A PROTEÇÃO DE DADOS PESSOAIS - proteção das pessoas singulares no que diz respeito à segurança, ao tratamento de dados pessoais e à livre circulação desses dados … CRIMES CONTRA A RESERVA DA VIDA PRIVADA … denúncias e participações à Comissão Nacional de Proteção de Dados (CNPD) …
O direito ao apagamento dos dados pessoais e o direito à portabilidade destes, consagrados respetivamente nos artigos 17.º e 20.º do Regulamento Geral sobre a Proteção de Dados (RGPD), exigem igualmente a implementação de tecnologias de informação que utilizem formatos interoperáveis, sem imposição ou discriminação em favor da utilização de um determinado tipo de tecnologia, e que permitam que estes direitos possam ser efetivamente exercidos.
«DADOS PESSOAIS», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
A Comissão Nacional de Proteção de Dados (CNPD) controla e fiscaliza o cumprimento do Regulamento Geral sobre a Proteção de Dados (RGPD) e da Lei n.º 58/2019, de 8 de agosto, bem como das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, a fim de defender os direitos, liberdades e garantias das pessoas singulares no âmbito dos tratamentos de dados pessoais.
DENÚNCIAS E PARTICIPAÇÕES
As denúncias e participações são apresentadas por escrito, em local específico para o efeito na página eletrónica (sítio) da Comissão Nacional de Proteção de Dados (CNPD) [https://www.cnpd.pt/], sem prejuízo de, excecionalmente, desde que devidamente fundamentado, se admitir a sua apresentação por correio eletrónico ou correio postal, podendo ser exigida a confirmação da identidade dos seus autores.
1 — Se o mesmo facto constituir simultaneamente CRIME e CONTRAORDENAÇÃO (artigos 37.º a 45.º da Lei n.º 58/2019, de 8 de agosto), o agente é sempre punido a título de crime.
2 — Quando se verifique concurso de crime e contraordenação, ou quando, pelo mesmo facto, uma pessoa deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação cabe às autoridades competentes para o processo criminal, nos termos do regime geral do ilícito de mera ordenação social.
Execução do Regulamento Geral de Proteção de Dados (RGPD) … proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados … CONSENTIMENTO DE MENORES … VIDEOVIGILÂNCIA … COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS (CNPD) …
Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
A Lei n.º 58/2019, de 8 de agosto, assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por Regulamento Geral de Proteção de Dados (RGPD).
ÂMBITO DE APLICAÇÃO
A Lei n.º 58/2019, de 8 de agosto, aplica-se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do Regulamento Geral de Proteção de Dados (RGPD).
A Lei n.º 58/2019, de 8 de agosto, aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:
a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou
b) Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do Regulamento Geral de Proteção de Dados (RGPD); ou
c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.
A Lei n.º 58/2019, de 8 de agosto, não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições específicas, nos termos da lei.
A COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS (CNPD) é a autoridade de controlo nacional para efeitos do Regulamento Geral de Proteção de Dados (RGPD) e da Lei n.º 58/2019, de 8 de agosto.
CONSENTIMENTO DE MENORES
Nos termos do artigo 8.º do Regulamento Geral de Proteção de Dados (RGPD), os dados pessoais de crianças só podem ser objeto de tratamento com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do Regulamento Geral de Proteção de Dados (RGPD) e relativo à oferta direta de serviços da sociedade de informação quando as mesmas já tenham completado 13 anos de idade.
Caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta, de preferência com recurso a meios de autenticação segura.
VIDEOVIGILÂNCIA
Sem prejuízo das disposições legais específicas que imponham a sua utilização, nomeadamente por razões de segurança pública, os sistemas de videovigilância cuja finalidade seja a proteção de pessoas e bens asseguram os requisitos previstos no artigo 31.º da Lei n.º 34/2013, de 16 de maio, com os limites definidos no número seguinte.
As câmaras de videovigilância NÃO PODEM INCIDIR sobre:
a) Vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
b) A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
c) O INTERIOR DE ÁREAS RESERVADAS A CLIENTES OU UTENTES onde deva ser respeitada a privacidade, designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
d) O INTERIOR DE ÁREAS RESERVADAS AOS TRABALHADORES, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.
NOS ESTABELECIMENTOS DE ENSINO, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.
Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS (CNPD).
ACESSO A DOCUMENTOS ADMINISTRATIVOS
O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na Lei n.º 26/2016, de 22 de agosto.
Execução do Regulamento Geral de Proteção de Dados (RGPD) … proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados … CONSENTIMENTO DE MENORES … VIDEOVIGILÂNCIA … COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS (CNPD) …
Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
A Lei n.º 58/2019, de 8 de agosto, assegura a execução, na ordem jurídica interna, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por Regulamento Geral de Proteção de Dados (RGPD).
