1 Através da sua Deliberação n.º 2022/1040, de 2 de novembro, veio a Comissão Nacional de Proteção de Dados (CNPD) aplicar ao Município de Setúbal uma coima única de 170.000,00 euros, bem como duas repreensões, pela prática de quatro contraordenações relacionadas com o tratamento de dados pessoais de refugiados provenientes da Ucrânia, deslocados em Portugal na sequência do conflito militar daquele Estado com a Federação Russa.
Na base da decisão estivera o facto de a autarquia ter possibilitado a pessoas estranhas aos respetivos serviços a utilização de equipamentos informáticos nos quais se encontravam alojadas uma série de informações atinentes aos referidos titulares de dados, recolhidas no âmbito da denominada Linha Municipal de Apoio a Refugiados. Tudo isto, sem que tivesse existido o cuidado de atribuir a essas pessoas um perfil de acesso específico para o efeito, ou tão-pouco, de firmar com as mesmas um contrato ou acordo formal, destinado a regular as suas responsabilidades em matéria de proteção de dados pessoais.
Ademais, foi dado como provado que as informações em questão eram conservadas, de forma não estruturada, num ficheiro Excel, cuja rastreabilidade de acessos e alterações se demonstrara manifestamente reduzida, para não dizer inexistente. O que, na ótica da Comissão, consubstanciara, por si só, um risco não negligenciável em termos de segurança.
Por outro lado, foi também censurada a circunstância de o Município não dispor de um Encarregado da Proteção de Dados, conquanto a tal se encontrasse obrigado, nos termos do art. 37.º/1/a) do Regulamento Geral sobre a Proteção de Dados (RGPD), desde de 2018.
Finalmente, sublinhou-se ainda o facto de a autarquia (i) não ter definido qualquer prazo de conservação para as informações recolhidas no contexto da supramencionada Linha Municipal de Apoio a Refugiados (tal como exigiria o designado princípio da limitação da conservação), e (ii) não ter prestado aos destinatários dessa mesma Linha todas as informações a que estes tinham direito, enquanto titulares de dados pessoais, nos termos dos arts. 13.º/1 e 13.º/2 do RGPD – infrações que, todavia, a autoridade de controlo nacional qualificou como merecedoras de um grau de desvalor inferior às restantes, considerando o contexto de excecionalidade que se observara à altura da sua prática, marcado pela intensa chegada de refugiados ucranianos a Portugal e pela consequente necessidade de as instituições nacionais lhe responderem da forma mais eficaz e expedita possível.
2 Sem embargo de todas as «questões de fundo» que a sobredita deliberação levanta, há, todavia, um aspeto secundário, naquela abordado a título de ponto prévio, que nos parece igualmente merecedor de atenção. Referimo-nos, em concreto, à obsolescência do regime excecional de dispensa de aplicação de coimas a entidades públicas previsto na Lei n.º 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do RGPD.
Passamos a explicar. Muito embora não estabelecendo qualquer distinção sistemática entre entidades públicas e entidades privadas, aplicando-se de forma tendencialmente indistinta a umas e outras, o RGPD contempla uma importante exceção, ao nível do seu art. 83.º/7, definindo que, sem prejuízo dos demais poderes de correção cometidos às autoridades de controlo, “os Estados-Membros podem prever normas que permitam determinar se e em que medida as coimas [previstas no Regulamento] podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território” (destaque nosso). Dito de outro modo: conquanto não contemple – ou tão-pouco permita aos legisladores nacionais contemplar – um regime geral de exceção para as entidades públicas, relativamente ao cumprimento com os pertinentes princípios e regras previstos no seu articulado, o RGPD abre, ainda assim, a porta a que os Estados-Membros possam conceder às mesmas um tratamento especial, em matéria contraordenacional, determinando, ao nível do seu direito interno, (i) se estas devem ou não ser sujeitas à aplicação de coimas, por violação do Regulamento, e (ii) em caso afirmativo, em que medida.
Neste contexto, veio o legislador português consagrar uma solução, no mínimo, original: (i) a montante, instituindo, enquanto regime-regra, que as coimas previstas no RGPD e na Lei n.º 58/2019 se aplicam de igual modo a entidades públicas e entidades privadas; (ii) a jusante, reconhecendo, ainda assim, às primeiras a faculdade de, excecionalmente, e mediante pedido fundamentado, solicitarem à CNPD a dispensa de aplicação de tais sanções.
Ocorre que, para além de ter um âmbito de aplicação material bastante reduzido – conforme já esclarecido pela própria Comissão, na sua célebre Deliberação n.º 2019/495, de 3 de setembro – o supramencionado regime excecional de dispensa foi concebido como uma solução normativa de carácter transitório. Afinal, o art. 44.º/2 da Lei n.º 58/2019, onde o mesmo surge acolhido, é claro: “(…) as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei” (destaque nosso); período após o que, de acordo com o art. 59.º do mesmo diploma, “a possibilidade de não aplicabilidade de coimas às entidades públicas (…) deve ser objeto de reavaliação”.
Ora, é justamente aqui que os problemas se colocam. É que, tendo a Lei n.º 58/2019 entrado em vigor a 9 de agosto de 2019, o prazo acima referido encontra-se ultrapassado. Donde, no quadro da já citada Deliberação n.º 2022/1040, a CNPD tenha recusado o pedido que lhe foi dirigido pelo Município de Setúbal, ao abrigo do sobredito art. 44.º/2, por entender, entre outros motivos, que tal norma deixou de produzir efeitos a 9 de agosto passado.
3 Desta feita – e independentemente daquela que seja a sua vontade a este respeito –, parece-nos evidente que o legislador nacional sempre terá de tomar uma posição: seja prorrogando o regime acolhido no art. 44.º/2 da Lei n.º 58/2019; seja estabelecendo um regime similar ao originariamente contemplado no art. 44.º/1 da Proposta de Lei n.º 120/XIII (onde se lia que “não se aplicam às entidades públicas as coimas previstas no RGPD e na presente lei”); seja, ainda, no cenário que se nos apresenta mais lógico e razoável, colocando termo a qualquer diferenciação entre entidades públicas e privadas, no tocante ao regime contraordenacional aplicável em matéria de proteção de dados pessoais.
Mais: deve o legislador aproveitar essa intervenção para expurgar da Lei n.º 58/2019 todas as normas que se demonstram incompatíveis com o RGPD e, como tal, violadoras do direito da União – como sejam, desde logo, as enunciadas pela CNPD na sua Deliberação n.º 2019/494, de 3 de setembro. Afinal, e tal como reza o ditado, “mais vale tarde do que nunca”.