Lei de Proteção de Dados Nacional – RGPD

No passado dia 8 de agosto foi publicada a Lei nº58/2019 que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

A presente lei transporta para realidade nacional o RGPD, nomeadamente, nomeia a Autoridade de controlo nacional, indica a base de nomeação do Encarregado de proteção de dados e quais as suas funções. Transporta os diversos direitos dos titulares dos dados e prazos de conservação de dados. Por fim, especifica coimas, para o não cumprimento da referida lei. 

A Lei nº 59/2019 complementa a referida lei, pois aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Neste artigo compilamos as principais obrigações, no que diz respeito ao cumprimentos de obrigações, nomeação do encarregado de proteção de dados e responsável, autoridade de controlo nacional e coimas.

Aplicabilidade
Autoridade de controlo nacional
Encarregado de proteção de dados
Responsável pelo tratamento e subcontratante
Segurança do tratamento
Direitos dos titulares dos dados
Prazo de conservação de dados pessoais
Renovação do consentimento
Contraordenações
Proteção de dados no software WISEDAT

Aplicabilidade

Esta lei aplica -se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais, aplicando-se todas as exclusões previstas no artigo 2.º do RGPD.

A presente lei aplica -se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:

  • Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional;
    ou 
  • Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou
  • Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.

Autoridade de controlo nacional

A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e da presente lei.

CNPD

Incumbe à CNPD a garantia e fiscalização do cumprimento da presente lei.

Atribuições

  1. Fiscalizar o cumprimento e fazer aplicar o disposto na presente lei;
  2. Promover a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento de dados pessoais;
  3. Propor e emitir parecer sobre medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades das pessoas em matéria de tratamento de dados pessoais;
  4. Promover a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as obrigações que lhes incumbem nos termos da presente lei;
  5. Prestar informações aos titulares de dados, se tal lhe for solicitado, sobre o exercício dos seus direitos nos termos da presente lei;
  6. Tratar e decidir as queixas apresentadas pelos titulares dos dados ou por um organismo, organização ou associação sem fins lucrativos;
  7. Verificar a licitude do tratamento e, num prazo razoável, informar o titular dos dados do resultado da verificação, nos termos do disposto no artigo 18.º, ou dos motivos que impediram a sua realização;
  8. Cooperar, nomeadamente partilhando informações, e prestar assistência mútua a outras autoridades de controlo assegurando a coerência da aplicação e da execução da presente lei;
  9. Conduzir investigações sobre a aplicação da presente lei; v
  10. Acompanhar os desenvolvimentos relevantes, em particular ao nível da evolução das tecnologias da informação e comunicação; c
  11. Prestar aconselhamento sobre as operações de tratamento referidas no artigo 30.º;
  12. Contribuir para as atividades do Comité criado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. v

Encarregado de proteção de dados

O encarregado de proteção de dados é designado com base nos requisitos previstos no n.º 5 do artigo 37.º do RGPD, não carecendo de certificação profissional para o efeito. Este tem o dever de exercer a sua função com autonomia técnica perante a entidade responsável pelo tratamento
ou subcontratante.

Designação do encarregado da proteção de dados

O encarregado da proteção de dados é designado com base nas suas qualidades profissionais, em especial nos seus conhecimentos especializados no domínio da legislação e das práticas de proteção de dados e na sua capacidade para desempenhar as funções.

Competências do encarregado da proteção de dados

Ao encarregado da proteção de dados compete, designadamente:

  1. Informar e aconselhar o responsável pelo tratamento e os trabalhadores que efetuam o tratamento quanto às obrigações que lhes incumbem por força da presente lei e de outras disposições legais relativas à proteção de dados pessoais;
  2. Fiscalizar o cumprimento da presente lei e de outras disposições legais sobre proteção de dados pessoais, bem como das orientações do responsável pelo tratamento em matéria de proteção de dados pessoais;
  3. Prestar aconselhamento, quando solicitado, no que respeita à avaliação de impacto e controlar a sua realização, nos termos do artigo 29.º;
  4. Cooperar com a autoridade de controlo;
  5. Ser ponto de contacto e apoiar a autoridade de controlo nos assuntos relacionados com o tratamento de dados, incluindo a consulta prévia a que se refere o artigo 29.º

Funções do encarregado de proteção de dados

  1. Assegurar a realização de auditorias, quer periódicas, quer não programadas;
  2. Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
  3. Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

Responsável pelo tratamento e subcontratante

Obrigações do responsável pelo tratamento

O responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos, liberdades e garantias das pessoas, adota as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com a presente lei.

Registos das atividades de tratamento

O responsável pelo tratamento conserva um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade.

O que é que deve conter o registo?
  1. O nome e os contactos do responsável pelo tratamento;
  2. As finalidades do tratamento;
  3. As categorias de destinatários aos quais os dados pessoais são divulgados ou facultados;
  4. A descrição das categorias de titulares de dados e das categorias de dados pessoais;
  5. A utilização da definição de perfis, se for caso disso;
  6. As categorias de transferências de dados pessoais para um país terceiro ou para uma organização internacional;
  7. A indicação do fundamento jurídico do tratamento;
  8. Se possível, os prazos de conservação das diferentes categorias de dados pessoais ou os procedimentos previstos para revisão periódica da necessidade de conservação;
  9. Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º.
Registo cronológico

O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado registos cronológicos das seguintes operações de tratamento:
a) Recolha;
b) Alteração;
c) Consulta;
d) Divulgação, incluindo transferências;
e) Interconexão;
f) Apagamento; e
g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.

Segurança do tratamento

O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas apropriadas a fim de assegurarem um nível de segurança adequado ao risco.