ÂMBITO DE APLICAÇÃO
A Lei n.º 58/2019, de 8 de agosto, aplica-se aos tratamentos de dados pessoais realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento ou do subcontratante, mesmo que o tratamento de dados pessoais seja efetuado em cumprimento de obrigações legais ou no âmbito da prossecução de missões de interesse público, aplicando-se todas as exclusões previstas no artigo 2.º do Regulamento Geral de Proteção de Dados (RGPD).
A Lei n.º 58/2019, de 8 de agosto, aplica-se ainda aos tratamentos de dados pessoais realizados fora do território nacional quando:
a) Sejam efetuados no âmbito da atividade de um estabelecimento situado no território nacional; ou
b) Afetem titulares de dados que se encontrem no território nacional, quando as atividades de tratamento estejam subordinadas ao disposto no n.º 2 do artigo 3.º do Regulamento Geral de Proteção de Dados (RGPD); ou
c) Afetem dados que estejam inscritos nos postos consulares de que sejam titulares portugueses residentes no estrangeiro.
A Lei n.º 58/2019, de 8 de agosto, não se aplica aos ficheiros de dados pessoais constituídos e mantidos sob a responsabilidade do Sistema de Informações da República Portuguesa, que se rege por disposições específicas, nos termos da lei.
A COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS (CNPD) é a autoridade de controlo nacional para efeitos do Regulamento Geral de Proteção de Dados (RGPD) e da Lei n.º 58/2019, de 8 de agosto.
CONSENTIMENTO DE MENORES
Nos termos do artigo 8.º do Regulamento Geral de Proteção de Dados (RGPD), os dados pessoais de crianças só podem ser objeto de tratamento com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do Regulamento Geral de Proteção de Dados (RGPD) e relativo à oferta direta de serviços da sociedade de informação quando as mesmas já tenham completado 13 anos de idade.
Caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta, de preferência com recurso a meios de autenticação segura.
VIDEOVIGILÂNCIA
Sem prejuízo das disposições legais específicas que imponham a sua utilização, nomeadamente por razões de segurança pública, os sistemas de videovigilância cuja finalidade seja a proteção de pessoas e bens asseguram os requisitos previstos no artigo 31.º da Lei n.º 34/2013, de 16 de maio, com os limites definidos no número seguinte.
As câmaras de videovigilância NÃO PODEM INCIDIR sobre:
a) Vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
b) A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
c) O INTERIOR DE ÁREAS RESERVADAS A CLIENTES OU UTENTES onde deva ser respeitada a privacidade, designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
d) O INTERIOR DE ÁREAS RESERVADAS AOS TRABALHADORES, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.
NOS ESTABELECIMENTOS DE ENSINO, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.
Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS (CNPD).
ACESSO A DOCUMENTOS ADMINISTRATIVOS
O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na Lei n.º 26/2016, de 22 de agosto.
O Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 [obrigatório e diretamente aplicável em Portugal], denominado novo Regulamento Geral sobre a Proteção de Dados (RGPD)), relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE, veio introduzir um novo regime em matéria de proteção de dados pessoais, tendo revogado a Diretiva n.º 95/46/CE.
A Resolução do Conselho de Ministros n.º 41/2018, de 28 de março, define orientações técnicas (requisitos gerais e específicos) para a Administração Pública (Central, Regional e Local do Estado), recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 [obrigatório e diretamente aplicável em Portugal], relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (novo Regulamento Geral sobre a Proteção de Dados (RGPD)) e que revoga a Diretiva 95/46/CE.
Tendo em conta que o denominado novo Regulamento Geral sobre a Proteção de Dados (RGPD) é aplicável desde de 25 de maio de 2018, o Governo fixou – através da Resolução do Conselho de Ministros n.º 41/2018, de 28 de março - orientações técnicas (requisitos gerais e específicos) para a Administração Pública (Central, Regional e Local do Estado).
Assim, de acordo com a Resolução do Conselho de Ministros n.º 41/2018, de 28 de março, redes e serviços de informação de escolas, finanças, hospitais e tribunais, entre outros serviços da Administração Pública (começarão obrigatoriamente a cumprir as novas regras de proteção de dados apenas, somente, a partir de outubro de 2019. As novas regras (requisitos gerais e específicos), umas obrigatórias e outras recomendáveis, abrangem a capacidade de monitorização, registo e análise de toda a atividade de acesso de modo a procurar ameaças prováveis ou a inspeção automática de conteúdos para procurar dados sensíveis e acessos remotos aos sistema a partir do exterior do ambiente organizacional.
A razão de ser das "pesadas" sanções, previstas no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 [obrigatório e diretamente aplicável em Portugal], denominado novo Regulamento Geral sobre a Proteção de Dados (RGPD)), é prevenir os abusos no tratamento da informação ou o acesso não autorizado aos dados.
Tivemos mais de dois anos de (pré-)aviso de que isto estava a chegar e seria obrigatório também em Portugal! Mas o Estado Português resolve optar por criar medidas excecionais de autoproteção para a Administração Pública (Central, Regional e Local), "isentando" temporariamente (?) da aplicação de sanções precisamente quem mais dados trata relativamente aos cidadãos, e onde há informação mais sensível!
