Lei de Proteção de Dados Nacional – RGPD
No passado dia 8 de agosto foi publicada a Lei nº58/2019 que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
A presente lei transporta para realidade nacional o RGPD, nomeadamente, nomeia a Autoridade de controlo nacional, indica a base de nomeação do Encarregado de proteção de dados e quais as suas funções. Transporta os diversos direitos dos titulares dos dados e prazos de conservação de dados. Por fim, especifica coimas, para o não cumprimento da referida lei.
A Lei nº 59/2019 complementa a referida lei, pois aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
Neste artigo compilamos as principais obrigações, no que diz respeito ao cumprimentos de obrigações, nomeação do encarregado de proteção de dados e responsável, autoridade de controlo nacional e coimas.
Aplicabilidade
Esta lei aplica -se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais, aplicando-se todas as exclusões previstas no artigo 2.º do RGPD.
A presente lei aplica -se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:
- Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional;
ou - Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou
- Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.
Autoridade de controlo nacional
A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e da presente lei.
CNPD
Incumbe à CNPD a garantia e fiscalização do cumprimento da presente lei.
Atribuições
- Fiscalizar o cumprimento e fazer aplicar o disposto na presente lei;
- Promover a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento de dados pessoais;
- Propor e emitir parecer sobre medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades das pessoas em matéria de tratamento de dados pessoais;
- Promover a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as obrigações que lhes incumbem nos termos da presente lei;
- Prestar informações aos titulares de dados, se tal lhe for solicitado, sobre o exercício dos seus direitos nos termos da presente lei;
- Tratar e decidir as queixas apresentadas pelos titulares dos dados ou por um organismo, organização ou associação sem fins lucrativos;
- Verificar a licitude do tratamento e, num prazo razoável, informar o titular dos dados do resultado da verificação, nos termos do disposto no artigo 18.º, ou dos motivos que impediram a sua realização;
- Cooperar, nomeadamente partilhando informações, e prestar assistência mútua a outras autoridades de controlo assegurando a coerência da aplicação e da execução da presente lei;
- Conduzir investigações sobre a aplicação da presente lei; v
- Acompanhar os desenvolvimentos relevantes, em particular ao nível da evolução das tecnologias da informação e comunicação; c
- Prestar aconselhamento sobre as operações de tratamento referidas no artigo 30.º;
- Contribuir para as atividades do Comité criado pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. v
Encarregado de proteção de dados
O encarregado de proteção de dados é designado com base nos requisitos previstos no n.º 5 do artigo 37.º do RGPD, não carecendo de certificação profissional para o efeito. Este tem o dever de exercer a sua função com autonomia técnica perante a entidade responsável pelo tratamento
ou subcontratante.
Designação do encarregado da proteção de dados
O encarregado da proteção de dados é designado com base nas suas qualidades profissionais, em especial nos seus conhecimentos especializados no domínio da legislação e das práticas de proteção de dados e na sua capacidade para desempenhar as funções.
Competências do encarregado da proteção de dados
Ao encarregado da proteção de dados compete, designadamente:
- Informar e aconselhar o responsável pelo tratamento e os trabalhadores que efetuam o tratamento quanto às obrigações que lhes incumbem por força da presente lei e de outras disposições legais relativas à proteção de dados pessoais;
- Fiscalizar o cumprimento da presente lei e de outras disposições legais sobre proteção de dados pessoais, bem como das orientações do responsável pelo tratamento em matéria de proteção de dados pessoais;
- Prestar aconselhamento, quando solicitado, no que respeita à avaliação de impacto e controlar a sua realização, nos termos do artigo 29.º;
- Cooperar com a autoridade de controlo;
- Ser ponto de contacto e apoiar a autoridade de controlo nos assuntos relacionados com o tratamento de dados, incluindo a consulta prévia a que se refere o artigo 29.º
Funções do encarregado de proteção de dados
- Assegurar a realização de auditorias, quer periódicas, quer não programadas;
- Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
- Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.
Responsável pelo tratamento e subcontratante
Obrigações do responsável pelo tratamento
O responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos, liberdades e garantias das pessoas, adota as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com a presente lei.
Registos das atividades de tratamento
O responsável pelo tratamento conserva um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade.
O que é que deve conter o registo?
- O nome e os contactos do responsável pelo tratamento;
- As finalidades do tratamento;
- As categorias de destinatários aos quais os dados pessoais são divulgados ou facultados;
- A descrição das categorias de titulares de dados e das categorias de dados pessoais;
- A utilização da definição de perfis, se for caso disso;
- As categorias de transferências de dados pessoais para um país terceiro ou para uma organização internacional;
- A indicação do fundamento jurídico do tratamento;
- Se possível, os prazos de conservação das diferentes categorias de dados pessoais ou os procedimentos previstos para revisão periódica da necessidade de conservação;
- Uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 31.º.
Registo cronológico
O responsável pelo tratamento e o subcontratante conservam em sistemas de tratamento automatizado registos cronológicos das seguintes operações de tratamento:
a) Recolha;
b) Alteração;
c) Consulta;
d) Divulgação, incluindo transferências;
e) Interconexão;
f) Apagamento; e
g) Limitação do tratamento, incluindo as datas de início e de cessação da limitação.
Segurança do tratamento
O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas apropriadas a fim de assegurarem um nível de segurança adequado ao risco.
Direitos dos titulares dos dados
Portabilidade e interoperabilidade dos dados
O direito de portabilidade dos dados, previsto no artigo 20.º do RGPD, abrange apenas os dados fornecidos pelos respetivos titulares.
