Mais de um ano após a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), uma regulamentação europeia de implementação direta em todos os países da UE, entra hoje em vigor a nossa lei de execução, cujo objetivo é de enquadrar a orgânica da implementação do RGPD em Portugal, esclarecendo alguns pontos que careciam de um contexto local.
Destacamos, de forma simplificada, as principais disposições da Lei n.º 58/2019:
- Entidades Competentes:
- a CNPD foi nomeada a autoridade de controlo nacional para efeitos do RGPD;
- a autoridade designada para a acreditação dos organismos de certificação em matéria de proteção de dados é o IPAC, I. P.;
- Entidades Públicas
- as entidades públicas poderão ficar isentas de coimas por três anos com um pedido prévio de dispensa, que depende da aprovação da CNPD;
- admite-se que o tratamento possa ser realizado para finalidades diferentes das que justificam a recolha de dados, desde que esteja em causa o interesse público;
- Menores
- a idade considerada para o consentimento de menores é de 13 anos para efeitos de consentimento livre, específico, informado e explícito para tratamento de dados pessoais;
- caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos seus representantes legais, preferencialmente através de meios de autenticação segura;
- Relação laboral
- a recolha de dados biométricos apenas poderá ser efetuada para fins de controlo de assiduidade e acesso às instalações e a sua utilização obedece a regras específicas e definidas;
- as imagens gravadas em vídeo ou outros meios tecnológicos de vigilância só podem ser utilizadas no âmbito de processo penal;
- Titulares falecidos
- os dados pessoais de pessoas falecidas são protegidos quando se integrem nas categorias especiais de dados pessoais ou quando se reportem à intimidade da vida privada, à imagem ou aos dados relativos às comunicações;
- Saúde
- os dados de saúde e genéticos apenas podem ser acedidos por profissionais devidamente abrangidos pela obrigação de sigilo e exclusivamente através de meios eletrónicos, sendo que o acesso a estes dados deve ser comunicado ao titular;
- Encarregado de Proteção de Dados (DPO)
- são definidas funções adicionais para o DPO, nomeadamente:
- a) assegurar a realização de auditorias, quer periódicas, quer não programadas;
- b) sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
- c) assegurar as relações com os titulares dos dados;
- são definidas funções adicionais para o DPO, nomeadamente:
- Coimas
- no caso das grandes empresas, as contra-ordenações muito graves terão um valor mínimo de coimas de 5.000€ e as graves, de 2.500€. Para as PME, os valores mínimos variam entre os 1.000€ e os 2.000€;
- para a determinação da medida de coima, deve ser considerado o volume de negócios e o balanço anual da empresa, o caráter continuado da infração e a dimensão da entidade;
- são tipificados crimes referentes a dados pessoais, nomeadamente a utilização de dados com uma finalidade diferente da recolha, o acesso indevido, o desvio de dados, a violação do dever de sigilo e a desobediência, puníveis com pena de prisão até dois anos ou com pena de multa até 240 dias.