Direitos dos titulares dos dados

Portabilidade e interoperabilidade dos dados

O direito de portabilidade dos dados, previsto no artigo 20.º do RGPD, abrange apenas os dados fornecidos pelos respetivos titulares.
A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.

Comunicações e exercício dos direitos do titular dos dados – obrigações do responsável

  1. O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados;
  2. Fornece ao titular dos dados as informações de uma forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, e pelos meios adequados, incluindo meios eletrónicos, e, sempre que possível, com recurso ao meio utilizado no pedido.
  3. Informa o titular dos dados do seguimento dado ao seu pedido, por escrito, e sem demora injustificada, num prazo não superior a 30 dias, que pode ser renovado por mais 30 dias, em caso de motivo justificado.
  4. A prestação de informações e o exercício dos direitos são gratuitos;
  5. Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo, designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão fundamentada, pode:
    1. Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável pela área da justiça, tendo em conta os custos administrativos associados; ou
    2. Recusar dar seguimento ao pedido.
  6. Se tiver dúvidas razoáveis quanto à identidade da pessoa que apresenta o pedido ao abrigo dos artigos 15.º e 17.º, o responsável pelo tratamento pode solicitar ao requerente que lhe sejam fornecidas as informações adicionais necessárias para confirmar a sua identidade.

Informações a disponibilizar ou a fornecer pelo responsável pelo tratamento

O responsável pelo tratamento de forma permanentemente e
acessível as informações sobre:

  • A identidade e os contactos do responsável pelo tratamento;
  • Os contactos do encarregado da proteção de dados;
  • As finalidades do tratamento a que os dados pessoais se destinam;
  • O direito de apresentar queixa à autoridade de controlo e os contactos dessa autoridade;
  • O direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe dizem respeito, bem como a sua retificação ou o seu apagamento e a limitação do tratamento.

Direito de acesso do titular dos dados aos seus dados pessoais

O titular dos dados tem direito a obter do responsável pelo tratamento, com periodicidade razoável, informação sobre se os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento.
Tem o direito de aceder aos seus dados pessoais e às informações sobre:

  • As finalidades e o fundamento jurídico do tratamento;
  • As categorias dos dados pessoais em causa;
  • Os destinatários ou as categorias de destinatários aos quais os dados pessoais foram transmitidos;
  • Sempre que possível, o prazo previsto de conservação dos dados pessoais ou, se não for possível, os critérios utilizados para fixar esse prazo;
  • O direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento dos dados pessoais ou a limitação do tratamento dos dados pessoais que lhe dizem respeito;
  • O direito de apresentar queixa à autoridade de controlo e de obter os contactos dessa autoridade;
  • A comunicação dos dados pessoais sujeitos a tratamento, bem como as informações disponíveis sobre a origem dos mesmos.

Prazo de conservação de dados pessoais

O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou, na falta desta, o que se revele necessário para a prossecução da finalidade.

Quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante, comprovar o cumprimento de obrigações contratuais ou de outra natureza, os mesmos podem ser conservados enquanto não decorrer o prazo de prescrição dos direitos correspetivos.

Quando cesse a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, o responsável pelo tratamento deve proceder à sua destruição ou anonimização.

Nos casos em que existe um prazo de conservação de dados imposto por lei, só pode ser exercido o direito ao apagamento previsto no artigo 17.º do RGPD findo esse prazo.

O responsável pelo tratamento avalia periodicamente a necessidade de conservar os dados pessoais tratados, de acordo com procedimentos internos adotados para esse efeito, nos quais se deve fixar, nomeadamente, a periodicidade da avaliação.
A decisão de conservar os dados pessoais por períodos adicionais ao prazo de conservação original deve ser documentada, justificada e notificada aos titulares dos dados, sem prejuízo do disposto no artigo 16.º
As autoridades competentes devem utilizar sistemas informáticos que facilitem a avaliação periódica da necessidade de conservar os dados e o seu apagamento ou pseudonimização, nomeadamente através de alertas e de medidas de proteção automáticas, tais como a limitação
de acesso
ou a ocultação dos dados.

Renovação do consentimento

Caso a caducidade do consentimento seja motivo de cessação de contrato em que o titular de dados seja parte, o tratamento de dados é lícito até que esta ocorra.

Contraordenações

Contraordenações muito graves

A não prestação de informação relevante ocorrida nas seguintes circunstâncias:

  • Omissão de informação das finalidades a que se destina o tratamento;
  • Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais;
  • Omissão de informação acerca do direito de retirar o consentimento.
  • Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 22.º do RGPD;

As contraordenações referidas são punidas com coima:

  • De 5000 € a 20 000 000 € ou 4 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando -se de grande empresa;
  • De 2000 € a 2 000 000 € ou 4 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando -se de PME;
  • De 1000 € a 500 000 €, no caso de pessoas singulares.

Contraordenações graves

As contraordenações graves são punidas com coima de:

  • De 2500 € a 10 000 000 € ou 2 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando -se de grande empresa;
  • De 1000 € a 1 000 000 € ou 2 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando -se de PME;
  • De 500 € a 250 000 €, no caso de pessoas singulares.

Crimes

Punido com pena de prisão até um ano ou com pena de multa até 120 dias. A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD.

Proteção de dados no software WISEDAT

Lembramos que o WISEDAT de forma a auxiliar o cumprimento do RGPD e complementarmente as Leis nº 58 e 59/2019, disponibiliza a partir da edição Simple o módulo WISEDAT Proteção de Dados.

Entre em contacto connosco para mais informações!

top