Demorou mas chegou! A regulamentação da proteção de dados em Portugal

/em , , /por

 

Foi publicada no passado dia 08 de Agosto a Lei n.º 58/2019, que assegura a execução na ordem jurídica nacional do Regulamento (UE) 2016/679 do Parlamento e do Conselho, trazendo luz a alguns temas que permaneceram polémicos desde a entrada em vigor do RGPD.

Fortemente criticada pelo atraso na sua finalização, a lei de execução do RGPD, como é designada, veio concretizar o diploma europeu nas questões fraturantes que dividiram a doutrina e adaptar o normativo ao panorama português, ao mesmo tempo que definiu expressamente a Comissão Nacional de Proteção de Dados como autoridade de controlo competente para Portugal.

Para além de definir a autoridade de controlo, o diploma define expressamente as funções do Encarregado de Protecção de Dados (DPO) e afasta a necessidade da sua certificação por entidades externas, tornando mais claro o seu papel nas organizações e quando é absolutamente indispensável.

O diploma regula ainda algumas questões essenciais adicionais, como a idade a partir da qual os menores têm capacidade para prestar o seu consentimento; a proteção de dados pessoais das pessoas falecidas; e o prazo de conservação dos dados pessoais aplicável a cada caso.

Uma nota especial deve ser atribuída ao legislado em matéria de proteção de dados no âmbito das relações laborais, porquanto a lei passa a definir expressamente a desnecessidade do consentimento do trabalhador para assegurar a legitimidade do tratamento dos seus dados, se desse tratamento resultar uma vantagem jurídica ou económica para o trabalhador, ou estiver abrangido pela alínea b) do n.º 1 do artigo 6.º do RGPD, bem como define em que medida podem ser utilizados os dados pessoais e imagens gravadas para fins disciplinares.

Como boa notícia para as organizações, é consagrado que, exceto em caso de dolo, a aplicação de qualquer contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação emitida ou reintegração da proibição violada em prazo razoável, o que se poderá revelar bastante benéfico para as entidades portuguesas que forem alvo de contraordenação.

Por último, o diploma criminaliza alguns comportamentos específicos, como a utilização de dados de forma incompatível com a finalidade da recolha, o acesso indevido a dados pessoais, o desvio de dados, a destruição ou inserção de dados falsos, bem como a violação de dever de sigilo por entidades que a este estejam obrigados.

 

 

Em caso de esclarecimentos adicionais, não hesite em contactar a CRS Advogados para: crs@crs-advogados.com.

 

Diana Cabral Botelho

Advogada