Consonância com os requisitos do RGPD

De acordo com o Projeto de Lei, a Comissão Nacional de Proteção de Dados (CNPD) permanecerá como Autoridade Supervisora em matéria de Proteção de Dados.
A autoridade competente para o credenciamento de organismos de certificação para proteção de dados será o Instituto Português de Acreditação, (IPAC - Instituto Português de Acreditação.)
Seguindo o exemplo de outros países e a opinião dos que mais debatem a questão em Portugal, o Projecto de Lei afirma que em relação à idade mínima para permitir o processamento de dados pessoais das crianças no contexto de uma oferta de serviços da sociedade da informação é de 13 anos de idade.
No que diz respeito à portabilidade, o Projeto de Lei determina que, quando a interoperabilidade dos dados não for tecnicamente possível, o titular dos dados tem o direito de exigir que os dados sejam entregues a ele num formato digital aberto.
No que diz respeito ao direito de eliminação de dados (“Direito ao esquecimento”), o projeto de lei prevê que, nos casos em que haja um período de retenção de dados imposto por lei, o direito de rasura previsto no artigo 17 do RGPD só poderá ser exercido após esse período.

O Governo também optou por impor algumas limitações ao processamento de dados resultantes da gravação de CCTV, principalmente para cumprir o quadro legal existente estabelecido pela Lei n. 34/2013, de 16 de Maio orientações da Autoridade Portuguesa de Proteção de Dados.
Com relação aos períodos de retenção de dados, o Projeto de Lei esclarece que o período de retenção de dados será

  1. aquele estabelecido por lei ou regulamento ou
  2. o período necessário para o propósito do processamento. No entanto, acrescenta também que:
  1. quando, pela natureza e finalidade do processamento, não for possível estabelecer o período de conservação de dados, a retenção dos dados será considerada legal; e
  2. caso o Controlador ou Processador seja obrigado a comprovar o cumprimento das obrigações, eles poderão reter os dados até que o período de prescrição definido por lei tenha decorrido.

Algumas das escolhas mais controversas têm sido no que diz respeito ao processamento de dados no contexto do emprego, onde o projeto de lei, além de esclarecer os fundamentos legais para o processamento (consentimento geralmente desqualificante), incluiu algumas limitações importantes no;

  1. uso de gravações de CCTV. , bem como sobre outros meios tecnológicos de vigilância remota (restringindo-a a processos criminais, ou para fins de estabelecimento de responsabilidade disciplinar, realizada no âmbito de um processo penal);
  2. o processamento de dados biométricos dos funcionários (permitido apenas para o controle de atendimento e controle de acesso às instalações);
  3. a transferência de dados pessoais de funcionários entre empresas (somente permitindo a referida transferência em casos de transferência ocasional do empregado, desde que a transferência dos dados seja proporcional, necessária e adequada aos objetivos a serem atingidos ou de cessão de funcionários por uma empresa de trabalho temporário ou destacamento para outro Estado).

Com relação a entidades públicas, o Projeto de Lei contém indicações detalhadas sobre as possíveis opções para a nomeação de um único DPO (Data Protection Officer) para diferentes entidades.
Há também uma indicação de que o processamento de dados pessoais por entidades públicas para fins diferentes daqueles determinados pela coleta de dados é permitido, desde que o processamento seja realizado no interesse público.

O Projecto de Lei também contém disposições específicas relativas ao processamento de dados no contexto de;

  1. processos de contratação pública;
  2. bases de dados de saúde ou registros centralizados;
  3. fins de arquivamento no interesse público;
  4. pesquisa científica ou histórica ou para fins estatísticos - fazendo referência ao princípio de minimização de dados e ao uso de anonimização ou pseudonimização dos dados, sempre que a finalidade do controlador possa ser alcançada com os dados nas referidas condições.

As orientações técnicas para a aplicação do GDPR às entidades públicas devem ser aprovadas por deliberação do Conselho de Ministros, entretanto publicada (Resolução do Conselho de Ministros n.º 41/2018) e estabelece os requisitos técnicos mínimos obrigatórios e recomendados aplicável aos sistemas informáticos e redes de entidades públicas, que deverá ser adotado até 29 de setembro de 2019.

No que diz respeito às sanções, o projecto de lei define 3 níveis diferentes de multas, fixando montantes mínimos em função da natureza do infractor ou da dimensão da empresa (grandes empresas - desde 1.000 € até 4000 €; PME - desde 500 € até € 2.000, ou indivíduos - de € 250 a € 1.000):

  1. infração administrativa muito grave (com um prazo de prescrição de 3 anos);
  2. grave ofensa administrativa (com prazo de prescrição de 2 anos);
  3. delito administrativo menor (com prazo de prescrição de 1 ano).

Outra opção controvertida foi a escolha de isentar a aplicação de multas para entidades públicas, embora definindo que essa opção deveria ser revista dentro de 3 anos, após a entrada em vigor do Projeto de Lei.

Finalmente, o projecto de lei prevê uma lista de infracções penais semelhantes às que já foram incluídas na anterior Lei Portuguesa de Protecção de Dados.

por, RJCS

 


Referências