A Comissão Nacional de Protecção de Dados (CNPD) propôs ao Parlamento a eliminação de 24 normas, integralmente ou em parte, que fazem parte da proposta de lei que pretende adaptar à realidade nacional o novo Regulamento-Geral de Protecção de Dados (RGPD). Tal significa apagar mais de um terço dos 64 artigos do diploma proposto pelo Ministério da Presidência, liderado pela ministra Maria Manuel Leitão Marques.

Porquê? Porque a maior parte desses artigos, defende, violam o próprio regulamento europeu, contrariando o regime que este propõe. Noutros casos copiam as normas lá previstas o que não faz sentido já que o regulamento se aplica directamente aos Estados-membros, a partir de 25 deste mês. Numa análise muito crítica da proposta de lei aprovada em finais de Março em Conselho de Ministros, a CNPD dá conta de que não lhe foi dada oportunidade de se pronunciar sobre o anteprojecto do diploma.

Um dos artigos que quer ver eliminado é o que prevê a possibilidade de criação de bases de dados centralizados de saúde assentes em plataformas únicas. A CNPD nota que esta norma surge “sem qualquer enquadramento justificativo” e não determina aspectos essenciais como quem é que pode ser responsável por estas bases de dados e quais as finalidades das mesmas. “O teor aberto da norma permitiria a qualquer entidade pública ou privada, ou pessoa singular criar uma base de dados de saúde centralizada”, alerta, sublinhando os riscos que a centralização comporta.

A comissão critica ainda o facto de o Governo ter optado por isentar as entidades públicas das multas previstas no regulamento europeu e que podem chegar aos 20 milhões de euros. Tal, sustenta, “viola o princípio da igualdade e fragiliza a tutela dos direitos fundamentais dos cidadãos”, destacando que os tratamentos de dados pessoais realizados por entidades públicas “podem ser tão ou mais intensamente intrusivos” da privacidade e da liberdade dos cidadãos do que os realizados por entidades privadas. A exclusão das entidades públicas das multas, deixa no entender comissão, “fragilizados os titulares dos dados”, que nota que tal constitui um retrocesso já que desde 1991 que a lei de protecção de dados sanciona da mesma forma entidades públicas e privadas.

A definição de limites mínimos e máximos das coimas é criticada pela comissão, que defende que Portugal não pode, como sugeriu o Governo, alterar o montante máximo das sanções em função da categoria do infractor: particular, pequena e média empresa ou grande empresa. Também considera que determinar montantes mínimos viola o regulamento, que admite que, em alguns casos, possa ser aplicada uma mera repreensão. Mesmo assim nota que os montantes mínimos sugeridos pelo Governo para os particulares, os 500 euros, estão abaixo dos fixados há 20 anos.

Quanto à diferenciação dos valores das multas em função da dimensão da empresa, a comissão diz que tal não faz sentido neste caso, já que no âmbito da discussão do regulamento se concluiu que o impacto sobre os dados pessoais “não depende do número de trabalhadores que integram essas organizações, mas antes da natureza da actividade desenvolvida”. E exemplifica: uma empresa pequena que disponibilize uma aplicação informática através da qual sejam recolhidos dados sensíveis partilhados com terceiros e até transferidos para fora da União.