Um sapato pequeno por fora e grande por dentro

No dia 8 de agosto foi publicada, para entrar em vigor dia 9 de agosto, a Lei n.º 58/2019, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD).

Esta lei tem a difícil tarefa de querer ser um sapato pequeno por fora e grande por dentro, devendo apenas regular os aspetos permitidos pelo RGPD, sem repetir, contradizer ou ir além do referido no já citado regulamento. É assim relevante, antes de mais, relembrar que estamos no âmbito de uma competência exclusiva, que já não pertence a Portugal, mas sim à União Europeia. [1]

Apelidar a Lei n.º 58/2019, de 18 de agosto, de “Lei Portuguesa de Proteção de Dados” seria portanto insuficiente, porquanto o grosso das normas estão consagradas no RGPD e não na já referida Lei.

Um pouco de graxa

A lei portuguesa agora promulgada vem assim, entre outros:

Definir os 13 anos como a idade de consentimento relativo à oferta direta de serviços da sociedade de informação;

Proteger os dados pessoais das pessoas mortas, mas apenas se forem dados de categoria especial – o calote seja de impostos ou do café que o morto deixou ficou sem qualquer proteção, ao contrário das suas idas à festa de Chão de Lagoa ou ao Avante! que nem um biógrafo pode publicar;

Designar o IPAC enquanto autoridade competente para a acreditação dos organismos de certificação em matéria de proteção de dados;

Clarificar que o direito à portabilidade apenas engloba os dados fornecidos pelo próprio;

Desmistificar os prazos de conservação e prescrição.

Contudo, e de forma mais contundente, um dos pontos mais críticos e importantes da nova Lei é o facto de esta (re)estabelecer o regime criminal relativo à proteção de dados, transferindo competências entre a Comissão Nacional de Proteção de Dados (CNPD) e o Ministério Público (MP).

Um sapato sem meias solas

Foi conhecida a polémica relativa ao esvaziamento de competências da CNPD sobre as competências de controlo no regime jurídico aplicável ao tratamento de dados referentes ao sistema judicial. A CNPD veio até afirmar que se encontrava esvaziada das suas competências [2].

Acontece que, ainda que não seja uma completa novidade, o regime jurídico promulgado no dia 27 de julho vem desarranjar o Processo Penal português apesar de os crimes elencados na lei ora promulgada serem sensivelmente os mesmos do regime da lei anterior (a Lei 67/98). A saber, constitui crime: 1) A utilização de dados de forma incompatível com a finalidade da recolha; 2) O acesso indevido; 3) O desvio de dados; 4) A viciação ou destruição de dados; 5) A inserção de dados falsos; 6) A violação do dever de sigilo; e 7) a desobediência a instruções da CNPD.

A CNPD vai descalça

Contudo, a Lei que agora foi promulgada acrescenta que, se o mesmo facto constituir simultaneamente crime e contraordenação, o agente é sempre punido a título de crime, sendo que se, pelo mesmo facto, uma pessoa deva responder a título de crime e outra a título de contraordenação, o processamento da contraordenação cabe às autoridades competentes para o processo criminal, ou seja, ao Ministério Público.

Trocado por miúdos, o Ministério Público é a autoridade pública independente com responsabilidade pela fiscalização da aplicação do RGPD em Portugal relativamente a todos os factos que correspondam à prática de um dos crimes já elencados.

A CNPD apenas é a autoridade pública independente com responsabilidade pela fiscalização da aplicação do RGPD em Portugal em casos muito esdrúxulos que configurem uma violação do RGPD mas não sejam sequer indício de um dos crimes elencados ou em casos de violação de deveres formais (por exemplo, a não condução de uma avaliação de impacto quando esta é obrigatória antes de algo de mal acontecer).

Exemplificando, uma campanha de marketing de uma empresa de sapatos que usou para fins de marketing direto dados recolhidos por uma empresa terceira, para fins de inscrição num jogo online ou num inquérito do Facebook, será considerada um indício de uma prática criminosa, portanto competência do Ministério Público.

Ou ainda o caso de um hospital que não assegura que só e apenas os médicos e pessoal autorizado tem acesso aos dados clínicos dos utentes, criando perfis de acessos mais abrangentes do que os devidos, ou que mantém acessos de médicos que já não trabalham no hospital, portanto não autorizados a consultar os processos, será considerado pelo menos um indício de crime de acesso indevido, portanto competência do Ministério Público.

A melhor desculpa para calçar chinelos, ou desenrascar

Nos termos do RGPD, em caso de violação de dados pessoais, o responsável pelo tratamento notifica a autoridade de controlo competente, que em Portugal poderá ser o Ministério Público ou a CNPD.

Contudo, sempre que a violação corresponder a um dos crimes já referidos, em que até a CNPD tem o dever de comunicar a notícia da prática de um crime ao Ministério Público, é aplicável o princípio da possibilidade de recusa de resposta por parte do arguido (o arguido tem direito a manter o silêncio sobre o que o possa incriminar), nos termos do Código de Processo Penal.

Ou seja, por um lado existe um dever de notificar, por outro existe um direito de não o fazer….

“É preciso notificar? É. Mas posso não notificar? Pode.”

Concluindo, e apesar das evidentes confusões do regime instituído, é inegável que existe uma preocupação legislativa em garantir os direitos dos cidadãos, que deverá ter o devido impacto nos agentes económicos, públicos e privados, que nem que seja pelo medo da prisão deverão cumprir as regras do RGPD e da Legislação Nacional.

Contudo, as mexidas de competências poderão provocar uma diminuição do espaço efectivo de actuação da CNPD, que descalça, ao andar pela rua, leva uma criança inocente a gritar “a CNPD vai descalça”.

[1] V.g. – Acórdão do Tribunal de Justiça no processo 6/64, Costa vs Enel de 15 de julho de 1964, onde inequivocamente se constata que “a Comunidade constitui uma nova ordem jurídica de direito internacional, a favor da qual os Estados limitaram, ainda que em domínios restritos, os seus direitos soberanos, e cujos sujeitos são não só os Estados-membros, mas também os seus nacionais” [2] V.g. in jornal PÚBLICO de 12/06/2019, “Deputados ratificam nova lei de protecção de dados dos tribunais. A proposta incumbe os magistrados judiciais e o Ministério Público da responsabilidade pelo tratamento de dados no âmbito de processos da sua competência” O autor escreve segundo o novo Acordo Ortográfico