NOVAS REGRAS A OBSERVAR NA RECOLHA, TRATAMENTO E ARMAZENAMENTO DE DADOS PESSOAIS ...
O Regulamento Geral de Proteção de Dados (RGPD) entra em vigor em 25 de maio de 2018 e substitui a atual diretiva e lei de proteção de dados em vigor, introduzindo uma disciplina jurídica particularmente exigente nesta matéria, isto é, a Legislação Portuguesa de Proteção de Dados Pessoais vai ser profundamente alterada, passando, designadamente, a exigir medidas de segurança efetivas que garantam a confidencialidade, a integridade dos dados e que previnam a destruição, perda e alterações acidentais ou ilícitas, ou a divulgação/acesso não autorizado de dados.
O Regulamento Geral de Proteção de Dados (RGPD) obriga a informar os titulares dos dados acerca da existência de base legal para o tratamento de dados, do prazo de conservação dos mesmos e das condições de transferência dos mesmos. Assim, as políticas de privacidade e textos que prestem informação aos titulares de dados têm de ser revistos.
O Regulamento Geral de Proteção de Dados (RGPD) obriga a garantir o exercício dos direitos dos titulares dos dados. Desta forma, os pedidos de exercício desse direito passam a ser monitorizados e documentados com prazos máximos de resposta, direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre a retificação ou apagamento ou limitação de tratamento solicitados pelos titulares.
O Regulamento Geral de Proteção de Dados (RGPD) introduz a figura do Encarregado de Proteção de Dados (DPO – Data Protection Officer) [EPD] que terá um papel de controlador dos processos de segurança para garantir a proteção de dados no quotidiano da empresa – pública (incluindo organismos públicos) ou privada -. Embora não seja obrigatório para todas as empresas – públicas (incluindo organismos públicos) ou privadas -, a existência do mesmo ou de um serviço externo que garanta essa função pode acrescentar muito valor aos processos de cumprimento das obrigações.
O Regulamento Geral de Proteção de Dados (RGPD) obriga a um grande controlo do risco associado ao possível “desvio” de informação [“incidentes” de segurança resultantes de vulnerabilidades tecnológicas ou humanas]. Este controlo de risco deverá passar a ser garantido por medidas técnicas e organizativas adequadas, designadamente para assegurar um nível de segurança efetivo que garanta a confidencialidade, o sigilo, a integridade dos dados e que previnam a destruição, perda e alterações acidentais ou ilícitas, ou a divulgação/acesso não autorizado de dados.
O Regulamento Geral de Proteção de Dados (RGPD) salienta a necessidade de passar a avaliar projetos futuros de tratamento de dados com a devida antecedência e rigor de forma a poder avaliar o seu impacto na proteção de dados e adotar as medidas adequadas para mitigar esses riscos.
O Regulamento Geral de Proteção de Dados (RGPD) obriga a que todas as violações ou “incidentes” de segurança que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo [Comissão Nacional de Proteção de Dados (CNPD) https://www.cnpd.pt/ ] assim como aos respetivos titulares dos dados.
O Regulamento Geral de Proteção de Dados (RGPD) estabelece um quadro de aplicaçao de coimas (sanções contraordenacionais) uniforme assente em dois escalões (em função da gravidade):
- Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
- Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
[Porém, ainda que o Regulamento Geral de Proteção de Dados (RGPD) venha revogar a Lei de Protecção de Dados, as normas que respeitam à relevância e enquadramento penal (criminal) de certos incumprimentos continuarão em vigor até ser aprovada nova legislação].
O Novo Regulamento Geral de Protecção de Dados introduz alterações significativas às regras actuais de Protecção de Dados (Diretiva 95/46/CE do Parlamento Europeu e do Conselho) impondo às organizações novas obrigações, CUJO INCUMPRIMENTO É PUNIDO POR ELEVADAS COIMAS QUE PODEM ASCENDER A 4% DA FACTURAÇÃO ANUAL GLOBAL OU A EUROS: 20 000 000,00 €.
Entrou em vigor no dia 25 de Maio de 2016 e prevê um período transitório de dois anos para a sua total aplicação, pelo que as organizações terão este período de tempo para se adaptarem às novas regras. Como se trata de um Regulamento é directamente aplicável aos 28 Estados-Membros da União Europeia, sem necessidade de qualquer transposição para cada jurisdição garantindo, assim, a verdadeira harmonização legislativa ao nível da Protecção de Dados em todos os países na União Europeia.
Portugal, sendo Estado-Membro da União Europeia, colocará em vigor as disposições legislativas, regulamentares e administrativas, necessárias para dar cumprimento ao Novo Regulamento Geral de Protecção de Dados (relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados pessoais), até 25 de Maio de 2018. Comunicando imediatamente à Comissão Europeia o texto dessas disposições.