Camila Vidal com Rui Damião em 2019-5-25

SECURITY

RGPD: Um ano depois, lei portuguesa está perto

O Grupo de Trabalho parlamentar chegou a um meio termo quanto ao “regime de exceção” do setor público. Uma das novidades do novo texto é a advertência aos agentes por parte da CNPD antes de poder aplicar coimas. O documento final já está redigido, sobe a plenário no início de junho

RGPD: Um ano depois, lei portuguesa está perto

O momento em que o deputado José Manuel Pureza inviabiliza a aprovação da proposta de lei do governo em maio de 2018

O dia 25 de maio marca um ano desde que o Regulamento Geral de Proteção de Dados (RGPD) é de aplicação obrigatória em todos os estados membros da União Europeia. 

Em vigor desde 2016, o documento uniformiza práticas em toda a UE, deixando ao critério de cada país a adaptação à sua realidade em alguns pontos específicos – como o enquadramento legal das contraordenações, previsto na Proposta de Lei N.º 125/XIII (3.ª), também revista pelo Grupo de Trabalho Parlamentar dedicado ao RGPD e à espera de aprovação parlamentar.

Distinção entre público e privado 

Um ano volvido, a lei portuguesa ainda não foi aprovada, tendo sido devolvida a um Grupo de Trabalho especializado pertencente à Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias da Assembleia da República. 

O Grupo de Trabalho pretendia avaliar a Proposta de Lei n.º 120/XIII (3.ª) e foi formado com um objetivo que se destaca de entre outras reformulações possíveis do documento: a avaliação do regime de exceção proposto para o setor público, que o isenta de coimas por três anos.

No projeto de lei de susbtituição do texto do Governo, que deverá subir a plenário no início de junho, já se distinguem as principais alterações: a lei orgânica da CNPD é alterada para ser claro que "a CNPD é a autoridade de controlo nacional para efeitos do Regulamento Geral de Proteção de Dados", atesta o documento. Além disto, também o enquadramento legal e obrigações dos Encarregados de Proteção de Dados ficam mais claros.

A 'suavização' da lei portuguesa em relação ao proposto pela UE também se sente no criado ponto 3 do Artigo 39º: "Exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável".  Mantém-se ainda o período de seis meses para adaptação das empresas ao documento, contando a partir da sua aprovação. 

Andreia Neto, deputada do PSD e coordenadora do Grupo de Trabalho sobre o RGPD, explica que até aqui se trataram de “votações indiciárias” e não finais, sabendo-se que o assunto sobe a plenário em junho.

O papel da CNPD 

O Grupo de Trabalho parlamentar quer enquadrar as funções da CNPD definitivamente na lei que vier a ser aprovada, e entende que o papel de fiscalizadora também se deve aplicar ao setor público, isto é, a isenção de coimas por três anos continua a ser possível, mas apenas se devidamente fundamentada junto da CNPD. 

Fica para trás a sugestão do Bloco de Esquerda de eliminação da proposta do governo. José Manuel Pureza explica que ficaram “em minoria e prevaleceu um regime de exceção a favor do estado”, considerando que “essa exceção não é justa nem é pedagógica”. 

A CNPD também não concorda com a distinção entre setor público e privado neste contexto, sublinhando que não há razões para não haver igualdade, apesar da clarificação de “que é cada Estado Membro que decide se as entidades do setor público pagam coimas” como indicado no RGPD e esclarecido por Daniel Reis, advodago da PLMJ.

Acolhimento voluntário precede sanções 

O Grupo de Trabalho, na pessoa de José Manuel Pureza, clarifica, no entanto, que “em ambos os casos [setores público e privado] a CNPD deve garantir a aplicação das regras do RGPD e sancionar eventuais infrações, de acordo com a lei”. 

Além disso, “quer no caso do Estado quer no caso de entidades privadas, a CNPD pode também adotar posições pedagógicas que vão no sentido do acolhimento voluntário”. Ou seja, posições pedagógicas em detrimento das sanções são uma possibilidade nesta fase.  O documento prevê a advertência obrigatória por parte da CNPD aos agentes em incumprimento, exceto em caso de dolo, que "é muito difícil" de comprovar, acredita Daniel Reis. 

Ainda há empresas em fase de adaptação ou, como diz Daniel Reis, apenas “uma minoria (sobretudo empresas grandes, setores regulados, multinacionais) está preparada”, sendo que “a maioria das PME e o setor público” ainda não estão. José Manuel Pureza acredita que o Grupo de Trabalho permitiu “um contacto próximo com todos” os setores de atividade através da audição de “múltiplas entidades”. 

Andreia Neto reconhece que “as empresas estão muito expectantes para conhecer” a nova lei. E no caso específico das PME, a adequação portuguesa deve suavizar as coimas definidas pelo RGPD. 

Quanto ao conhecimento da população em geral sobre o documento, PLMJ e deputados admitem que ainda há trabalho a ser feito. Daniel Reis acredita que houve “talvez demasiada informação veiculada em 2018”, dificultando o processo. 

José Manuel Pureza crê que “a generalidade das pessoas tem muita dificuldade em entender a minúcia jurídica do que se está a discutir, ainda que perceba a importância de um regime de proteção da privacidade, sobretudo num tempo em que são tão invasivas quanto subtis as formas de acesso a dados pessoais sensíveis”.

Já há texto de substituição. E agora?

Daniel Reis diz que não encontra "um adjetivo correto" para avaliar a demora na chegada do texto do Grupo de Trabalho a plenário. O facto de o documento apenas vir "preencher buracos" deixados pelo documento europeu, sem ter proposto legislação complementar, preocupa o advogado.

"proposta mais polémica do ponto de vista jurídico", na ótica de Daniel Reis, é o ponto 2 do Artigo 62º, que refere que "os casos em que seja necessária a prestação de novo consentimento, este deve ser obtido no prazo de seis meses a contar da entrada em vigor da presente lei (...)", acreditando que "vai totalmente contra o prórpio regulamento". O advogado arrisca dizer que houve "um desinteresse em relação a este tema", comprovado pela simplicidade do texto final.

Do lado das boas notícias, a futura aprovação da lei orgânica da CNPD vai permitir reforçar a legitimidade da CNPD na fiscalização, já que até aqui "não havia meios para isso" devido à falta de receita e ao impasse na lei portuguesa.

 

Pode consultar a nova proposta de Lei aqui.


O que há de novo na proposta do Parlamento 

  • Entidades públicas obrigadas a pedir regime de excepção por 3 anos caso a caso.
  • CNPD obrigada a advertir infratores antes de aplicar coimas ( e dar tempo para a correcção dos problemas)
  • Prazo para reconfirmação de consentimento volta a ter o contador a "zero" após publicação da Lei.
  • CNPD já tem texto para nova lei orgânica.

ARTIGOS RELACIONADOS

RGPD: Google recebe multa de 50 milhões de euros
SECURITY

RGPD: Google recebe multa de 50 milhões de euros

LER MAIS

RGPD: 40% das empresas portuguesas preocupadas com multas
SECURITY

RGPD: 40% das empresas portuguesas preocupadas com multas

LER MAIS

RGPD português: em que ficamos?
A FUNDO

RGPD português: em que ficamos?

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.