Opinião

A Lei de Proteção de Dados e a Lei do Cibercrime

Surge aqui um aparente paradoxo: qual das duas leis deverá ser aplicada nos casos concretos?

Foi publicada no diário oficial no último dia 9 de agosto de 2019 a Lei n.º 58/2019, que visa implementar, na ordem jurídica nacional, o Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

A Lei Portuguesa trouxe algumas mudanças em relação ao paradigma Europeu, em especial com relação às multas que, nos casos mais graves de não conformidade com a norma Europeia, poderiam chegar até 20 milhões de euros ou 4% do faturamento bruto anual da empresa em termos globais. A versão aprovada pela Assembleia da República atenuou este quadro, com a introdução de limites mínimos (artigos 37.º e 38.º). Nas denominadas contraordenações mais graves, o valor da multa inicia nos cinco mil euros para as grandes empresas, nos dois mil euros para as pequenas e médias empresas e nos mil euros para as pessoas singulares.

Para além da autoridade regulamentadora concernente ao aspecto civil de proteção de Dados Pessoais, o pacote legislativo Português apresentado na últma semana inclui a Lei n.º 59/2019, que aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Apesar de o art. 2.º deixar claro que a presente lei não se aplica ao tratamento de dados pessoais relacionados com a segurança nacional, o art. 31 ressalta o dever de segurança no tratamento dos dados, ressaltando que o responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito ao tratamento das categorias de dados sensíveis previstas no art. 6.º da Lei.

A seção II da lei n.º 59 especifica os crimes envolvendo acesso indevido aos dados (pena de prisão de até um ano); crime de desvio de dados; crime de utilização de dados de forma incompatível com a finalidade da recolha; interconexão ilegal de dados; violação ou destruição de dados; violação do dever de sigilo; inserção de dados falsos, todos com pena de prisão de até dois anos.

É importante mencionar que o art. 65 da lei prevê que o disposto no presente capítulo não prejudica a aplicação da Lei n.º 109/2009, legislação portuguesa que dispõe sobre o regime jurídico a ser aplicado ao chamado “cibercrime”, que prevê os crimes de falsidade informática, danos relativos a programas ou outros dados informáticos, sabotagem informática, acesso ilegítimo a sistemas e interceptação ilegítima de programa.

Surge aqui um aparente paradoxo: qual das duas leis deverá ser aplicada nos casos concretos? Em tese, as condutas descritas se confundem, por exemplo: qual a diferença entre o crime de Falsidade Informática (Art. 3.º, Lei n.º 109/2009) e o crime de violação de dados (Art. 57, Lei n.º 59/2019)?

No âmbito penal, ao tratarmos de aplicação das penas, deve ser considerado o princípio jurídico da proibição do bis in idem, ou proibição de punir o indivíduo infrator duas vezes pelo mesmo crime. Nomeadamente, é importante ressaltar ainda que tanto os crimes previstos na lei n.º 59/2019 (crimes relacionados à proteção de dados) como na lei n.º 109/2009 (cibercrime) envolverão acesso e manuseio de dados, logo não será possível aplicar o princípio da especificidade normalmente utilizado em casos como esse que se tornam diferentes por incluir tipos ou ações específicas nas condutas.

O cenário à vista é de grande trabalho da jurisprudência para delimitar o rol de atuação e incidência de ambos os diplomas normativos, a fim de resguardar tanto a proteção de dados pessoais como a segurança no ciberespaço.

O autor escreve segundo o novo Acordo Ortográfico