No final de março, o Governo apresentou na Assembleia da República (AR) a proposta de lei que pretende pôr em execução no território nacional o Regulamento Geral de Proteção de Dados (RGPD) da UE. O Governo redigiu a proposta sem ter solicitado o contributo da Comissão Nacional de Proteção de Dados (CNPD) – mas não se livrou de uma emenda de grandes proporções: hoje, a CNPD emitiu um parecer que sugere a supressão ou a revisão de mais de metade dos 64 artigos da proposta de lei do Governo. Nalguns casos, a CNPD aponta o dedo a artigos com redação «indecifrável», e noutros lembra ilegalidades relacionadas com cópias «palavra a palavra» de artigos do RGPD aprovado no Parlamento Europeu e também situações em que a proposta governamental contraria o direito da UE e a Constituição Portuguesa, ou apresenta artigos contraditórios, remissões para artigos mal efetuadas ou até a falta de uma vírgula. Matematicamente, ainda é possível cumprir a data de 25 de maio, mas tendo em conta o parecer negativo da CNPD e o facto de o debate parlamentar sobre a execução do RGPD no território nacional apenas se ter iniciado hoje, já não restam muitas dúvidas de que Portugal deverá mesmo falhar a data de entrada em vigor determinada para toda a UE, como a Exame Informática informou na semana passada.
O parecer emitido hoje foi solicitado pela Comissão Parlamentar dos Assuntos Constitucionais, Direitos, Liberdades e Garantias. Neste parecer, a CNPD analisa à luz da legislação comunitária e nacional a Proposta de Lei do Governo, que executa e trata dos fatores de ordem prática previstos no RGPD. Pelo que para entender a polémica, importa nunca esquecer que a proposta do Governo e o RGPD são coisas diferentes, na medida em que a primeira aplica os conceitos definidos pelo segundo.
Os reparos da CNPD começam no 2º artigo com o âmbito da aplicação da proposta de lei e só terminam no 63º que é relativo ao momento em que a proposta de lei passa a ter uma aplicação prática. Pelo meio ficam várias sugestões de supressão de artigos propostos pelo Governo por copiarem de artigos do RGPD ou, pelo contrário, produzirem resultados diferentes dos pretendidos pelo RGPD (ambas situações estão proibidas pelo direito da UE).
Mas de todos os reparos emitidos pela CNPD, há um que se destaca – e que incide precisamente na discrepância entre o que é exigido ao Estado e o que é exigido aos privados, como a Exame Informática noticiou em primeira-mão no início de março. O facto de a proposta governamental de dar às entidades públicas a possibilidade fazer um tratamento de dados com finalidades não previstas inicialmente merece o seguinte reparo da CNPD: «é evidente que uma norma do direito nacional que admita a utilização de dados pessoais dos cidadãos para qualquer fim de interesse público viola ostensivamente o princípio da finalidade»
Quanto ao facto de, pelo menos durante três anos, as entidades públicas estarem dispensadas de qualquer coima por tratamento de dados pessoais indevido, a entidade que supervisiona as políticas de privacidade aponta para a potencial desigualdade entre organismos estatais e privados. «Para afastar uma tal tradição jurídica e criar um regime diferenciado para as entidades públicas em matéria de sanções, seria de esperar que a Proposta de Lei apresentasse motivos pertinentes exclusivos das entidades públicas e que, portanto, se não verificassem quanto a entidades privadas. Estranhamente, tal opção não vem especificamente fundamentada na exposição de motivos que acompanha a Proposta de Lei», refere a CNPD.
A CNPD recorda ainda que, ao contrário do RGPD, a proposta de lei do Governo define mínimos para as coimas e distingue empresas consoante a dimensão: «Pelo que o critério adotado pelo legislador nacional, de distinguir as pequenas e médias empresas para reservar o limite pecuniário máximo do RGPD para as grandes empresas, constitui em si mesmo uma violação do RGPD».
Em contrapartida, outro dos pontos que mereceram maior destaque mediático também se tornou alvo de crítica da CNPD pelo facto de a proposta de lei do Governo não ter em conta o Código Penal: «Seria porventura expectável que na Proposta se tomasse por referência o critério fixado no Código Penal, no artigo 38.º, n.º 3, quanto ao consentimento como causa de exclusão da ilicitude penal: 16 anos. O argumento, expresso na exposição de motivos de que 13 anos foi a idade considerada em grande número de Estados-Membros17 não se afigura, pois, decisivo numa matéria que o legislador europeu deixou claramente em aberto para harmonização da solução em cada Estado»
No caso do âmbito da aplicação da proposta governamental, estipula-se que as autoridades competentes têm de supervisionar o tratamento de dados de todas as entidades que se encontram em Portugal, quando o RGPD defende que deve ser a principal localização de uma empresa dentro da UE que deve ser tida em conta.
«Não é possível fazer aplicar a lei portuguesa a todos os tratamentos de dados realizados em território nacional ou no contexto de atividades de um estabelecimento situado em Portugal. Estas disposições da Proposta contradizem inequivocamente o que está definido no RGPD quanto ao âmbito de aplicação territorial», refere o parecer da CNPD.
A CNPD também denuncia uma potencial infração na proposta do Governo no que toca ao raio de ação da Encarregado de Proteção de Dados (EPD). «Pretende-se estabelecer funções adicionais aos encarregados de proteção de dados, quando tal não é permitido pelo Regulamento, constituindo assim este artigo uma infração ao direito da União», refere a CNPD.
