Foi aprovada em Assembleia da República, no passado dia 14 de Junho de 2019, a nova lei portuguesa de protecção de dados pessoais, impropriamente designada de lei que “assegura a execução, na ordem jurídica nacional” do Regulamento Geral de Protecção de Dados. O Regulamento é directamente aplicável nos ordenamentos jurídicos dos Estados-Membros, não carecendo de qualquer transposição ou diploma legal para lhe garantir a executoriedade, que tem, plenamente, desde o dia 25 de Maio de 2018! Esta apresentação imprecisa denuncia, no entanto, o que é o decepcionante conteúdo desta lei. É, no essencial, redundante e inútil.

A nova lei de protecção de dados, além de introduzir algumas regras especiais aplicáveis no sector público – não prevendo embora a famigerada e ilegal (assuma-se) isenção genérica de aplicação de coimas – e clarificar os poderes da CNPD, limita-se, efectivamente, a dar execução a um Regulamento que não carece de lei de transposição. Ficam por preencher a maioria das lacunas deixadas em aberto pelo RGPD em muitas áreas específicas, como sejam a articulação com actividades como a jornalística, a seguradora ou aquelas sujeitas a um regime de segredo profissional, bem como por concretizar o quadro sancionatório brutal do RGPD – mesmo quando anuncia fazê-lo. (Prevê-se, contudo – e esta é uma boa notícia – que, em princípio, a instauração de um processo de contra-ordenação depende de prévia advertência ao agente.)

Assim, ao nível das relações laborais, a lei remete para a disciplina constante do Código do Trabalho, já arcaica antes da publicação do RGPD e, agora, com manifestas incongruências com o novo regime, dado que assenta num paradigma de notificações e pedidos de autorização à CNPD que terminou com o RGPD. Em especial, esta lei procura limitar o valor do consentimento dos trabalhadores para o tratamento dos seus dados pessoais. Fá-lo, contudo, em termos que não são perceptíveis. Ademais, limita a utilização de dados biométricos para efeitos de controlo de assiduidade e acesso às instalações. Torna ilegal, portanto, a possibilidade da sua utilização como forma de autenticação, por exemplo, por motivos de segurança, que, em alguns casos, seria adequada e até, necessária, em face do disposto no RGPD. No restante, as dúvidas com que ficámos em face do RGPD ao nível dos tratamentos de dados efectuados no âmbito das relações de trabalho (que tanto nos são caras), ficam sem resposta.

Não se clarifica, mesmo tendo o RGPD remetido expressamente a regulação dessa matéria aos Estados- Membros, como se articulam a liberdade de expressão, informação e imprensa com os direitos dos titulares e obrigações dos responsáveis e subcontratantes. Também não se explica como deve a CNPD fiscalizar os tratamentos de dados no contexto do exercício das profissões sujeitas a sigilo profissional (referimo-nos, sobretudo, a médicos e advogados). Poderá a CNPD ir mais longe do que os órgãos de polícia criminal em processo-crime?

PUB • CONTINUE A LER A SEGUIR

Mais genericamente, quanto aos Encarregados de Protecção de Dados, ou DPOs, nada se acrescenta, confirmando-se a desnecessidade de certificação profissional específica para o exercício da profissão. Embora se tenha clarificado, em termos de certificações, que apenas organismos acreditados pelo IPAC, I.P. podem fazer certificação e emissão de selos e marcas de protecção de dados. De onde, toda a pretensa acreditação realizada até agora não tem na verdade essa mais-valia.

A lei portuguesa veio permitir que os menores, em Portugal, a partir dos 13 anos, possam dar o seu consentimento para que os dados pessoais sejam utilizados para serem dirigidas ofertas directas de serviços da sociedade de informação (o RGPD previa 16 anos) – foi um dos temas que gerou mais debate entre especialistas e suscitou muitas dúvidas durante as discussões Parlamentares. É uma redução que se adequa à realidade nacional em que os menores acedem aos serviços da sociedade de informação muito cedo, sem qualquer dúvida. Mas será razoável? Temos dúvidas.

Uma oportunidade perdida verifica-se ao nível da videovigilância. O diploma inclui um elenco de locais sobre os quais as câmaras não podem incidir, nomeadamente aqueles que não sejam do domínio exclusivo do responsável, zonas de digitação de códigos de caixas de multibanco ou terminais de pagamento ATM, áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade e o interior de áreas reservadas a trabalhadores, sendo, em regra, em qualquer caso, proibida a captação de som. No entanto, as alterações significam muito pouco, encontrando-se a videovigilância em Portugal, na nossa perspectiva, carente de uma regulamentação especial séria.

Estes exemplos permitem-nos perceber que a tão aguardada nova lei de protecção de dados portuguesa limita-se a ser, como ela própria se identifica, uma lei de execução do RGPD, que dela não carecia. Atento o atraso na sua publicação e as suas vicissitudes, as entidades auscultadas, o debate, nacional e europeu em torno das questões da privacidade, particularmente intenso desde 25 de Maio do ano transacto, esperávamos mais. Sejamos sinceros: era exigível mais. Considerando as lacunas que continuam a existir em determinados sectores de actividade e que já se encontram claramente identificadas, as incongruências com outros pontos do ordenamento jurídico de alguns aspectos desta lei, as redundâncias e mesmo algumas contradições com o RGPD (que não passarão incólumes a nível europeu), são expectáveis, nos próximos tempos, novos desenvolvimentos neste domínio. Como diz o ditado, vamos andando e vendo. Felizmente a protecção de dados pessoais não nasceu com o RGPD e muito menos fica dependente de qualquer lei de execução. Qualquer lacuna conseguirá sempre ser suprida por recurso aos princípios jurídicos fundamentais, plasmados, antes de mais, na Constituição da República Portuguesa.

Advogada associada, 
SLCM /Serra Lopes, Cortes Martins & Associados