Notícias e Publicações

Projeto de Internacionalização

   
 

Entrou em vigor a lei nacional de execução do Regulamento Geral de Proteção de Dados (RGPD)

Entrou em vigor a Lei n.º 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (EU) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Após o primeiro ano de aplicação do RGPD, que se cumpriu no passado dia 25 de maio, passa finalmente a existir uma lei nacional para que o regulamento comunitário possa ser devidamente executado.

Merece destaque o seguinte:

Âmbito de aplicação territorial

A Lei aplica-se ao tratamento de dados pessoais realizado em território nacional por quaisquer entidades públicas ou privadas e fora do território nacional quando seja efetuado no âmbito da atividade de um estabelecimento situado em território nacional ou quando afete titulares que se encontrem em território nacional a exercer atividades subordinadas ao âmbito de aplicação previsto no RGPD.

Para além do que se encontra previsto no RGPD, a Lei aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional que afetem dados de titulares nacionais residentes no estrangeiro que estejam inscritos nos postos consulares.

Autoridade de controlo

A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional nomeada para efeitos do RGPD e da Lei 58/2019 de 8 de agosto.

Encarregado de proteção de dados

À figura do encarregado de proteção de dados foram adicionadas funções para além das previstas no RGPD, concretamente, assegurar a realização de auditorias, quer periódicas, quer não programadas; sensibilizar os utilizadores para importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança; assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

Acreditação e certificação

O IPAC – Instituto Português de Acreditação I.P é a autoridade competente para acreditar os organismos de certificação, emissão de selos e marcas em matéria de proteção de dados.

Consentimento

Quanto ao consentimento fica definida a desnecessidade de renovar os consentimentos que observem, já, as disposições do RGPD. Contudo, é referida a possibilidade de caducidade do consentimento como motivo da cessação de contrato, caso em que o tratamento de dados é lícito até que a cessação do contrato ocorra.

Para o consentimento de menores é adotada a idade mínima de 13 anos para o consentimento lícito (pelo próprio) para o tratamento de dados pessoais no âmbito dos serviços da sociedade da informação. Para crianças com idade inferior a 13 anos, o consentimento deve ser dado pelos seus representantes legais.

Videovigilância

Quanto à videovigilância o diploma remete para a lei sobre a atividade de segurança privada (Lei n.º 34/2013, de 16 de maio) e inclui, ainda, um elenco de locais interditos à captação de som e imagem, concretamente, as vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel; a zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM; o interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade, designadamente instalações sanitárias, zonas de espera e provadores de vestuário e o interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.

Prazo de conservação dos dados pessoais

O prazo de conservação dos dados pessoais é o que estiver fixado por norma legal ou regulamentar ou, na falta desta, o que se revele necessário para a prossecução da finalidade.

Quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante, comprovar o cumprimento de obrigações contratuais ou de outra natureza, os mesmos podem ser conservados enquanto não decorrer o prazo de prescrição dos direitos correspetivos.

Relações laborais

Quanto às relações laborais, no sentido das melhores orientações em matéria de proteção de dados, a Lei esclarece que o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais, se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador ou se esse tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte.

Quanto ao tratamento dos dados biométricos de trabalhadores o mesmo é legítimo apenas para o controlo de assiduidade e controlo de acessos às instalações do empregador.

Tratamentos de dados de saúde e dados genéticos

Este tratamento deve ser efetuado apenas por profissional obrigado a sigilo ou outra pessoa sujeita a dever de confidencialidade ou sigilo, devendo ser garantidas as medidas adequadas e os requisitos técnicos mínimos de segurança inerentes ao tratamento de dados os quais são aprovados por portaria dos membros do Governo responsáveis pelas áreas da saúde e da justiça.

Contraordenações

Em matéria sancionatória, a lei adapta as molduras sancionatórias em função da dimensão (empresarial) do infrator e prevê critérios de ponderação na determinação da coima a aplicar.

No RGPD as coimas podem ir até 20 000 000 € ou 4% do volume de faturação das empresas, mas a Lei de execução nacional introduz um valor mínimo: 5 000 € no caso de contraordenações muito graves e 2 500 € para contraordenações graves de grandes empresas. Já os valores mínimos das pequenas e médias empresas oscilam entre os 1000 € e 2000 €.

Crimes

A utilização de dados de forma incompatível com a finalidade da recolha, o acesso indevido, desvio de dados, violação ou destruição de dados, inserção de dados falsos, violação do dever de sigilo, são condutas que passaram a ser classificadas como crime e punidas com pena de prisão. A tentativa é sempre punível.

Esta opção vai obrigar as entidades a uma redobrada preocupação na implementação e monitorização do cumprimento das regras do RGPD.


22-08-2019  
 

Cofinanciado por:
Este website utiliza cookies para ajudar a sua experiência de navegação. Ao navegar sem desativar os cookies, estará a concordar com a nossa política de cookies. Consulte ainda os nossos Termos e Condições e Política de Privacidade.    OK