÃO NEM SEMPRE É NECESSÁRIA

Fica expressamente previsto que quando o tratamento dos dados pessoais já em curso antes da nova lei entrar em vigor se baseia no consentimento do titular dos dados, então não é necessário obter novo consentimento se o anterior tiver observado as exigências do RGPD.

DR. LIMITAR INDEXAÇÃO A MOTORES DE BUSCA

Passa a haver uma previsão de que o Diário da República Eletrónico deve obedecer ao RGPD e que sempre que exista uma publicação excessiva de informação sobre os titulares de dados pessoais, pode haver uma desindexação dos dados aos motores de busca. Será o caso, por exemplo, de um concurso público.

13/12/2019 12:29:52