A CNPD aproveita ainda os artigos relativos ao EPD para recriminar a forma e a semântica da proposta do Governo: «De igual modo, o artigo 13.º (Encarregados de proteção de dados em entidades privadas) limita-se a reproduzir, palavra por palavra, as alíneas b) e c) do n.º 1 do artigo 37.º do RGPD». Antes deste excerto, a CNDP já havia alertado para o facto de a cópia de artigos de regulamentos europeus para as leis nacionais que executam esses regulamentos só poder ser feita com exceções devidamente justificadas.
A portabilidade dos dados pessoais, que pretendia funcionar como uma das principais novidades do RGPD, também não está suficientemente protegida pela proposta do Governo, considera a CNPD, ao apontar o dedo a «duas regras» que, uma vez «conjugadas excluem quase na totalidade a possibilidade de exercício do direito de portabilidade no âmbito de tratamentos de dados pela administração pública». Em causa, estão as restrições da Proposta governamental que pretendia limitar o direito à portabilidade dos dados em situações em que é invocado «o tratamento necessário para o exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável».
A CNPD acusa a proposta do Governo de intentar uma potencial «violação flagrante da nossa Constituição e da Carta dos Direitos Fundamentais da União Europeia», ao criar restrições no acesso aos dados pelos próprios titulares. «Nem a supressão liminar do exercício de um direito é admissível, nem este é o contexto legislativo adequado para regular qualquer tipo de restrição», refere o parecer da CNPD.
Os artigos 29º e 30.º da Proposta, que pretendem guiar as práticas de tratamentos de dados da saúde, também não escapam ao escrutínio da CNPD. No caso do artigo 30º, o caso aparenta ser mais gravoso por não só poder violar o RGPD como a Constituição da República Portuguesa (CRP): «a CNPD tem as maiores reservas quanto à conformidade do seu teor com o RGPD e a CRP. Ali se prevê a possibilidade de criação de bases de dados ou registos centralizados de saúde, especificando-se que estarão assentes em plataformas únicas. Esta norma surge sem qualquer enquadramento justificativo, designadamente na exposição de motivos, que permita compreender a razão de ser da sua previsão».
A CNPD sublinha uma potencial incongruência entre o artigo que permite limitar o acesso de titulares aos dados guardados na administração pública e a criação de um acesso indireto para entidades empresariais acederem a dados relativos a pessoas falecidas: «Acresce que o exercício, pelos herdeiros do falecido, do direito de acesso (titulado pelo falecido) aos dados pessoais é uma solução que permite às seguradoras, em especial no âmbito dos seguros de vida, acederem por via indireta a dados de saúde do falecido, nos casos em que este não tenha consentido especificamente. Com o que está o legislador a permitir um resultado que, ao menos aparentemente, parece ter querido vedar no contexto do acesso a dados pessoais constantes de documentos administrativos».
Nas câmaras de segurança, a CNPD começa por enaltecer a «grande pertinência» de a proposta do governo quando elenca «condições e critérios para a delimitação do âmbito dos tratamentos de dados decorrentes dos sistemas de videovigilância», mas também recomenda limites máximos à captação de imagens na via pública, proteção de áreas de descanso de trabalhadores. Mas também é deixada uma crítica: «A CNPD não pode deixar de lamentar o facto de a Proposta não ter disciplinado a utilização de tecnologia distinta, designadamente de câmaras de vídeo ou de outros dispositivos acoplados a veículos aéreos não tripulados (drones), considerando o impacto que a sua utilização pode ter na vida privada e na liberdade das pessoas».
Além do reparo à expressão que, na proposta do Governo, refere que «o RGPD se torna eficaz» a 25 de maio de 2018, a CNPD põe em causa a redação do diploma do executivo quando dá a entender que as notificações e as autorizações emitidas desde 2016 pela própria autoridade supervisora deixaram de ter validade: «O disposto no n.º 2 do artigo 62.º da Proposta de Lei, ao determinar que as normas que preveem autorizações e notificações à CNPD deixam de vigorar na data de 25 de maio de 2016, tem um resultado absurdo. Ou seja, um diploma legal em vigor, na melhor das hipóteses, em maio de 2018 determina retroativamente que as normas que sustêm as autorizações já emitidas pela CNPD deixam de vigorar desde maio de 2016, retirando com isso base legal às decisões da CNPD».
Depois do primeiro dia de debate na generalidade, a proposta de lei do Governo deverá seguir para o debate em comissão parlamentar para a introdução de emendas e alterações. Só depois deste período que,muito provavelmente demorará mais do que os 22 dias que faltam para 25 de maio, o diploma poderá seguir para promulgação do presidente da República.
Sobre a entrada em vigor do RGPD e a data de apresentação da proposta do Governo, a CNPD faz o seguinte reparo, que também pode ser encarado como uma crítica velada ao atraso da atividade legislativa do executivo: «o legislador europeu assegurou um período de transição de dois anos para que os Estados-Membros, as entidades administrativas e as diferentes organizações que tratam ou processam dados pessoais se preparassem devidamente para o novo quadro jurídico». Mais à frente a CNPD recorda que recai sobre os Estados Membros «o dever de tomar as medidas necessárias para assegurar a plena aplicação do RGPD a partir de 25 de maio de 2018 e, no mínimo, a não adotar medidas que sejam suscetíveis de comprometer a sua aplicação efetiva»
Leia o parecer da CNPD na íntegra.
Nota: este texto foi emendado devido a um erro de contabilização dos artigos em que é sugerida a revisão.
