QuiosqueAnteriorSeguinte

Destaque Opinião

Regulamento Geral de Proteção de Dados (RGPD)

Regulamento (UE) n.º 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Alexandre Sousa Pinheiro
Professor da Faculdade de Direito da Universidade de Lisboa e antigo Vogal da Comissão Nacional de Proteção de Dados (2001-2006)

1 - Foi longa a gestação do Regulamento Geral de Proteção de Dados (RGPD).

A iniciativa verificou-se a 25 de janeiro de 2012, com o projeto n.º 2012/0011 (COD) 1, em que se assumiu a necessidade de introduzir alterações no regime jurídico europeu relativo à proteção de dados por a Diretiva n.º 95/46/CE não ter impedido a “fragmentação” na aplicação do Direito Europeu de proteção de dados e consequente “insegurança jurídica” e “o sentimento generalizado na opinião pública de que subsistem riscos significativos, particularmente nas atividades em linha”.

Foi esta a justificação primeira para a superação do modelo da diretiva e para a adoção do regulamento como instrumento de regulação da proteção de dados.

Apesar de apreciáveis alterações desde o momento da iniciativa, a estrutura do RGPD não se alterou, consistindo em 11 capítulos, a saber: Disposições gerais (I); Princípios (II); Direitos do titular dos dados (III); Responsável pelo tratamento e subcontratante (IV); Transferência de dados pessoais para países terceiros ou organizações internacionais (V); Autoridades de controlo independentes (VI); Cooperação e coerência (VII); Vias de recurso, responsabilidade e sanções (VIII); Disposições relativas a situações específicas de tratamento (IX); Atos delegados e atos de execução (X), e Disposições finais (XI).

2 - Comparando a Diretiva n.º 95/46/CE com o RGPD, verifica-se que o quadro de conceitos foi consideravelmente alargado.

Enquanto a diretiva continha oito definições no artigo 2.º, o RGPD prevê 26 definições. A primeira observação leva a concluir que as oito definições incluídas na diretiva permanecem, embora com alterações não raro significativas. Trata-se das definições de: dados pessoais, tratamento de dados pessoais, ficheiro, responsável pelo tratamento, subcontratante, terceiro, destinatário e consentimento.

A justificação para uma ampliação tão significativa de definições está em que se pretendeu acentuar as preocupações de segurança já existentes na diretiva, mas com o RGPD muito mais ampliadas. É o caso das definições de “limitação do tratamento” (n.º 3) (aqui também com claras preocupações da accountability dos tratamentos de dados pessoais), “pseudoanonimização” (n.º 5) e “violação de dados pessoais” (n.º 12).

Noutras situações, o propósito centrou-se na especialidade de certo tratamento ou na categoria especial de determinadas espécies de dados pessoais: “definição de perfis” (n.º 4), “dados genéticos” (n.º 13), “dados biométricos» (n.º 14) e “dados relativos à saúde” (n.º 15).

O âmbito de aplicação do RGPD justificou igualmente as definições de: “estabelecimento principal” (artigo 16.º), “representante” (artigo 17.º), “empresa” (artigo 18.º), “grupo empresarial” (artigo 19.º), “regras vinculativas” (artigo 20.º), “tratamento transfronteiriço” (artigo 23.º) e “organização internacional» (artigo 26.º).

A alteração do modelo de supervisão explica a introdução dos conceitos de “autoridade de controlo” (artigo 21.º), “autoridade de controlo interessada” (artigo 22.º) e “objeção pertinente e fundamentada” (artigo 24.º).

Entendeu-se útil introduzir o conceito de “serviços da sociedade da informação” (artigo 25.º), atendendo à potencial polissemia da expressão.

3 - Sobre o conceito de dado pessoal não existem alterações sensíveis entre a Diretiva n.º 95/46/CE e o RGPD.