A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
Comunicações e exercício dos direitos do titular dos dados – obrigações do responsável
- O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados;
- Fornece ao titular dos dados as informações de uma forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, e pelos meios adequados, incluindo meios eletrónicos, e, sempre que possível, com recurso ao meio utilizado no pedido.
- Informa o titular dos dados do seguimento dado ao seu pedido, por escrito, e sem demora injustificada, num prazo não superior a 30 dias, que pode ser renovado por mais 30 dias, em caso de motivo justificado.
- A prestação de informações e o exercício dos direitos são gratuitos;
- Nos casos em que o pedido do titular dos dados seja manifestamente infundado ou excessivo, designadamente devido ao seu caráter repetitivo, o responsável pelo tratamento, mediante decisão fundamentada, pode:
- Exigir o pagamento de uma taxa de montante a fixar por portaria do membro do Governo responsável pela área da justiça, tendo em conta os custos administrativos associados; ou
- Recusar dar seguimento ao pedido.
- Se tiver dúvidas razoáveis quanto à identidade da pessoa que apresenta o pedido ao abrigo dos artigos 15.º e 17.º, o responsável pelo tratamento pode solicitar ao requerente que lhe sejam fornecidas as informações adicionais necessárias para confirmar a sua identidade.
Informações a disponibilizar ou a fornecer pelo responsável pelo tratamento
O responsável pelo tratamento de forma permanentemente e
acessível as informações sobre:
- A identidade e os contactos do responsável pelo tratamento;
- Os contactos do encarregado da proteção de dados;
- As finalidades do tratamento a que os dados pessoais se destinam;
- O direito de apresentar queixa à autoridade de controlo e os contactos dessa autoridade;
- O direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe dizem respeito, bem como a sua retificação ou o seu apagamento e a limitação do tratamento.
Direito de acesso do titular dos dados aos seus dados pessoais
O titular dos dados tem direito a obter do responsável pelo tratamento, com periodicidade razoável, informação sobre se os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento.
Tem o direito de aceder aos seus dados pessoais e às informações sobre:
- As finalidades e o fundamento jurídico do tratamento;
- As categorias dos dados pessoais em causa;
- Os destinatários ou as categorias de destinatários aos quais os dados pessoais foram transmitidos;
- Sempre que possível, o prazo previsto de conservação dos dados pessoais ou, se não for possível, os critérios utilizados para fixar esse prazo;
- O direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento dos dados pessoais ou a limitação do tratamento dos dados pessoais que lhe dizem respeito;
- O direito de apresentar queixa à autoridade de controlo e de obter os contactos dessa autoridade;
- A comunicação dos dados pessoais sujeitos a tratamento, bem como as informações disponíveis sobre a origem dos mesmos.
Prazo de conservação de dados pessoais
O prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou, na falta desta, o que se revele necessário para a prossecução da finalidade.
Quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante, comprovar o cumprimento de obrigações contratuais ou de outra natureza, os mesmos podem ser conservados enquanto não decorrer o prazo de prescrição dos direitos correspetivos.
Quando cesse a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, o responsável pelo tratamento deve proceder à sua destruição ou anonimização.
Nos casos em que existe um prazo de conservação de dados imposto por lei, só pode ser exercido o direito ao apagamento previsto no artigo 17.º do RGPD findo esse prazo.
O responsável pelo tratamento avalia periodicamente a necessidade de conservar os dados pessoais tratados, de acordo com procedimentos internos adotados para esse efeito, nos quais se deve fixar, nomeadamente, a periodicidade da avaliação.
A decisão de conservar os dados pessoais por períodos adicionais ao prazo de conservação original deve ser documentada, justificada e notificada aos titulares dos dados, sem prejuízo do disposto no artigo 16.º
As autoridades competentes devem utilizar sistemas informáticos que facilitem a avaliação periódica da necessidade de conservar os dados e o seu apagamento ou pseudonimização, nomeadamente através de alertas e de medidas de proteção automáticas, tais como a limitação
de acesso ou a ocultação dos dados.
Renovação do consentimento
Caso a caducidade do consentimento seja motivo de cessação de contrato em que o titular de dados seja parte, o tratamento de dados é lícito até que esta ocorra.
Contraordenações
Contraordenações muito graves
A não prestação de informação relevante ocorrida nas seguintes circunstâncias:
- Omissão de informação das finalidades a que se destina o tratamento;
- Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais;
- Omissão de informação acerca do direito de retirar o consentimento.
- Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 22.º do RGPD;
As contraordenações referidas são punidas com coima:
- De 5000 € a 20 000 000 € ou 4 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando -se de grande empresa;
- De 2000 € a 2 000 000 € ou 4 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando -se de PME;
- De 1000 € a 500 000 €, no caso de pessoas singulares.
Contraordenações graves
As contraordenações graves são punidas com coima de:
- De 2500 € a 10 000 000 € ou 2 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando -se de grande empresa;
- De 1000 € a 1 000 000 € ou 2 % do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando -se de PME;
- De 500 € a 250 000 €, no caso de pessoas singulares.
Crimes
Punido com pena de prisão até um ano ou com pena de multa até 120 dias. A pena é agravada para o dobro nos seus limites quando se tratar dos dados pessoais a que se referem os artigos 9.º e 10.º do RGPD.
Proteção de dados no software WISEDAT
Lembramos que o WISEDAT de forma a auxiliar o cumprimento do RGPD e complementarmente as Leis nº 58 e 59/2019, disponibiliza a partir da edição Simple o módulo WISEDAT Proteção de Dados.
Entre em contacto connosco para mais informações!