A recente lei de execução do GDPR em Portugal - oportunidades ou entraves?

Por Yuri R. Ladeia | 17 de Outubro de 2019 às 07h00
Shutterstock

Em Portugal, a proposta de lei nº 120/XIII/3ª, relativa à execução na ordem jurídica nacional Portuguesa do Regulamento Geral de Proteção de Dados Europeu – GDPR/GDPR, foi aprovada e transformada na lei n.º 58/2019 de 8 de agosto de 2019. Para efeitos práticos, a lei adapta normas do regulamento europeu, e, dentre as novidades, apresenta a exceção para a aplicações de coimas/multas ao Estado durante três anos. 

Apesar de as multas previstas na GDPR/RGPD e na citada lei se aplicarem de igual modo às entidades públicas e privadas, por força do n.º 7 do artigo 83º do RGPD, as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à Comissão Nacional de Proteção de Dados Portuguesa – CNPD a dispensa da aplicação de multas durante o prazo de três anos, a contar da entrada em vigor da lei portuguesa, conforme o artigo 44° da mesma.    

O destino do resultado do montante das multas cobradas será dividido entre a CNPD, em 40% e o Estado, em 60%, segundo o artigo 42° da mesma lei. Além disso, outra novidade foi a introdução de valores mínimos de aplicação das multas, sendo 5.000 euros para contraordenações muito graves e 2.500 euros para contraordenações graves, entretanto, para entidades médias e pequenas os valores estão entre 1.000 e 2.000 euros. A lei informa o que são contraordenações muito graves no artigo 37.º e graves no artigo 38°.

A legislação portuguesa no artigo 16° definiu 13 anos como idade mínima para que seja possível prestar consentimento de menores, nos termos do artigo 8.º da GDPR/RGPD, que também estabelece essa idade como a mínima para a finalidade mencionada.

As exigências no setor de Saúde

A lei de execução do GDPR/RGPD, nos artigos 29 e 30, trata sobre os dados utilizados no setor da saúde, trazendo a necessidade de sigilo, confidencialidade e medidas de segurança da informação por parte daqueles profissionais que realizem o tratamento dos dados, reforçando a ideia das alíneas h) e i) do n.º 2 do artigo 9.º da regulação europeia.

É exigido, ainda, que o titular de dados seja notificado quando do acesso aos seus dados, sendo uma responsabilidade do responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação. Essa exigência se traduz em custo para as entidades de saúde, motivo pelo qual a aplicação do principio da subsidiariedade e legitimo interesse se faz pertinente, vez que prega que se deve captar apenas os dados estritamente necessários à finalidade pretendida.

Nesse caso, captar dados desnecessários além de representar um maior risco de violação, representa maior custo para prover segurança e entregar os devidos reports, através dos controles internos necessários.

Os Princípios de Proteção de dados by design ou proteção de dados desde a concepção e; Proteção de Dados por padrão ou by default, quando aplicados às operações desse setor, evitam sanções e violação dos dados pessoais.

O primeiro princípio determina que o controlador e/ou qualquer pessoa que processe dados pessoais antecipe e evite eventos invasivos de privacidade, antes que ocorram e o segundo princípio pretende fornecer o máximo grau de privacidade incorporada às atividades de maneira padrão. Logo, para atingir essas finalidades, é necessário efetuar a Avaliação de impacto de proteção de dados pessoais – AIPD constantemente, nomeadamente por conta da natureza sensível/especial dos dados de saúde.

Desafios e reflexos

Apesar das inovações da lei de execução da GDPR/RGPD Portuguesa, o contexto geral continua o mesmo relativamente à proteção de dados. Dentre as inovações, a possibilidade de solicitar à Comissão Nacional de Proteção de Dados Portuguesa – CNPD a dispensa da aplicação de multas durante o prazo de três anos, no setor público, é uma das mais relevantes.

Levando essa possibilidade para o setor público, essa seria uma oportunidade de evitar as coimas/multas. Apesar disso, em território português, houve aplicação de multa ao hospital público do Barreiro, antes da aprovação da lei de execução.

Portanto, as exigências propostas pela RGPD e reforçadas pela sua lei de execução reforçaram a necessidade da Avaliação de impacto à proteção de dados e utilização do princípio da subsidiariedade na coleta dos dados de saúde.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.