Como novidades relativamente à diretiva, o RGPD inclui no conceito de dados pessoais os dados de localização e os identificadores por via eletrónica. A doutrina do grupo do artigo 29.º e a jurisprudência do Tribunal de Justiça da UE já admitiam estes casos configurando dados pessoais, no entanto entendeu-se que seria adequado dar-lhe forma expressa no RGPD.

O RGPD sublinha no considerando (14) a sua não aplicação a pessoas coletivas: “[…] o presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva.”

Daqui se retira, por exemplo, a não aplicação do RGPD a sociedades unipessoais ou a empresas em nome individual.

4 - O princípio fundamental do tratamento de dados pessoais encontra-se no artigo 5.º do RGPD e versa sobre a finalidade de dados pessoais.

O princípio da finalidade (Zweckverbindung) traduz a dimensão principal da proteção de dados pessoais, particularmente dos tratamentos realizados e dos limites estabelecidos às condições de legitimidade (incluindo a lei, dado que o princípio da finalidade, no caso português, também tem sede constitucional expressa no n.º 1 do artigo 35.º).

Atendendo a que os dados pessoais têm a natureza de direito, o que acabou por ser previsto no artigo 8.º da Carta Europeia de Direitos Fundamentais (CEDF)2, onde são mencionados expressamente os “fins específicos” que devem nortear os tratamentos de informação pessoal, a sua utilização deve encontrar-se justificada em razões de necessidade previamente conhecidas.

Na doutrina portuguesa, no nosso estudo foi afirmado que: “O princípio da finalidade desempenha várias funções dentro do direito da proteção de dados. Por um lado, garante que a recolha de informação não é ‘cega’ às suas consequências. Ou seja, os tratamentos de dados pessoais só podem verificar-se quando uma situação ou um conjunto de situações fáticas o justificar. […] Dentro de um determinado tratamento de dados, a recolha deve limitar-se aos elementos necessários para a prossecução da finalidade, verificando-se uma verdadeira economia de dados. Quanto a nós, o princípio da finalidade desempenha um forte elemento fiscalizador da legitimidade do tratamento.”3.

A conjugação entre a minimização/economia dos dados tratados e a vinculação à finalidade constitui um importante desenvolvimento do RGPD.

Note-se que, no que respeita ao princípio da finalidade, a alínea b) do n.º 1 do artigo 5.º admite a utilização de dados para finalidades não determinadas no momento da recolha, desde que não sejam com estas incompatíveis, em termos próximos aos previstos na alínea b) do n.º 1 do artigo 6.º da Diretiva n.º 95/46.

5 - A matéria das condições de legitimidade está especialmente tratada nos artigos 6.º, 7.º e 9.º do RGPD e respeita ao tratamento de categorias não especiais de dados pessoais (artigo 6.º), ao consentimento que interseta qualquer natureza de dados (artigo 7.º) e ao tratamento de categorias especiais de dados (artigo 9.º).

Importa notar as importantes alterações que o conceito de consentimento sofreu no RGPD e que se manifestam no n.º 11 do artigo 4.º

A transformação no regime do consentimento respeita à necessidade de emissão de um ato inequívoco, não necessariamente elaborado por escrito, que manifesta o ato livre de permitir um tratamento de dados que tem na base os excessos e a interpretação desmesurada que foi dada à sua dimensão tácita e à integração nesta condição de legitimidade de comportamentos caracterizados como “concludentes”, mas que se encontravam descaracterizados de qualquer afloramento do direito de informação (artigos 13.º e 14.º do RGPD).

Por outro lado, os consentimentos obtidos em conformidade com a Diretiva n.º 95/46, mas que não respeitem o RGPD, são considerados ilícitos, e deve proceder-se a um ato inequívoco que os torne compatíveis com o novo instrumento jurídico ou eliminarem-se os consentimentos alheios ao RGPD.

6 - A transformação do modelo de supervisão e o papel das autoridades nacionais de controlo na matéria da proteção de dados foi das maiores novidades do RGPD.

