Uma deliberação de desaplicação

Um pouco de um mês depois da entrada em vigor da Lei n.º 58/2019, a nova lei de proteção de dados, a Comissão Nacional de Proteção de Dados publica a Deliberação 494/2019, em que traz à luz as falências desta lei.

Estivemos mais de um ano à espera da entrada em vigor desta lei. Esperávamos muito dela, que cumprisse as suas funções esclarecendo as questões que estavam pendentes. Mas depois das discussões, dos pareceres e dos atrasos a Lei falhou em aspetos essenciais. Além das situações que não regula, como por exemplo, o regime que se deve aplicar na situação concreta da atividade seguradora, a legislação está em direto confronto com o Regulamento Europeu e com os princípios base do Direito da União Europeia como o Princípio do Primado do Direito da União.

Assim, a CNPD aprovou uma deliberação em que esclarece quais são as normas que vai desaplicar, em situações concretas que venha a apreciar, fundamentando-as,

“com o intuito de assegurar transparência dos seus procedimentos decisórios futuros e nesta medida contribuir para a certeza e segurança jurídicas.” 

(CNPD, Conclusão, Deliberação 494/2019, p. 11v.)

Artigo 2.º, n.ºs 1 e 2 – Âmbito de Aplicação

Este preceito trata o âmbito de aplicação da lei, tendo por base o âmbito de aplicação do próprio Regulamento Geral de Proteção de Dados.

1 — A presente lei aplica -se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito da prossecução de missões de interesse público, aplicando -se todas as exclusões previstas no artigo 2.º do RGPD.

2 — A presente lei aplica -se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:

a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou

b) Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do RGPD; ou

c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.

Nesta redação o âmbito de aplicação definido pela lei põe em causa preceitos do RGPD, especificamente colocando em causa a distribuição de competências entre autoridades de controlo no caso de tratamentos de dados transfronteiriços. Nesta redação não será possível ser determinada outra autoridade de controlo, como principal, sem ser a autoridade portuguesa, sempre que o tratamento seja efetuado no âmbito de uma atividade no território nacional.

Artigo 20.º, n.º 1 – Dever de Segredo

Este preceito restringe direitos dos titulares de dados além do permitido pelo RGPD. Foi uma das questões referidas pela CNPD no seu Parecer à primeira proposta de lei discutida na Comissão Constitucional, mas que acabou por não ser acolhida na versão final da lei (assim como outras tantas).

1 — Os direitos de informação e de acesso a dados pessoais previstos nos artigos 13.º a 15.º do RGPD não podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou ao subcontratante um dever de segredo que seja oponível ao próprio titular dos dados.

No caso do direito de informação, a questão do dever de segredo está já regulada no artigo 14.º, n.º 5, alínea d) do RGPD. Ademais, este preceito, ao restringir o direito de informação não cumpre as exigências das limitações do artigo 23.º, n.º 2 do RGPD.

Quanto ao direito de acesso, a CNPD alega que, enquanto direito fundamental, este não pode ser restringido desta forma, constituindo uma violação do artigo 8.º da Carta Europeia dos Direitos Fundamentais (onde o direito é protegido de forma individualizada) e do número 1 do artigo 35.º da Constituição da República Portuguesa.

Artigo 23.º- Tratamento de dados pessoais por entidades públicas para finalidades diferentes

O artigo 23.º regula o tratamento de dados pessoais por entidades públicas para finalidades diferentes.

1 — O tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas pela recolha tem natureza excecional e deve ser devidamente fundamentado com vista a assegurar a prossecução do interesse público que de outra forma não possa ser acautelado, nos termos da alínea e) do n.º 1, do n.º 4 do artigo 6.º e da alínea g) do n.º 2 do artigo 9.º do RGPD.

2 — A transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas pela recolha tem natureza excecional, deve ser devidamente fundamentada nos termos referidos no número anterior e deve ser objeto de protocolo que estabeleça as responsabilidades de cada entidade interveniente, quer no ato de transmissão, quer em outros tratamentos a efetuar.

As normas do RGPD em que este preceito se baseia não conferem ao Estado possibilidade para “admitir de modo genérico e permanente desvios de finalidade dos tratamentos”. Isto significa que não está nos poderes do Estado a capacidade de determinar, de forma abstrata, que os dados pessoais recolhidos por uma entidade pública possam ser usados por outra, com outra finalidade, sem que cada caso seja concretamente analisado. A norma contraria o princípio da limitação das finalidades pois afasta “o juízo concreto e ponderado de compatibilidade de finalidades” exigido pelo RGPD.

Para que fossem cumpridos os requisitos para a utilização desta possibilidade seria necessário a fixação das tarefas e finalidades específicas em que o tratamento fosse possível, o que não acontece.

Artigo 28.º, n.º 3, alínea a) – Relações laborais

A questão referida neste artigo era uma das mais aguardadas durante a espera da aprovação desta lei: o consentimento por parte do trabalhador. Contudo, a solução prevista é controversa e também foi sinalizada no Parecer da CNPD relativo à primeiro Proposta de Lei apresentada na AR.

3 — Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:

a) Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador;

A solução prevista neste preceito é oposta ao entendimento que tem sido dado na questão do consentimento por parte dos trabalhadores tanto no âmbito do Grupo de Trabalho do Artigo 29.º, como pelo Comité Europeu de Proteção de Dados.

O entendimento que tem vindo a ser defendido é o da desconsideração, em regra, da relevância jurídica do consentimento dos trabalhadores por não existir uma equidade na relação laboral, que não permite ao trabalhador dar o seu consentimento de uma forma puramente livre e sem que a recusa do consentimento traga prejuízo para o titular de dados, neste caso o trabalhador. Consequentemente, os trabalhadores podem dar o seu consentimento “livremente em circunstâncias excecionais, quando o ato de dar ou recusar o consentimento não produza quaisquer consequências negativas”.

A alínea a) do número 3 do artigo 28.º prevê uma restrição excessiva, “eliminando a margem de livre arbítrio dos trabalhadores mesmo quando há condições para a sua manifestação sem risco para os seus direitos e interesses.”

Artigo 61.º, n.º 2 – Renovação do consentimento

O artigo 61.º, sob epígrafe “Renovação do consentimento” prevê no seu número 2:

2 — Caso a caducidade do consentimento seja motivo de cessação de contrato em que o titular de dados seja parte, o tratamento de dados é lícito até que esta ocorra.

A CNPD não aplicará esta norma perante casos concretos pois encontra-se neste preceito uma confusão de conceitos. São confundidos fundamentos autónomos de legitimidade do tratamento de dados pessoais – o consentimento (artigo 6.º, n.º 1, alínea a)) e a execução do contrato (artigo 6.º, n.º1, alínea b) – pois admite-se que o consentimento para o tratamento de dados pessoais seja condição de vigência do contrato em que o titular dos dados seja parte.

A CNPD sublinha ainda:

“O que se estranha é que, depois de distinguir claramente, nessa disposição do artigo 28.º, as duas condições de legitimação ou licitude do tratamento em conformidade com o RGPD, a lei nacional venha, no artigo 61.º, confundi-las, estabelecendo uma relação de condicionalidade entre uma e outra.”

(CNPD, 6. Artigo 61.º, n.º 2, Deliberação 494/2019, p. 10v.)

A CNPD desaplicará ainda preceitos referentes a contraordenações e à sua aplicação por considerar que estas estão em desacordo com as normas europeias, e o artigo 62.º, n.º 2 que determina uma aplicação retroativa do RGPD que é contrário à legislação europeia.

Leave a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *