No passado dia 14 de Junho, a Assembleia da República aprovou a proposta de lei n.º 120/XIII/3.ª, que assegura a execução, na ordem jurídica nacional, do Regulamento Geral sobre a Protecção de Dados – abreviadamente designado RGPD. Tal proposta veio, assim, acomodar parte das opening clauses (cláusulas abertas) daquele Regulamento, adaptando-o, na medida do possível, à realidade nacional. De igual modo, a presente proposta de lei procedeu à reformulação da Lei de organização e funcionamento da Comissão Nacional de Protecção de Dados (CNPD).
Contando que o diploma seja promulgado pelo Presidente da República e publicado em Diário da República, Portugal integra agora a lista dos Estados-membros da União Europeia que dispõem de um acto legislativo de execução do RGPD, da qual, se apresentam como únicas excepções, a Grécia, a República Checa e a Eslovénia.
Volvidos mais de três anos sobre a entrada em vigor do RGPD, o legislador português veio finalmente proceder à acomodação de uma série de opening clauses que importa agora conhecer. As principais novidades, por assim dizer, ocorrem em três domínios essenciais: (1) idade mínima para prestação do consentimento em relação à oferta directa de serviços da sociedade de informação a crianças; (2) contra-ordenações; e (3) (potencial) dispensa da aplicação de coimas em relação às entidades públicas.
De acordo com o RGPD, o tratamento de dados pessoais relativo à oferta directa de serviços da sociedade de informação a crianças, somente se pode basear no consentimento prestado pela criança quando esta, tenha idade igual ou superior a 16 anos, sendo necessário obter o consentimento dos titulares da responsabilidade parental nos restantes casos. Todavia, o RGPD – no seu artigo 8.º, n.º 1 – permite que os Estados-membros definam uma idade inferior a 16 anos, até ao limite mínimo de 13 anos. Esta última previsão foi adoptada pelo legislador português, contrariando com a solução encontrada pela maioria dos Estados-membros, que optaram assim, por manter a idade mínima de 16 anos, uma solução que se julga muito mais razoável, e que melhor tutela e protege os direitos das crianças.
No âmbito dos procedimentos de contra-ordenações, previstos nos artigos 37.º a 45.º da proposta de lei, a opção do legislador português reconduziu as contra-ordenações a duas principais categorias: graves e muito graves. As contra-ordenações graves passam a ser punidas com coimas que podem ir dos 500 euros aos 250 000 euros no caso das pessoas singulares; dos 1000 euros aos 1 000 000 ou 2% do volume de negócios anual no caso das pequenas e médias empresas, consoante o maior valor; e dos 2 500 euros aos 10 000 000 ou 2% do volume de negócios anual no caso das grandes empresas, consoante o maior valor. Tratando-se de uma contra-ordenação muito grave, o valor das coimas apresenta-se em razão do dobro dos valores anteriormente analisados para as contra-ordenações graves. É ainda de notar que, o legislador português consagrou – e bem – um regime jurídico relativo aos prazos de prescrição, quer do procedimento de contra-ordenação, quer da própria coima. Assim, o procedimento de contra-ordenação prescreve no prazo de três anos no caso das contra-ordenações muito graves, e no prazo de dois anos no caso das contra-ordenações graves, porquanto as coimas contêm um prazo de prescrição de três anos quando superiores a 100 000 euros, e de dois anos nos restantes casos. Observe-se, por fim, que no presente domínio, o montante das coimas cobradas reverte em 60% para o Estado e 40% para a CNPD.
Uma terceira inovação introduzida pela proposta de lei ora em análise prende-se com a possível dispensa das entidades públicas da aplicação de coimas durante o período de três anos aquando da sua entrada em vigor. Esta opção fica, no entanto, sujeita ao parecer positivo da CNPD, a quem incumbe ponderar as razões de interesse público que concretamente justificam o pedido de dispensa. A solução encontrada pelo legislador português, permitida pelo disposto no n.º 7 do artigo 83.º do RGPD, é, no entanto, permeável a várias críticas, algumas das quais julgo serem inteiramente razoáveis. Veja-se que, quer as entidades públicas, quer as entidades privadas, beneficiaram do prazo geral de dois anos para se adaptarem às novas obrigações do RGPD, ao qual acresce, na prática, um ano desde a entrada em aplicação do regulamento, sem que, contudo, se tenham evidenciado esforços sérios nesse sentido. Recordo as palavras da anterior Ministra da Presidência e da Modernização Administrativa, Maria Manuel Leitão Marques, que afirmava que o RGPD só se aplicava às grandes empresas. Com este tipo de mentalidade a presidir e persistir na Administração Pública, é razoável que se tema que a dispensa da aplicação de coimas pelo período de três anos possa, enfim, resultar num continuado desinteresse por parte das entidades públicas na adopção de processos organizacionais e operacionais que garantam a sua conformidade com o RGPD, com um claro e evidente perigo para o direito à protecção dos dados pessoais dos indivíduos.