A rotura surge anunciada no considerando (89): “A Diretiva n.º 95/46/CE estabelece uma obrigação geral de notificação do tratamento de dados pessoais às autoridades de controlo. Além de esta obrigação originar encargos administrativos e financeiros, nem sempre contribuiu para a melhoria da proteção dos dados pessoais. Tais obrigações gerais e indiscriminadas de notificação deverão, por isso, ser suprimidas e substituídas por regras e procedimentos eficazes, mais centrados nos tipos de operações de tratamento suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, devido à sua natureza, âmbito, contexto e finalidades.

Os referidos tipos de operações de tratamento poderão, nomeadamente, envolver a utilização de novas tecnologias ou pertencer a um novo tipo e não ter sido antecedidas por uma avaliação de impacto sobre a proteção de dados por parte do responsável pelo tratamento, ou ser consideradas necessárias à luz do período decorrido desde o tratamento inicial responsável pelo tratamento.”

No essencial, está em causa a eliminação de tempos de espera da decisão pública excessivos, capazes de afetar a atividade económica e de colocar dificuldades à investigação científica.

Por outro lado, o controlo prévio podia assumir-se como “entrave à livre circulação de bens e serviços”, por existirem modelos de transposição e processos decisórios diferentes nos diversos Estados membros.

No RGPD pretende-se afirmar que aos responsáveis pelos tratamentos e aos subcontratantes não cabe já a procura simples pela compatibilidade administrativa, mas, por outro lado, um modelo proativo de atuação que se inspira na responsabilização dos sujeitos. Esta proatividade não decorre, porém, da pura capacidade de iniciativa de quem trata a informação, mas baseia-se também em exigências de normas do RGPD, como, por exemplo, o artigo 30.º, que obriga aos “registos das atividades de tratamento”, com as exceções previstas no n.º 5.

Estas exceções abrangem as empresas ou organizações com menos de 250 trabalhadores, salvo quando integrem as seguintes situações: a) o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados; b) não seja ocasional; c) abranja as categorias especiais de dados a que se refere o n.º 1 do artigo 9.º, ou dados pessoais relativos a condenações penais e infrações referidos no artigo 10.º

7 - Relativamente às autoridades de controlo, o RGPD estabelece exigências de independência (n.º 1 do artigo 51.º e artigo 52.º) e de cooperação (n.º 2). Há que atentar no n.º 5 do artigo 52.º, segundo o qual os Estados membros garantem que são as autoridades de controlo a selecionar os respetivos trabalhadores e eventuais prestadores de serviços, que ficarão sob a direção exclusiva da autoridade de controlo interessada.

Nos termos da alínea a) do n.º 1 do artigo 54.º, o RGPD exige que a constituição das autoridades de controlo se faça por via legislativa e que se determine a natureza, independência e duração dos mandatos [alíneas b), c) e d)].

As competências, atribuições e poderes destas autoridades estão definidos nos artigos 55.º a 58.º

Em particular no plano dos poderes de correção, os poderes atribuídos são, por exemplo: advertir o responsável pelo tratamento ou o subcontratante quando as operações de tratamento previstas sejam suscetíveis de violar as disposições do presente regulamento [alínea a) do n.º 2]; b) repreender o responsável pelo tratamento ou o subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento [alínea b) do n.º 2]; ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais [alínea e) do n.º 2]; impor uma limitação temporária ou definitiva ao tratamento de dados ou mesmo a sua proibição [alínea f) do n.º 2]; ordenar a retificação ou o apagamento de dados pessoais ou a limitação de tratamento de dados [alínea g) do n.º 2]; retirar certificações [alínea h) do n.º 2]; aplicar coimas [alínea i) do n.º 2].

8 - O encarregado de proteção de dados é componente essencial do novo modelo de supervisão.

