A poucos dias da data de aplicação do Novo Regulamento Geral sobre a Protecção de dados (RGPD), em que ponto estamos?

Para além da falta de preparação das empresas para implementarem o RGPD, a falta de verbas da entidade reguladora, corporizada pelo chumbo do projecto que mudava a estrutura da Comissão Nacional de Protecção de Dados (CNPD), na sexta-feira passada, fazem com que tanto a entidade fiscalizadora como o sujeito passivo de fiscalização se encontrem no mesmo patamar em termos de preparação para aplicarem adequadamente o RGPD. No meio, encontra-se o titular dos dados e da tutela em causa, desprovido de protecção clara sobre a vida privada, direito fundamental consagrado na Constituição da República Portuguesa.

Foi neste contexto de indefinição que foi emitido, no dia 2 de Maio de 2018, o Parecer n.º 20/2018 da CNPD, após o Presidente da Comissão dos Assuntos Constitucionais, Direitos, Liberdades e Garantias ter remetido à CNPD, para parecer, a Proposta de Lei n.º 120/XIII/3.ª (Gov), que “Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito aos tratamentos de dados pessoais e à livre circulação desses dados”.

Este Parecer é bastante extenso, tem cerca de 80 páginas, e expõe imprecisões e críticas à Proposta de Lei quanto ao RGPD. Destacamos apenas dez:

1)   Incentivo implícito às entidades públicas para retardar o cumprimento do RGPD, pelo menos numa primeira fase da sua aplicação, na medida em que refere que “a aplicação deste regulamento resultará em encargos administrativos elevados, que em muitos casos não se encontram suficientemente justificados pelos benefícios obtidos com o novo regime de protecção de dados pessoais relativamente ao regime actual”.

2)   Violação objectiva do direito da União, uma vez que a Proposta reproduz em alguns artigos parte do articulado do RGPD, replicando disposições, em aspectos em que o Regulamento remetia para o campo de acção do Estado-membro. Para além disso, a proposta pretende introduzir uma norma que admite que durante seis meses após a aplicação do RGPD o consentimento possa ser renovado, abrindo a possibilidade a tratamentos alegadamente ilícitos durante esse período de tempo.

3)   A Proposta de Lei não dispõe especificamente sobre os dados relativos à vida privada, objecto de protecção reforçada no n.º 3 do artigo 35.º da Constituição da República Portuguesa (CRP) – protecção constitucional que se reflecte na ainda vigente LPDP, a qual, no catálogo de dados sensíveis previsto no artigo 7.º, inclui os dados relativos à vida privada.

4)   Violação do âmbito de aplicação disposto no RGPD, que é muito mais abrangente que o visado pela Proposta de Lei.

5)   Quanto ao tratamento de dados pessoais de pessoas falecidas, de modo a não contradizer a disposição prevista na Lei Geral, o Código Civil, relativamente à protecção das pessoas já falecidas, devia a Proposta de Lei, tutelar a referida situação.

6)   No geral, quanto ao Encarregado de Protecção de Dados reproduz-se o preceituado no RGPD, quando competia aos Estados Membros clarificar algumas situações.

7)   A Proposta de Lei contradiz o disposto no RGPD quanto ao direito à portabilidade, introduzindo uma novidade para o âmbito da função pública, determinando que a portabilidade de dados deve, sempre que possível, ter lugar em formato aberto.

8)   O Art. 20.º da Proposta de Lei “que estabelece que os direitos de informação e de acesso a dados pessoais não podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou subcontratante um dever de segredo, que seja oponível ao próprio titular dos dados”, incumpre o RGPD, limitando os exercícios de direitos imposto até pela própria Constituição.

9)   A proposta de Lei subverte o princípio da limitação da conservação dos dados imposto pelo RGPD.
10)Apesar de a videovigilância ser uma matéria de grande importância e de merecer o devido destaque, não deveria apenas remeter-se para os requisitos previstos no art. 31º da Lei nº 34/2013 de 16 de Maio no que respeita à actividade da segurança privada, sendo fundamental respeitar as regras e princípios definidos pelo RGPD.

A própria CNPD reconhece que a extensão do parecer se deve ao facto de não lhe ter sido dada previamente a oportunidade de se pronunciar sobre o anteprojecto de proposta de lei, o que poderia ter contribuído para uma redacção da proposta mais conforme com o RGPD.

A CNPD conclui que várias disposições da Proposta de Lei são ilegais, recomenda a sua eliminação, incluindo a do regime excepcional criado para entidades públicas, que em muitas matérias a Proposta de Lei assume um teor vago e aberto, sem regras específicas e que não pode prever limites mínimos para as coimas avultadas previstas no RGPD. A CNPD faz ainda várias recomendações e alerta para a impossibilidade de a Proposta revogar a Lei n.º 67/98, de 26 de Outubro, enquanto não for transposta a Directiva (EU) 2016/680 relativa a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados.

Sem nos pronunciarmos sobre o mérito das críticas, podia ter sido emitido tanto o Parecer como a própria Proposta de Lei com maior antecedência, facilitando os processos de avaliação e de implementação a todos aqueles que, de uma forma ou de outra, pretendem cumprir o RGPD ou apoiar no seu cumprimento. Poder, podia mas, relembrando a célebre expressão da campanha publicitária da Zon, aquando da introdução da fibra na sua oferta de serviços, não era a mesma coisa.

Sónia Queiroz Vaz e Maria Luísa Cyrne são advogadas de Propriedade Intelectual, Media e Tecnologias da Informação da Cuatrecasas em Portugal