Proposta de Lei 120 n.º 120/XIII – Proteção de Dados Em fase de discussão

A Proposta da Lei de Proteção de Dados que tem por objeto garantir a aplicação na ordem jurídica nacional do (RGPD), está em fase de discussão.

A Proposta de Lei 120 n.º 120/XIII visa assegurar a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 ou Regulamento Europeu Protecção de Dados (RGPD), relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, sendo um tema tão importante da atualidade.

O RGPD entrou em vigor em todo o território da União Europeia, introduzindo um novo regime destinado à proteção de dados pessoais do cidadão e em especial do tratamento de dados pessoais em larga escala por grandes empresas e serviços da sociedade de informação. Reforçando também a proteção jurídica dos direitos dos titulares dos dados e definindo novas regras e procedimentos do ponto de vista tecnológico.

Assim, o Regulamento Europeu Proteção de Dados (RGPD), irá por sua vez revogar a Lei n.º 67/98 ou também designada pela Lei de Proteção de Dados Pessoais (LPD) e substituir as competências da Comissão Nacional de Protecção de Dados (CNPD) neste domínio.

Com a entrada em vigor do RGPD, estabelecesse a nova figura de “Encarregado de proteção de dados”, que deve ser designado pelo responsável de tratamento e o subcontratante, deve existir um Encarregado de proteção de dados, a título obrigatório na Administração Pública e nas entidades privadas que tratem informação e dados sensíveis ou em grande escala. Este profissional deve ser independente, ausente de conflitos de interesse, especializado no domínio do direito e das práticas de proteção de dados, mas para o exercício função, não carece de qualquer tipo de certificação profissional para o efeito.

Apesar de estarem identificadas as funções inerentes ao Encarregado de proteção de dados, nos termos do artigo 37º a 39º do RGPD, a proposta de lei mencionada ainda acrescenta as seguintes funções:

• Assegurar a realização de auditorias, quer periódicas, quer não programadas;
• Sensibilizar os utilizadores para importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança, sempre que for detetado código malicioso;
• Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

De forma a existir consciencialização referente ao tema, a CNPD ficará encarregue de fomentar a elaboração de Códigos de conduta para determinadas atividades, tendo atenção às micro, pequenas e médias empresas.

Deve-se ter em especial atenção os seguintes pontos:

• A portabilidade dos dados deve ter lugar em formato aberto, sempre que seja possível;
• Aquando a utilização de videovigilância, sejam câmaras ou outros meios de captação de som e imagem, não podem incidir sobre: Vias públicas ou propriedades limítrofes; o interior de áreas reservadas a clientes ou utentes; zonas de espera e provadores de vestuário; o interior de áreas reservadas aos trabalhadores, nomeadamente vestiários e instalações sanitárias;
• No que se refere ao prazo de conservação dos dados, assim que, cesse a finalidade que deu origem ao tratamento destes, ou de dados pessoais, o responsável pelo tratamento deverá proceder à destruição ou anonimização;
• Para tratamento de categorias especiais de dados pessoais, previstas no artigo 9º n.º1 e no n.º2 alíneas h) e i) do RGPD, deve ser efectuado por um profissional obrigado a sigilo. 

O titular de dados, em caso de dano sofrido pelo tratamento de dados ou violação das disposições do RGPD e da lei nacional, no que se refere à protecção de dados pessoais, pode intentar ações de responsabilidade civil contra o responsável ou subcontratante, mas estes não incorrem em responsabilidade civil se provarem que o facto que causou o dano lhes não é imputável.

Também esta Proposta de Lei, visa estabelecer e unificar com o RGPD a informação relativa às contraordenações entre muito graves e graves punidas com coimas.

Em Contraordenações muito graves as coimas aplicáveis serão:

€ 5000 a € 20 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;

De € 2000 a € 2 000 000 ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;

De € 1000 a € 500 000, no caso de pessoas singulares.

Em Contraordenações graves as coimas aplicáveis serão:

De € 2500 a € 10 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;

De € 1000 a € 1 000 000 ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;

De € 500 a € 250 000, no caso de pessoas singulares.

Poderá também ser punível como crime, a utilização de dados de forma incompatível com a finalidade da recolha, o acesso indevido, o desvio de dados, a viciação ou destruição de dados, inserção de dados falsos, a violação de dever ao sigilo, podendo ser a pena agravada para o dobro quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD. Também em caso de desobediência, ou seja, quando não sejam cumpridas as obrigações previstas e seja ultrapassado o prazo imposto pela CNPD para o respetivo cumprimento. 

Referências:

Proposta de Lei 120 n.º 120/XIII- https://www.parlamento.pt/ActividadeParlamentar/Paginas/DetalheIniciativa.aspx?BID=42368

REGULAMENTO (UE) 2016/679 – https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&qid=1544539890787&from=EN