O seu perfil tem por base conhecimentos especializados no “domínio do Direito e das práticas de proteção de dados” (n.º 5 do artigo 38.º). Assim, não se trata necessariamente de um jurista, mas de alguém capacitado para conhecer as regras do RGPD. Entende-se que a especificidade da função dificilmente poderá dispensar uma intervenção interdisciplinar em que intervenham indivíduos com competências organizacionais, tecnológicas e jurídicas.

É certo, porém, que a função de encarregado de proteção de dados deve ser exercida por uma pessoa singular e que a sua identificação deve ser publicamente comunicada (n.º 7 do artigo 37.º).
A função do encarregado de proteção de dados não tem natureza decisória, como resulta do artigo 39.º, consistindo numa função essencialmente consultiva [alíneas a) e c)] e ligada à cooperação quer com outras entidades quer com o autoridade de controlo [alíneas d) e e)].

O RGPD traça um quadro funcional independente do encarregado de proteção de dados, que deve ter uma relação direta com o topo da organização: a) O responsável pelo tratamento e o subcontratante não dão ordens ou instruções ao encarregado para o exercício da sua função (n.º 3 do artigo 38.º); o encarregado não pode ser sancionado por consequências relacionadas com o exercício das suas funções (idem); o encarregado da proteção de dados informa diretamente a direção, ao mais alto nível, do responsável pelo tratamento ou do subcontratante (idem).

Como decorre da natureza da função, o encarregado da proteção de dados está vinculado ao sigilo e à confidencialidade no exercício das suas funções (n.º 5 do artigo 38.º).

9 - Sobre a aplicação de coimas, o RGPD contém considerandos de leitura necessária. Atente-se, por exemplo, ao considerando (148):

“A fim de reforçar a execução das regras do presente regulamento, deverão ser impostas sanções, incluindo coimas, por violação do presente regulamento, para além, ou em substituição, das medidas adequadas que venham a ser impostas pela autoridade de controlo nos termos do presente regulamento. Em caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode ser feita uma repreensão em vez de ser aplicada uma coima4. Importa, porém, ter em devida conta a natureza, gravidade e duração da infração, o seu caráter doloso, as medidas tomadas para atenuar os danos sofridos, o grau de responsabilidade ou eventuais infrações anteriores, a via pela qual a infração chegou ao conhecimento da autoridade de controlo, o cumprimento das medidas ordenadas contra o responsável pelo tratamento ou subcontratante, o cumprimento de um código de conduta ou quaisquer outros fatores agravantes ou atenuantes.”

Este considerando aponta claramente para uma ponderação na decisão de aplicar coimas ou de definir os seus montantes, pelo que os valores máximos previstos nos n.os 4 (que abrange, por exemplo, a falta de designação de encarregado de proteção de dados, quando tal seja obrigatório) e 5 (que inclui, por exemplo, as regras sobre o consentimento sobre tratamentos de dados sensíveis e não sensíveis e os direitos dos titulares dos dados) do artigo 83.º – incluindo coimas até 10 milhões de euros ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, ou coimas até 20 milhões de euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior – não devem considerar-se a regra que as autoridades adotarão para o exercício do poder sancionatório.

O n.º 2 do artigo 83.º estabelece os critérios que devem contribuir para determinar o valor das coimas.

O autor escreve com o novo Acordo Ortográfico


1 Disponível em http://eur-lex.europa.eu/legal-content/PT/TXT/ (consultado em 13 de abril de 2018).
2 Publicada no JOUE, 14 de dezembro de 2007, C-303.
3 Alexandre Sousa Pinheiro, “Privacy e Proteção de Dados Pessoais: A Construção Dogmática do Direito à Identidade Informacional”, cit., p. 806 e bibliografia aí citada.
4 Ver diretrizes de aplicação e fixação de coimas para efeitos do Regulamento n.º 2016/6 adotadas a 3 de outubro de 2017, disponíveis em cnpd.pt/bin/rgpd/docs/wp253_pt_aplicacao_de_coimas.pdf (consulta em 13 de abril de 2018).