O Regulamento Geral sobre a Proteção de Dados (RGPD) criou um regime de proteção de dados pessoais pensado para a era digital, desde 2016. Com ele, a União Europeia pretende que o nível de proteção dos dados pessoais seja aplicado de forma uniforme, impedindo que qualquer organização (responsável de tratamento) procure aplicar às suas atividades a jurisdição dos Estados Membros que “protejam” de forma menos efetiva os dados pessoais.
Resumidamente, o RGPD impõe um conjunto de obrigações às entidades que realizem qualquer tratamento de dados pessoais, mas também estabelece deveres, aos Estados Membros, para garantirem o cumprimento do próprio RGPD.
É, desde logo, exigido que cada Estado Membro crie uma Autoridade de Controlo, responsável por controlar e promover a aplicação das disposições do Regulamento. Tais Autoridade de Controlo devem ter, em todos os países da União Europeia, uma atitude cooperante entre si e os mesmos poderes efetivos, nomeadamente: poderes de investigação, poderes de correção e poderes sancionatórios. Para tal, todas as Autoridades de Controlo Europeias têm de poder de intervir nos respetivos processos judiciais, conforme consta de diversos Considerandos e de modo mais concreto, no nº 5 do artigo 58º do RGPD.
Ainda que tal resulte claro e cristalino do RGPD, a Lei nº 58/2019, de 8 de Agosto (que assegura a execução na ordem jurídica nacional do RGPD) omitiu totalmente os poderes judiciais da Autoridade de Controlo Portuguesa.
Ou seja, no nosso país, a Comissão Nacional de Proteção de Dados (CNPD) – que é a Autoridade de Controlo Portuguesa – vê a sua intervenção em fase judicial limitada, nos processos que visem comprovar a legalidade das sanções que decide aplicar. Dito de outro modo, a Autoridade de Controlo portuguesa não pode defender as suas decisões em Tribunal.
É que, ao estabelecer o Regime Geral das Contra-Ordenações, como regime subsidiário à Lei 58/2019 de 8 de Agosto, na prática o legislador português fez com que, em caso de a sanção ser contestada, a CNPD se limite a dar conhecimento ao Ministério Público e não tenha mais nenhuma intervenção direta no processo judicial. Apenas participa no julgamento das suas decisões se eventualmente for solicitada a sua colaboração junto do Ministério Público ou do Tribunal, a pedido destes.
Assim, apesar de decidir aplicar uma coima, a CNPD pode ver o Ministério Público arquivar todo o processo, ou mesmo a absolver, totalmente, o arguido, anulando completamente a sua decisão. Sem ser perdida nem achada, nem podendo recorrer dessa decisão.
Na prática, o Ministério Público é, no atual quadro legal português, quem tem a possibilidade de intervir judicialmente em defesa das decisões tomadas pela CNPD. Se no processo penal, a vítima e o lesado, podem aparecer ao lado do Ministério Público e a intervir judicialmente, no Regime Geral das Contraordenações tal não se aparenta possível. À Autoridade de Controlo Portuguesa resta dar a conhecer os elementos do processo e a sua Decisão ao Ministério Público, confiando, neste último, para garantir a aplicação do RGPD.
A falta de poderes judiciais da CNPD ganha ainda maior destaque quando o arguido é uma entidade pública. É que ao Ministério Público cabe exatamente a representação do próprio Estado português. Facilmente se perceciona aqui um potencial conflito de interesses. Não será difícil de assumir que, o Ministério Público se veja tentado a defender a entidade estadual em detrimento da proteção dos dados pessoais de qualquer cidadão.
Por outro lado, se for o Tribunal de 1ª Instância a decidir absolver o Arguido, mediante prolação de sentença, também neste caso a CNPD fica impedida de recorrer e solicitar uma análise a um tribunal superior.
Cumprir o objetivo, estabelecido no RGPD, de concretizar uma proteção uniforme dos dados pessoais, implica reconhecer poderes à Autoridade de Controlo Portuguesa, para defender as suas decisões em tribunal e poder recorrer da sentença. O que crê-se mais cedo ou mais tarde seja inevitável – nem que seja por força de um processo de incumprimento contra o Estado Português apresentado junto da Comissão Europeia.
Tanto mais que tal solução, em nada constituí uma novidade, uma vez que esses poderes judiciais, já hoje, são conferidos a entidades públicas como o Banco de Portugal, a Autoridade da Concorrência e a Comissão de Mercado de Valores Mobiliários, quanto às coimas que aplicam.
Para tanto bastará alterar a Lei de Execução do RGPD em Portugal (Lei 58/2019 de 8 de Agosto) redigindo uma norma que reproduza fielmente o artigo 58.º nº 5 do RGPD, onde se estabelece que “Os Estados Membros estabelecem por lei que as suas autoridades de Controlo estão habilitadas a … intentar ou de outro modo intervir em processos judiciais”.
É inquestionável que tal alteração legislativa corresponderá, de modo imediato, a um enorme ganho de celeridade nos processos judiciais, em matéria de proteção de dados, o que beneficiará todos os intervenientes processuais e credibilizará o próprio sistema de justiça.
Até esse momento, temos uma Proteção de Dados Pessoais à ‘moda’ Portuguesa. Existe, mas está atrasada face ao resto da Europa.
