A recente lei de execução do GDPR em Portugal - oportunidades ou entraves?

Em Portugal, a proposta de lei nº 120/XIII/3ª, relativa à execução na ordem jurídica nacional Portuguesa do Regulamento Geral de Proteção de Dados Europeu – GDPR/GDPR, foi aprovada e transformada na lei n.º 58/2019 de 8 de agosto de 2019. Para efeitos práticos, a lei adapta normas do regulamento europeu, e, dentre as novidades, apresenta a exceção para a aplicações de coimas/multas ao Estado durante três anos. 

Apesar de as multas previstas na GDPR/RGPD e na citada lei se aplicarem de igual modo às entidades públicas e privadas, por força do n.º 7 do artigo 83º do RGPD, as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à Comissão Nacional de Proteção de Dados Portuguesa – CNPD a dispensa da aplicação de multas durante o prazo de três anos, a contar da entrada em vigor da lei portuguesa, conforme o artigo 44° da mesma.    

O destino do resultado do montante das multas cobradas será dividido entre a CNPD, em 40% e o Estado, em 60%, segundo o artigo 42° da mesma lei. Além disso, outra novidade foi a introdução de valores mínimos de aplicação das multas, sendo 5.000 euros para contraordenações muito graves e 2.500 euros para contraordenações graves, entretanto, para entidades médias e pequenas os valores estão entre 1.000 e 2.000 euros. A lei informa o que são contraordenações muito graves no artigo 37.º e graves no artigo 38°.

A legislação portuguesa no artigo 16° definiu 13 anos como idade mínima para que seja possível prestar consentimento de menores, nos termos do artigo 8.º da GDPR/RGPD, que também estabelece essa idade como a mínima para a finalidade mencionada.

As exigências no setor de Saúde

A lei de execução do GDPR/RGPD, nos artigos 29 e 30, trata sobre os dados utilizados no setor da saúde, trazendo a necessidade de sigilo, confidencialidade e medidas de segurança da informação por parte daqueles profissionais que realizem o tratamento dos dados, reforçando a ideia das alíneas h) e i) do n.º 2 do artigo 9.º da regulação europeia.

É exigido, ainda, que o titular de dados seja notificado quando do acesso aos seus dados, sendo uma responsabilidade do responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação. Essa exigência se traduz em custo para as entidades de saúde, motivo pelo qual a aplicação do principio da subsidiariedade e legitimo interesse se faz pertinente, vez que prega que se deve captar apenas os dados estritamente necessários à finalidade pretendida.

Nesse caso, captar dados desnecessários além de representar um maior risco de violação, representa maior custo para prover segurança e entregar os devidos reports, através dos controles internos necessários.

Os Princípios de Proteção de dados by design ou proteção de dados desde a concepção e; Proteção de Dados por padrão ou by default, quando aplicados às operações desse setor, evitam sanções e violação dos dados pessoais.

O primeiro princípio determina que o controlador e/ou qualquer pessoa que processe dados pessoais antecipe e evite eventos invasivos de privacidade, antes que ocorram e o segundo princípio pretende fornecer o máximo grau de privacidade incorporada às atividades de maneira padrão. Logo, para atingir essas finalidades, é necessário efetuar a Avaliação de impacto de proteção de dados pessoais – AIPD constantemente, nomeadamente por conta da natureza sensível/especial dos dados de saúde.

Desafios e reflexos

Apesar das inovações da lei de execução da GDPR/RGPD Portuguesa, o contexto geral continua o mesmo relativamente à proteção de dados. Dentre as inovações, a possibilidade de solicitar à Comissão Nacional de Proteção de Dados Portuguesa – CNPD a dispensa da aplicação de multas durante o prazo de três anos, no setor público, é uma das mais relevantes.

Levando essa possibilidade para o setor público, essa seria uma oportunidade de evitar as coimas/multas. Apesar disso, em território português, houve aplicação de multa ao hospital público do Barreiro, antes da aprovação da lei de execução.

Portanto, as exigências propostas pela RGPD e reforçadas pela sua lei de execução reforçaram a necessidade da Avaliação de impacto à proteção de dados e utilização do princípio da subsidiariedade na coleta dos dados de saúde.