À parte das principais novidades trazidas pela nova lei de execução do RGPD, existem outros domínios que merecem, pelos melhores motivos, a nossa atenção. Reporto-me inevitavelmente a inserção da norma que confere protecção aos dados pessoais das pessoas falecidas, e às novas tipologias de crimes relativos aos dados pessoais que constam no novo diploma.
Embora o regulamento não se aplique em relação aos dados pessoais de pessoas falecidas, o artigo 9.º, n.º 4 do RGPD permite que os Estados-membros possam manter ou impor novas condições no âmbito das categorias especiais de dados pessoais. Este sentido é também revelado pelo considerando n.º 27 do RGPD que permite que os Estados-Membros possam estabelecer regras para o tratamento dos dados pessoais de pessoas falecidas. Deste modo, a opção pela protecção de determinadas categorias de dados pessoais de pessoas falecidas é uma solução razoável e que se alinha com a protecção dos restantes direitos de personalidade que as pessoas falecidas igualmente gozam depois da sua morte. Menos razoável parece ser a opção do n.º 2 do artigo ora em análise, que vem permitir que os respectivos herdeiros possam exercer os direitos previstos no RGPD relativamente aos dados pessoais das pessoas falecidas, uma vez que, por uma tal via, poder-se-á estar a desvirtuar a protecção que primeiramente se procurou consagrar.
Relativamente à nova tipologia de crimes previstos nos artigos 46.º e seguintes daquele diploma, parece-me que está é uma opção inteiramente razoável, sobretudo, se atendermos à crescente importância que os dados pessoais representam para a nossa sociedade, bem como ao impacto que as condutas erróneas sobre os dados pessoais podem potencialmente provocar junto dos seus titulares, bastando referir, a título de exemplo, os danos provocados pelo roubo de identidade que muito se serve dos dados pessoais das suas vítimas.
Além destes artigos, julgo ser relevante prender igualmente a nossa atenção na opção tomada pelo legislador português relativamente à liberdade de expressão e informação, prevista no artigo 24.º daquele diploma.
Não sendo o direito à protecção de dados pessoais um direito absoluto, torna-se necessário equilibrar a sua relação com os demais direitos e liberdades, competindo aos Estados-membros conciliar o direito à protecção de dados com o direito à liberdade de expressão e de informação, incluindo o tratamento para fins jornalísticos e para fins de expressão académica, artística ou literária, conforme referido no artigo 85.º do RGPD. Assim, e aquando da concretização desta cláusula aberta, o legislador português optou – e bem – por enunciar, nos n.ºs 1 e 2 do artigo 24.º da proposta de lei acima mencionada, que o direito à protecção de dados não prejudica o exercício da liberdade de expressão, informação e imprensa, sendo que, o exercício de tais liberdades deve respeitar o princípio da dignidade da pessoa humana previsto na Constituição da República Portuguesa e os demais direitos de personalidade previstos na restante legislação nacional.
Contudo, torna-se criticável a opção do legislador português que, no n.º 3 daquele artigo, refere que o “O tratamento para fins jornalísticos deve respeitar a legislação nacional sobre acesso e exercício da profissão”. Ora, a opção de condicionar os “fins jornalísticos” à legislação nacional sobre o acesso e exercício da profissão pouco se compreende, sobretudo, quando é consabido que o Tribunal Europeu dos Direitos do Homem (TEDH) e o próprio Tribunal de Justiça da União Europeia (TJUE) têm sustentado uma interpretação muito mais extensiva daquele que se pretende agora dar aquilo que são considerados os “fins jornalísticos”, abarcando realidades tão diversas como seja, a título de exemplo, os blogues pessoais ou o chamado “jornalismo do cidadão”. É possível que o legislador nacional, neste particular domínio, tenha ficado muito aquém da jurisprudência europeia, razão pela qual se antecipa que se venha a verificar uma larga desconformidade entre a lei portuguesa e a interpretação jurídica concedida por aqueles tribunais.
Por fim, e em grosso modo, não obstante das críticas que aqui e ali se possam esboçar, julgo que a provação da proposta de lei que assegura a execução do RGPD é um dado positivo, que vem trazer maior certeza e segurança jurídica ao particular domínio da protecção de dados pessoais.
Embora os regulamentos europeus sejam, pela sua natureza, directamente aplicáveis em todos Estados-membros, valendo como se de uma qualquer outra lei nacional se tratasse – em boa verdade, por força do princípio do primado do direito da União Europeia, os regulamentos sobrepõem-se às leis nacionais –, o facto de existir, agora, uma lei nacional, que discipline parte das cláusulas abertas do RGPD, permite que se dissipem as dúvidas acerca da obrigatoriedade das normas jurídicas contidas naquele Regulamento. Esta é uma oportunidade, quer para as entidades privadas, quer para as entidades públicas, de se adaptarem às suas novas obrigações, implementando os procedimentos organizacionais e operacionais necessários em vista do alcance da conformidade com o RGPD, o que se afigura, contrariamente ao que se julga, um processo de progressiva e continuada adaptação.
