Denique legem habemus in Portugal - Prof. Matheus Passos

Sempre que um novo Papa é escolhido utiliza-se a expressão latina Habemus Papam quando o processo se concretiza. Este, por sua vez, muitas vezes é demorado e penoso, especialmente quando há indefinição de quem poderá vir a ser o novo líder da Igreja Católica no mundo. E, por analogia, foi assim o processo de criação da nova Lei de Proteção de Dados em Portugal: demorado e penoso. Daí se justificar o uso da expressão denique legem habemus in Portugal – finalmente temos uma lei de proteção de dados em Portugal.

A aplicação do RGPD em Portugal

O Regulamento Geral de Proteção de Dados (o RGPD ou, como alguns preferem, o GDPR) entrou em vigor em 25 de maio de 2018 e estava em pleno vigor em Portugal desde então. Como se sabe, regulamentos europeus têm aplicação direta nos Estados-Membros da União Europeia, diferentemente das diretivas que precisam ser transpostas para o ordenamento jurídico interno de cada um. Portanto, ao revogar a anterior Diretiva 95/46/CE, o RGPD entrou em seu lugar e já passou a ser aplicado em Portugal.

Tanto foi assim que uma das maiores multas já aplicadas até o momento no âmbito da proteção de dados – de 400 mil euros – foi em Portugal com base no RGPD. Além disso, a própria Comissão Nacional de Proteção de Dados – a CNPD, que é a autoridade supervisora em Portugal – indica explicitamente em seu site que a anterior Lei n.º 67/98 continuava em vigor “em tudo o que não contrari[ass]e o RGPD”.

Pode haver quem se pergunte: ora, se o RGPD já tinha aplicação direta, qual a necessidade de uma lei? Se está-se aqui a falar em regulamento e não em diretiva, qual a importância pela existência de uma nova norma que aplique o RGPD na ordem jurídica portuguesa?

A necessidade da lei portuguesa

A questão refere-se, especialmente, a determinadas situações que o próprio RGPD deixa em aberto para que a legislação dos Estados-Membros defina como considerar melhor. Um dos exemplos diz respeito ao consentimento de crianças, o RGPD deixa explícito, no n.º 1 do art. 8.º, que “[o]s Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos referidos [no caso, estabelecido em 16 anos], desde que essa idade não seja inferior a 13 anos”.

Neste sentido, Portugal foi um dos últimos países europeus a ter uma lei para a execução do RGPD em âmbito interno, estando em falta (à data deste texto) apenas Grécia e Eslovênia. Daí, portanto, o uso da expressão denique legem habemus in Portugal, como indicado anteriormente.

Os principais pontos da nova lei

Dentre os principais pontos da legislação destacam-se os seguintes:

A lei entrou em vigor em 9 de agosto de 2019;
Aplica-se ao tratamento de dados pessoais realizado por entidades públicas ou privadas no território de Portugal;
Estipula oficialmente que a CNPD é a Autoridade Supervisora do país;
Define explicitamente que o DPO não precisa ter nenhum tipo de certificação profissional para exercer suas funções;
Estabelece que o consentimento pode ser dado por crianças com idade igual ou superior a 13 anos por via eletrônica;
Atribui aos herdeiros os direitos de proteção de dados de pessoas falecidas, em relação a dados de categorias especiais;
Apresenta pontos específicos referentes à videovigilância;
Permite às entidades públicas o tratamento de dados pessoais para finalidades diferentes das originais, desde que seja a título excepcional e fundamentado, e ainda quando não seja possível atingir o objetivo de outra maneira;
Dispensa o consentimento em relações laborais quando estas trouxerem vantagens jurídicas ou econômicas ao trabalhador;
Define as contraordenações “muito graves” e “graves”;
Estabelece distinções em relação aos valores a serem pagos por grandes empresas, PMEs ou pessoas singulares;
São criados tipos específicos de crimes em relação à proteção de dados, bem como a publicidade obrigatória em caso de crimes e/ou multas superiores a 100 mil euros.

Vale, portanto, uma leitura atenta dos 68 artigos da nova Lei n.º 58/2019, já que ela traz elementos específicos para a proteção de dados no país europeu.