Numa deliberação aprovada em 03 de setembro, publicada na sua página na Internet, a Comissão Nacional de Proteção da Dados (CNPD) fixa o entendimento de que determinadas normas dessa lei "são manifestamente incompatíveis com o direito da União" e informa que "desaplicará em casos futuros que venha a apreciar, relativos a tratamentos de dados e às condutas dos respetivos responsáveis ou subcontratantes" várias disposições da Lei 58/2019, de 08 de agosto.
“Num quadro regulatório que se pretende uniforme no espaço europeu, os limites máximos definidos (…) no RGPD [Regulamento Geral da Proteção de Dados] não podem ser afastados pelos membros da União”, refere a deliberação da CNPD.
Entre as disposições que serão “desaplicadas” inclui-se, assim, a que define que as contraordenações muito graves de violação de dados pessoais são puníveis com coimas de cinco mil euros a 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, conforme o que for mais elevado, caso se trate de uma grande empresa; de dois mil euros a dois milhões de euros ou 4% do volume de negócios, tratando-se de PME; ou de mil euros a 500 mil euros no caso de pessoas singulares.
A distinção dos valores das coimas em função da dimensão das empresas e da natureza coletiva ou singular dos sujeitos que efetuarem o tratamento de dados para as contraordenações graves de violação da proteção de dados está também prevista na lei aprovada por Portugal, mas não no RGPD e será igualmente “desaplicada”.
A deliberação refere que “em ponto algum do artigo 83.º [do RGPD] ou dos considerandos relativos ao regime sancionatório, se abre espaço para a consideração autónoma da dimensão da empresa, pelo que o critério adotado pelo legislador nacional, de distinguir as pequenas e médias empresas para reservar o limite pecuniário máximo do RGPD para as grandes empresas, constitui em si mesmo uma violação do RGPD”.
De acordo com o referido artigo do Regulamento a violação das disposições em matéria de proteção de dados pessoais está sujeita a coimas até 10 milhões de euros ou, no caso de empresa, até 2% do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado. Há situações de violação em que estes valores são elevados para o dobro.
A CNPD decidiu também “desaplicar” a norma que na lei aprovada em Portugal define a determinação da medida da coima, por entender que esta “esvazia o poder discricionário reconhecido pelo RGPD à autoridade de controlo portuguesa”.
Além de normas dos artigos 37.º, 38.º e 39.º, a CNPD deliberou “desaplicar” a norma sobre o âmbito de aplicação da lei (artigo 2.º, números 1 e 2), o dever de segredo (artigo 20.º n.º 1), tratamento de dados pessoais por entidades públicas para finalidades diferentes (art. 23.º), relações laborais (art. 28.º, n.º 3 alínea a), renovação do consentimento (artigo n.º 61, n.º2) e regimes de proteção de dados pessoais (artigo 62.º, n.º2).
A Comissão que o RGPD "não deixa espaço ao legislador nacional para definir quadro sancionatório diferente do que está estabelecido" nesse regulamento, explicando que a sua decisão visa “assegurar a plena eficácia do quadro sancionatório" do RGPD, nas suas decisões futuras.
Comentários