Lei de proteção de dados pessoais – uma proposta impossível de recusar?

Saiba mais sobre a proposta de Lei  Lei 120/XIII

Encontra-se neste momento na Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias da Assembleia da República, a Proposta de Lei 120/XIII que visa regular alguns aspetos deixados à liberdade dos Estados Membros no Regulamento Geral de Proteção de Dados.

Dir-se-á que a Proposta de Lei teve um início pouco auspicioso quando é apresentada à Assembleia da República pela Ministra da Presidência e da Modernização Administrativa como sendo um instrumento que visa adaptar um RGPD com soluções desfasadas ao tecido empresarial português.

Para alcançar tal desiderato, o Governo introduziu tímidas intervenções que se podem resumir no seguinte:

  • Esclarecer que o DPO (Encarregado de Proteção de Dados) não necessita de qualquer certificação profissional – art.º 9.º da Proposta;
  • Definição de quais as entidades públicas obrigadas à designação de um DPO – art.º 12.º, n.º 2;
  • Nomear o IPAC, I.P., como organismo responsável pela acreditação em matéria de proteção de dados – art.º 14.º;
  • Determinação da idade equivalente a “menor” para efeitos de aplicação do RGPD (13 anos) – art.º 16.º, n.º 1;
  • Apontar para a jurisdição administrativa como a competente para a propositura de ações contra a CNPD – art.º 34.º, n.º 1 e 2;
  • Definição do regime jurídico que regula as coimas e crimes em matéria de protecção de dados – art.º 37.º a 56.º.

Retrato do patamar de preparação das empresas para a aplicação deste conjunto de normas acerca da proteção de dados é a reação destas ao diploma que o Governo apresentou para aprovação da Assembleia da República, resumindo-se esta na congratulação pela redução do valor das coimas.

O valor mínimo das coimas foi, efetivamente, fixado num patamar bem inferior ao dos 20 milhões de euros ou 4% de faturação (consoante o que for maior), podendo ir de €500,00 no caso de contraordenações graves praticadas por empresários a título individual ou €5.000,00 no caso de contraordenações muito graves praticadas por grandes empresas.

Porém, ainda não é claro hoje que comportamentos em específico são geradores de responsabilidade contraordenacional, como não são claras as operações de tratamento que estão sujeitas a regras como a obrigatoriedade de Avaliação de Impacto.

Sem falarmos do período concedido às entidades públicas para se prepararem para um Regulamento que entrou em vigor há dois anos, verdade é que o legislador acaba por apresentar um diploma pobre em termos de inovação, onde se reproduz amiúde o texto (mal traduzido) do próprio RGPD, numa altura deveras tardia e sem esclarecer os pontos que verdadeiramente são desafios interpretativos para juristas e empresários.

Não admira, assim, que a CNPD sentisse necessidade de elaborar um relatório de 83 páginas repletas de vigorosos reparos à Proposta de Lei. Resta-nos aguardar pela versão final de um diploma que, numa primeira abordagem, está longe de ser uma proposta impossível de recusar.

 

David Silva

(david.silva@lawrei.com)