Depois da ratificação na quarta feira, foi hoje aprovada a proposta de lei que regula a aplicação do Regulamento Geral de Proteção de Dados (RGPD) em Portugal, que estava em discussão há mais de um ano. A proposta foi aprovada com votos a favor do PSD e PS, e abstenção das restantes bancadas, sendo ainda necessária a promulgação pelo Presidente da República e a publicação em Diário da República. Foi também aprovada a transposição da diretiva 2016/680, relativa ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, através da proposta de Lei n.º 125/XIII/3.ª.

Apesar de se tratar de um Regulamento, e por isso ter aplicação direta na lei nacional dos Estados-membros da UE, o RGPD (ou GDPR na versão em inglês)  deixava alguma margem de aplicação que precisava de definição, nomeadamente com a indicação da autoridade de controle nacional, a idade apartir da qual os jovens são considerados como responsáveis pelo consentimento para o tratamento de dados e possíveis alterações às sanções e excepções.

A Proposta de Lei n.º 120/XIII/3.ª já tinha sido ratificada pela Comissão de assuntos constitucionais, direitos, liberdades e garantias, depois de ter sido trabalhada no Grupo de Trabalho e que adapta algumas das normas previstas no regulamento que está em efeito desde 25 de maio de 2018. Fica assim garantida a definição da Comissão Nacional de Proteção de Dados como autoridade de controle nacional, mas também outras matérias onde o regulamento dava aos países membros da UE a possibilidade de escolha, como a idade de consentimento

Algumas divergências entre os deputados atrasaram o acordo para a lei que define a forma as normas de proteção de dados são aplicadas em Portugal, nomeadamente o estabelecimento da idade do consentimento, e a cláusula de excepção para as empresas, que abria a possibilidade de um período adicional para adaptação ao regulamento europeu.

RGPD: Um ano depois só há 4 multas. Videovigilância concentra principais queixas
RGPD: Um ano depois só há 4 multas. Videovigilância concentra principais queixas
Ver artigo

Esta era uma das mudanças mais pedidas pelas organizações, que poderiam gozar de um prazo adicional de seis meses, depois da entrada em vigor da lei, para renovarem o consentimento de tratamento de dados pessoais, mas os deputados decidiram retirar essa cláusula de excepção.

Quanto à idade do consentimento dos jovens, chegou a ser considerada a possibilidade de optar pelos 16 anos, impondo o limite máximo definido pelo Regulamento, mas a proposta de lei acabou por se fixar nos 13 anos, como já havia sido adiantado, e seguindo a linha proposta pela maioria dos países da UE.

documento aprovado (aqui ainda em proposta antes da votação) mantém os valores de coimas que já tinham sido avançados e que podem ir até aos 20 milhões euros, ou 4% do volume de negócios anual caso se trate de contraordenações muito graves. Do valor pago em multas 60% é entregue ao Estado e 40% são retidos pela CNPD, formalmente considerada "a autoridade de controlo nacional para efeitos do RGPD e da presente lei", como indica o documento.

Proteção de dados: Hoje é apenas o primeiro dia do resto das nossas vidas com o RGPD
Proteção de dados: Hoje é apenas o primeiro dia do resto das nossas vidas com o RGPD
Ver artigo

excepção para as organizações públicas, que durante 3 anos podem ser multadas mas sem aplicação de coima, continua a estar escrita na proposta de lei, mas tem de ser solicitada à Comissão Nacional de Proteção de Dados. "Nos termos do disposto no n.º 7 do artigo 83.º do RGPD, as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à Comissão Nacional de Proteção de Dados a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da presente lei", refere o documento.

Recorde-se que apesar da falta da lei de execução, que foi agora aprovada, o RGPD está em vigor desde 25 de maio de 2018 e que as organizações já tinham gozado de um período de dois anos de adaptação ao regulamento. Mesmo assim no ano passado houve uma "corrida" à implementação das novas regras com um esforço para obter consentimento dos clientes e consumidores que gerou um volume inusitado de pedidos de aceitação de condições por email.

Ao fim de um ano a CNPD já fez o balanço da implementação das novas regras, sendo que até agora só foram aplicadas quatro multas em Portugal, uma ao centro hospitalar do Barreiro, a mais significativa, e três outras a empresas particulares, duas das quais são lojas que não indicavam a videovigilância dos clientes. O valor total  destas coimas que foram aplicadas é de 424 mil euros.