Publicações

Respondemos abaixo a um conjunto de questões que nos têm sido colocadas a respeito desta nova lei.

FAQ's

1. Se o RGPD é diretamente aplicável em Portugal, para que serve esta nova lei?

Em primeiro lugar, o RGPD deu margem de manobra aos estados membros para estes legislarem sobre determinadas matérias, tais como dados especialmente protegidos e tratamento de dados dos trabalhadores, etc., o que aconteceu através da presente lei.

Em segundo lugar, de acordo com o RGPD, o Estado Membro deveria nomear, através de ato legislativo, a autoridade de controlo encarregue da fiscalização da aplicação do RGPD. Através da presente lei a Assembleia da República nomeou a CNPD como entidade de controlo.

Em terceiro lugar, as contraordenações e crimes são, para alguns autores, matéria da exclusiva competência da Assembleia da República, pelo que as normas do RGPD que previam as contraordenações não eram diretamente aplicáveis, daí a necessidade de serem transpostas por ato normativo nacional.

2. Esta lei impõe obrigações adicionais às empresas, para além das referidas no RGPD? Quais?

Sim. Destacamos as seguintes:

• Encarregado de Proteção de Dados (DPO)

O DPO tem duas obrigações adicionais: i) deverá assegurar a realização de auditorias, quer periódicas, quer não programadas e ii) sensibilizar os utilizadores para importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança.

• Dados de saúde e dados genéticos

É imposta às entidades a obrigação de efetuar o acesso aos dados de saúde e a dados genéticos exclusivamente de forma eletrónica, salvo quando tal não seja possível por razões técnicas ou se o titular dos dados tiver indicado expressamente o contrário, sendo proibida a sua transmissão posterior.

É igualmente imposta a obrigação de notificar o titular de dados de saúde ou de dados genéticos de qualquer acesso aos seus dados, pelo que as empresas deverão ser capazes de identificar/rastrear esses acessos para cumprir esta obrigação.  

3. E relativamente aos dados pessoais dos trabalhadores, que novidades, em relação ao RGPD, nos traz esta nova lei?

A norma mais aguardada consiste na legalização/legitimação do tratamento dos dados biométricos (impressão digital, facial, íris, etc.) para fins de controlo de acesso às instalações da entidade empregadora e controlo de assiduidade dos trabalhadores.

Outra novidade reside no facto de se proibir a entidade empregadora, salvo disposição legal, de utilizar o consentimento dos seus trabalhadores para tratar dados pessoais destes, quando desse tratamento resultar uma vantagem jurídica ou económica para os mesmos.

Finalmente, a lei expressamente impõe que os dados pessoais de trabalhadores recolhidos através de meios tecnológicos de vigilância à distância (tais como imagens recolhidas através de câmaras de videovigilância) só poderão ser utilizadas em procedimento disciplinar se o forem no âmbito de procedimento criminal (na prática, a conduta do trabalhador tem que consubstanciar um crime).

4. Relativamente aos menores, fala-se que a nova lei estabelece os 13 anos como a idade a partir da qual o menor pode dar o consentimento para serviços da sociedade da informação. O que é que isto significa na prática?

Significa que se uma entidade oferecer serviços à distância, por via eletrónica, na sequência de um pedido do menor (os chamados serviços da sociedade de informação), e este tiver completado 13 anos, então o menor pode dar o seu consentimento para o tratamento dos seus dados pessoais relacionado com esta oferta de serviços.

Nos restantes casos, aplicam-se as regras gerais do Código Civil (o consentimento é válido se o titular tiver 18 anos, salvo casos excecionais em que o consentimento pode ser dado por menor que tenha completado 16 anos).

5. E quanto a prazos de conservação, a lei traz alguma novidade relativamente ao RGPD?

A nova lei, à semelhança do RGPD, não estabelece prazos específicos. No entanto, abre a porta à conservação dos dados pessoais pelo prazo de prescrição dos direitos e obrigações contratuais das entidades (quer sejam responsáveis quer sejam subcontratantes).

6. Relativamente às COIMAS, quais são as principais alterações?

A lei manteve os limites máximos do RGPD para as grandes empresas (poderão verificar qual a qualificação da vossa empresa aqui. No entanto, estabelece limites máximos diferentes para as PMEs e pessoas singulares. Abaixo reproduzimos quadro comparativo para evidenciar o que efetivamente mudou:

7. E afinal as entidades públicas estão sujeitas a coimas?

Estão, a menos que a CNPD as decida dispensar, em resposta a requerimento fundamentado. De qualquer forma, essa dispensa só vigorará até 9 de agosto de 2022. A partir desta data, todas as entidades públicas estarão sujeitas a coimas.

8. Fala-se que, de acordo com a nova lei, a CNPD só pode instaurar processos de contraordenação com base em negligência se previamente tiver avisado a empresa para cumprir, em prazo razoável, a obrigação que não foi observada ou reincorporar a proibição que a empresa não implementou. Isto é mesmo assim?

Efetivamente é isso que a lei estabelece. No entanto, a CNPD já veio referir, em conferência, que esta norma leva a situações de desigualdade entre responsáveis de diferentes estados membros, tendo sido perentória em afirmar que o seu cumprimento contraria o princípio do primado do direito da União Europeia.