Lei portuguesa que aplica o RGPD já entrou em vigor: conheça as principais mudanças
A publicação em Diário da República da Lei nº 58/2019 assegura a execução, na ordem jurídica portuguesa, do RGPD que entrou em vigor a 25 de maio de 2018 na UE. A transposição para a Lei nacional das normas europeias é fundamental para adaptar os aspetos do Regulamento de Proteção de Dados à realidade portuguesa.
Um dos pontos que foi alterado pelos deputados, na votação da Lei na Assembleia da República, foi o valor das coimas que podem ir até 20 milhões de euros ou 4% do volume de negócios anual das empresas. A Lei portuguesa impõe limites mínimos e máximos. Assim, as multas para as infrações muito graves vão dos 5 mil euros até aos 20 milhões de euros (ou 4% do volume de negócios) no caso das grandes empresas, e dos 2 mil euros até aos 2 milhões de euros (ou os mesmos 4% do volume de negócios) para as Pequenas e Médias Empresas (PME). As pessoas singulares ficam sujeitas a coimas dos mil aos 500 mil euros. Nos casos das infrações graves, as grandes empresas podem pagar entre 2500 e 10 milhões de euros (ou 2% do volume de negócios) e as PME entre mil e um milhão de euros (ou 2% do volume de negócios). Já as pessoas singulares arriscam multas entre os 500 e os 250 mil euros.
O valor exato das coimas será definido pela Comissão Nacional de Proteção de Dados (CNPD), a autoridade a quem compete supervisionar o cumprimento do RGPD em Portugal. As multas vão ter em conta além do volume de negócios das empresas envolvidas, o respetivo balanço anual, bem como o número de trabalhadores, o tipo de serviços prestados e a gravidade da infração. A Lei prevê ainda a possibilidade de indemnizações para os titulares de dados que sofram danos devido ao eventual tratamento indevido dos mesmos.
As entidades públicas estão também sujeitas a multas, embora possam solicitar um período de isenção. A CNPD pode conceder a dispensa da aplicação da Lei durante três anos com base em argumentos fundamentados.
Importa notar que a Lei tem efeitos retroativos até 25 de maio de 2018, altura em que o RGPD entrou em vigor a nível da UE. Deste modo, podem surgir processos relativos a violações que tenham ocorrido antes da publicação da Lei portuguesa.
De resto, a CNPD já aplicou várias multas por incumprimento do RGDP, inclusive a empresas privadas. O Hospital do Barreiro foi o único caso tornado público depois de ter sido condenado a uma multa de 400 mil euros por permitir o acesso indevido a dados de doentes. A administração do hospital recorreu da decisão e o processo ainda não teve um desfecho.
A nível europeu, a maior multa por incumprimento do RGPD foi aplicada em França e teve como alvo a Google por uso indevido de dados pessoais para segmentação de publicidade sem o obrigatório consentimento dos titulares desses dados.
DPO não precisa de certificação profissional
A Lei portuguesa publicada em Diário da República tipifica alguns dos crimes que podem estar envolvidos na violação das normas do RGPD, nomeadamente a utilização de dados para fins diferentes daqueles que motivaram a sua recolha, o acesso indevido a dados pessoais, a inserção de dados falsos, a violação do dever de sigilo e o desvio de dados.
Por outro lado, a Lei nacional também esclarece outros aspetos relevantes do Regulamento europeu, definindo, nomeadamente, que os Encarregados de Proteção de Dados (ou Data Protection Officer – DPO) não precisam de ter uma certificação profissional, bastando que tenham conhecimentos de direito e de proteção de dados. Também fica assente que a certificação das empresas que cumprem o RGPD terá de ser feita por entidades reconhecidas pelo Instituto Português de Acreditação (IPAC) e pela CNPD.
A norma nacional especifica um regime próprio para os dados biométricos e permite a utilização de câmaras de videovigilância no local de trabalho, mas as gravações só poderão ser utilizadas no âmbito de processos disciplinares contra os trabalhadores caso estejam em causa eventuais delitos penais.
Outro ponto que a Lei clarifica é que a partir dos 13 anos, qualquer pessoa pode dar o seu consentimento livre e informado, sem precisar da autorização dos pais.
Como podem as empresas preparar-se
Com a publicação da Lei portuguesa, as empresas já não podem contornar a aplicação do RGPD. É conveniente que se preparem adequadamente para evitar surpresas desagradáveis que podem revelar-se mais dispendiosas do que o investimento que é preciso fazer em recursos humanos e em tecnologia para cumprir a Lei. Este processo assegura também maior transparência e uma relação mais clara com os titulares dos dados, o que contribui para a reputação das empresas.
Neste sentido, urge começar por fomentar ações de esclarecimento e de formação junto dos colaboradores para os evangelizar relativamente à conformidade com o RGDP. Executar uma auditoria interna e um Privacy Impact Assessement para avaliar o impacto da aplicação da Lei no tratamento dos dados pessoais são também passos fundamentais.
As empresas precisam de mapear detalhadamente os dados pessoais recolhidos e tratados, reforçando as suas políticas e práticas de segurança e proteção de dados e definindo claramente os processos de privacidade e de consentimento. Não podem também descorar a forma de atuação em caso de violação de dados.
A Eurotux pode colaborar com a sua empresa neste processo, com serviços de aconselhamento, de avaliação e de planeamento que são fundamentais para garantir a conformidade com o RGPD. Contacte-nos para saber como o podemos ajudar!
