CONSONÂNCIA COM OS REQUISITOS DO RGPD

De acordo com o Projeto de Lei, a Comissão Nacional de Proteção de Dados (CNPD) permanecerá como Autoridade Supervisora em matéria de Proteção de Dados.

CONSONÂNCIA COM OS REQUISITOS DO RGPD

CONSONÂNCIA COM OS REQUISITOS DO RGPD

 

 

 

De acordo com o Projeto de Lei, a Comissão Nacional de Proteção de Dados (CNPD) permanecerá como Autoridade Supervisora em matéria de Proteção de Dados.
A autoridade competente para o credenciamento de organismos de certificação para proteção de dados será o Instituto Português de Acreditação, (IPAC - Instituto Português de Acreditação.)
Seguindo o exemplo de outros países e a opinião dos que mais debatem a questão em Portugal, o Projecto de Lei afirma que em relação à idade mínima para permitir o processamento de dados pessoais das crianças no contexto de uma oferta de serviços da sociedade da informação é de 13 anos de idade.
No que diz respeito à portabilidade, o Projeto de Lei determina que, quando a interoperabilidade dos dados não for tecnicamente possível, o titular dos dados tem o direito de exigir que os dados sejam entregues a ele num formato digital aberto.
No que diz respeito ao direito de eliminação de dados (“Direito ao esquecimento”), o projeto de lei prevê que, nos casos em que haja um período de retenção de dados imposto por lei, o direito de rasura previsto no artigo 17 do RGPD só poderá ser exercido após esse período.

 

O Governo também optou por impor algumas limitações ao processamento de dados resultantes da gravação de CCTV, principalmente para cumprir o quadro legal existente estabelecido pela Lei n. 34/2013, de 16 de Maio orientações da Autoridade Portuguesa de Proteção de Dados.
Com relação aos períodos de retenção de dados, o Projeto de Lei esclarece que o período de retenção de dados será

 

  1. aquele estabelecido por lei ou regulamento ou
  2. o período necessário para o propósito do processamento. No entanto, acrescenta também que:
  1. quando, pela natureza e finalidade do processamento, não for possível estabelecer o período de conservação de dados, a retenção dos dados será considerada legal; e
  2. caso o Controlador ou Processador seja obrigado a comprovar o cumprimento das obrigações, eles poderão reter os dados até que o período de prescrição definido por lei tenha decorrido.

 

Algumas das escolhas mais controversas têm sido no que diz respeito ao processamento de dados no contexto do emprego, onde o projeto de lei, além de esclarecer os fundamentos legais para o processamento (consentimento geralmente desqualificante), incluiu algumas limitações importantes no;

 

  1. uso de gravações de CCTV. , bem como sobre outros meios tecnológicos de vigilância remota (restringindo-a a processos criminais, ou para fins de estabelecimento de responsabilidade disciplinar, realizada no âmbito de um processo penal);
  2. o processamento de dados biométricos dos funcionários (permitido apenas para o controle de atendimento e controle de acesso às instalações);
  3. a transferência de dados pessoais de funcionários entre empresas (somente permitindo a referida transferência em casos de transferência ocasional do empregado, desde que a transferência dos dados seja proporcional, necessária e adequada aos objetivos a serem atingidos ou de cessão de funcionários por uma empresa de trabalho temporário ou destacamento para outro Estado).

 

Com relação a entidades públicas, o Projeto de Lei contém indicações detalhadas sobre as possíveis opções para a nomeação de um único DPO (Data Protection Officer) para diferentes entidades.
Há também uma indicação de que o processamento de dados pessoais por entidades públicas para fins diferentes daqueles determinados pela coleta de dados é permitido, desde que o processamento seja realizado no interesse público.

O Projecto de Lei também contém disposições específicas relativas ao processamento de dados no contexto de;

 

  1. processos de contratação pública;
  2. bases de dados de saúde ou registros centralizados;
  3. fins de arquivamento no interesse público;
  4. pesquisa científica ou histórica ou para fins estatísticos - fazendo referência ao princípio de minimização de dados e ao uso de anonimização ou pseudonimização dos dados, sempre que a finalidade do controlador possa ser alcançada com os dados nas referidas condições.

 

As orientações técnicas para a aplicação do GDPR às entidades públicas devem ser aprovadas por deliberação do Conselho de Ministros, entretanto publicada (Resolução do Conselho de Ministros n.º 41/2018) e estabelece os requisitos técnicos mínimos obrigatórios e recomendados aplicável aos sistemas informáticos e redes de entidades públicas, que deverá ser adotado até 29 de setembro de 2019.

No que diz respeito às sanções, o projecto de lei define 3 níveis diferentes de multas, fixando montantes mínimos em função da natureza do infractor ou da dimensão da empresa (grandes empresas - desde 1.000 € até 4000 €; PME - desde 500 € até € 2.000, ou indivíduos - de € 250 a € 1.000):

 

  1. infração administrativa muito grave (com um prazo de prescrição de 3 anos);
  2. grave ofensa administrativa (com prazo de prescrição de 2 anos);
  3. delito administrativo menor (com prazo de prescrição de 1 ano).

 

Outra opção controvertida foi a escolha de isentar a aplicação de multas para entidades públicas, embora definindo que essa opção deveria ser revista dentro de 3 anos, após a entrada em vigor do Projeto de Lei.

Finalmente, o projecto de lei prevê uma lista de infracções penais semelhantes às que já foram incluídas na anterior Lei Portuguesa de Protecção de Dados.

 

© RJCS


 

Referências: (Links externos)

 

 

RDD AJDC  -  Documentos disponiveis:   (Formato PDF)