Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur whatsapp

La loi d’application du GDPR entre en vigueur aujourd’hui

Plus d’un an après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), un règlement européen de mise en œuvre directe dans tous les pays de l’UE, entre aujourd’hui en vigueur notre loi d’application, dont l’objectif est d’encadrer la mise en œuvre organique de la GDPR au Portugal, en clarifiant certains points qui n’avaient pas de contexte local.

Nous soulignons, de manière simplifiée, les principales dispositions de la loi no 58/2019 :
  • Entités compétentes :
    • la CNPD a été nommée l’autorité nationale de surveillance aux fins du GDPR;
    • l’autorité désignée pour l’accréditation des organismes de certification de la protection des données est l’IAPC, I.P.;
  • Entités publiques
    • les entités publiques peuvent être exemptées d’amendes pendant trois ans avec une demande préalable de congédiement, qui dépend de l’approbation de la CNPD;
    • il est admis que le traitement peut être effectué à des fins autres que celles justifiant la collecte de données, à condition que l’intérêt public soit concerné;
  • Petits
    • l’âge considéré pour le consentement des mineurs est de 13 ans aux fins d’un consentement libre, spécifique, éclairé et explicite pour le traitement des données à caractère personnel;
    • si l’enfant a moins de 13 ans, le traitement n’est légal que si le consentement est donné par ses représentants légaux, de préférence par des moyens d’authentification sécurisée;
  • Relation d’emploi
    • la collecte de données biométriques ne peut être effectuée qu’aux fins de surveillance de la fréquentation et de l’accès aux locaux et leur utilisation est conforme à des règles spécifiques et définies;
    • les images vidéo ou d’autres moyens technologiques de surveillance ne peuvent être utilisés que dans le cadre de procédures pénales;
  • Titulaires décédés
    • les données personnelles des personnes décédées sont protégées lorsqu’elles font partie des catégories spéciales de données personnelles ou lorsqu’elles se rapportent à l’intimité de la vie privée, de l’image ou des données de communication;
  • Santé
    • les données sur la santé et la génétique ne peuvent être accessibles que par des professionnels dûment couverts par l’obligation du secret et exclusivement par des moyens électroniques, et l’accès à ces données doit être communiqué au titulaire;
  • Agent de protection des données (DPO)
    • fonctions supplémentaires sont définies pour le DPO, à savoir :
      • a) assurer les vérifications, qu’elles soient périodiques ou imprévues;
      • b) sensibiliser les utilisateurs à l’importance de détecter les incidents de sécurité en temps opportun et à la nécessité d’en informer immédiatement l’agent de sécurité;
      • c) assurer des relations avec les sujets de données;
  • Amendes
    • dans le cas des grandes entreprises, les contre-commandes très graves seront passibles d’un montant minimum d’amendes de 5 000 euros et de 2 500 euros. Pour les PME, les valeurs minimales varient de 1 000 à 2 000 euros ;
    • pour la détermination de l’amende, du chiffre d’affaires et du bilan annuel de la société, il convient d’examiner la nature continue de l’infraction et la taille de l’entité;
    • les crimes relatifs aux données personnelles, y compris l’utilisation de données à des fins autres que la collecte, l’accès inapproprié, le détournement de données, le manquement à l’obligation de confidentialité et de désobéissance, passibles d’une peine pouvant aller jusqu’à deux ans ou d’une peine jusqu’à 240 jours.
Retour haut de page