PROCESSO DE CONSULTA PÚBLICA PARA APROVAÇÃO DE LEGISLAÇÃO NACIONAL RELATIVA AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS (RGPD)
O Regulamento Geral de Proteção de Dados (UE) 2016/679 do Parlamento e do Conselho, aprovado a 27 de abril de 2016, produz efeitos a 25 de maio de 2018 e visa assegurar em todos os Estados-Membros um nível equivalente de proteção dos cidadãos relativamente ao tratamento dos dados pessoais. Com base neste Regulamento, Estados-Membros, organismos públicos e particulares ficam vinculados ao cumprimento de obrigações relativas à proteção, ao tratamento e à circulação de dados pessoais.
No âmbito da sua aplicação, o Regulamento prevê uma larga margem de intervenção legislativa aos Estados-Membros. Atendendo a esta circunstância, dá-se início ao processo de consulta pública, a qual permitirá que, até ao próximo dia 30 de setembro, empresas e particulares expressem a sua opinião acerca de várias matérias respeitantes à adaptação da legislação portuguesa ao referido Regulamento.
Os temas que se submetem a consulta são os seguintes:
1. Tratamento de categorias especiais de dados pessoais – dados genéticos, biométricos e de saúde
Nos termos do Regulamento Geral de Proteção de Dados, o consentimento do titular para o tratamento dos seus dados pessoais deve ser livre, específico, informado e esclarecido. De acordo com o disposto no n.º 1 do artigo 9.º do Regulamento, os dados genéticos, os dados biométricos e de saúde, estes últimos definidos como as informações relativas a todos os cuidados de saúde, prestados no passado, no presente e no futuro – são considerados dados pessoais.
O n.º 4 do artigo 9.º determina a possibilidade de os Estados-Membros estabelecerem requisitos específicos quanto ao tratamento desse tipo de dados.
Assim, sujeita-se a apreciação o seguinte:
a) No tratamento de dados genéticos, biométricos ou de saúde justificam-se exigências acrescidas quanto ao tratamento desse tipo de dados?
b) Em caso afirmativo, quais os limites que devem ser estabelecidos quanto estão em causa esses dados?
2. Tratamento de dados pessoais no contexto laboral
Ao abrigo do disposto no n.º 1, do artigo 88.º do Regulamento Geral de Proteção de Dados, o direito interno dos Estados-Membros ou as convenções coletivas, incluindo “acordos setoriais” pode estabelecer regras específicas para o tratamento de dados pessoais dos trabalhadores no contexto laboral. Essas regras destinam-se a regular as condições de tratamento desses dados em situações de recrutamento, execução do contrato de trabalho, saúde e segurança, igualdade e diversidade, direitos e benefícios relacionados com o emprego e com os efeitos de cessação da relação de trabalho.
Os dados pessoais dos trabalhadores são ainda objeto de um regime específico de proteção sempre que se verifique a sua transmissão no quadro de um grupo de empresas para fins administrativos internos.
Assim, sujeita-se a apreciação o seguinte:
a) Ao abrigo do disposto no nº1 do artigo 88.º do RGPD, deve a legislação nacional estabelecer regimes específicos para garantir a defesa dos direitos e liberdades dos trabalhadores no que respeita à proteção de dados pessoais?
b) Em caso afirmativo, quais as garantias que devem ser estabelecidas?
3. Direito de portabilidade de dados
O disposto no artigo 20.º do Regulamento Geral de Proteção de dados aplica-se aos casos de recolha ou de transferência de dados pessoais, a pedido do titular. Os dados pessoais devem ser transmitidos diretamente entre as entidades responsáveis pelo tratamento, sempre que seja tecnicamente possível. Neste âmbito, podem os Estados-Membros definir regras específicas que regulem a transferência de categorias especiais de dados pessoais entre entidades responsáveis pelo respetivo tratamento.
Assim, sujeita-se a apreciação o seguinte:
a) Devem ser consagradas regras especiais que regulem a transferência de dados pessoais entre entidades que prestem serviços financeiros, bancários, seguros e de comunicações?
b) Em caso de resposta afirmativa, em que outras áreas ou setores de atividade devem ser estabelecidas exigências acrescidas para a transferência de dados?
4. Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação
O Regulamento Geral de Proteção de Dados estabelece uma proteção especial quanto à recolha e tratamento de dados pessoais dos menores, em especial quando está em causa a utilização de serviços lhes são disponibilizados diretamente.
Nos termos do n.º1 do artigo 8.º do Regulamento só os menores com idade igual ou superior a 16 anos podem dar consentimento válido para o tratamento de dados pessoais relacionados com a oferta direta de serviços da sociedade de informação, tais como serviços oline.
Contudo, o nº 2 do mesmo artigo prevê que os Estados-Membros estabeleçam uma idade inferior para esse consentimento, desde que seja salvaguardado o limite mínimo de 13 anos.
Assim, sujeita-se a apreciação o seguinte:
a) Pode prever-se o consentimento para o tratamento de dados pessoais expresso por menor com idade inferior a 16 anos?
b) Em caso de resposta afirmativa, qual a idade indicada: 13, 14 ou 15 anos.
5. Direito ao apagamento dos dados («direito a ser esquecido»)
O disposto no artigo 17.º do RGPD estabelece que o titular dos dados pessoais tem direito a obter do responsável do tratamento o apagamento dos seus dados sempre que estes deixem de ser necessários para a finalidade que motivou a sua recolha ou tratamento, se forem tratados ilicitamente ou quando aquele retire o consentimento ou se opuser ao seu tratamento.
O direito a ser esquecido assume particular importância no ambiente por via eletrónica, garantindo o Regulamento a supressão de quaisquer ligações para esses dados pessoais e cópias ou reproduções dos mesmos, bem como nas situações de tratamento automatizado de dados, incluindo a definição de perfis, na medida em que estes estejam relacionados com interesses de comércio.
Neste contexto, os Estados- Membros podem estabelecer regras específicas que salvaguardem as garantias dos titulares dos dados.
Assim, sujeita-se a apreciação o seguinte:
a) Deve o direito ao apagamento dos dados (direito a ser esquecido) ser garantido de forma reforçada em relação ao disposto no artigo 17.º do Regulamento Geral de Proteção de Dados?
b) Em caso de resposta afirmativa, quais os setores em que se justifica o reforço dessa garantia?
6. Decisões individuais automatizadas, incluindo definição de perfis
O disposto no artigo 22.º do RGPD determina que o titular dos dados pessoais não deve ficar sujeito a nenhuma decisão que se baseie exclusivamente no tratamento automatizado desse tipo de dados. Esse tratamento inclui a definição de perfis relativos a aspetos pessoais, resultantes dessa avaliação automatizada.
Neste âmbito, o Regulamento prevê a adoção pelos Estados-Membros de regras específicas, devendo as legislações nacionais salvaguardar os direitos, liberdades e os legítimos interesses dos titulares dos dados.
Assim, sujeita-se a apreciação o seguinte:
a) Além das exceções previstas no n.º 2 do artigo 22.º do Regulamento Geral da Proteção de Dados devem existir outras exceções relativas ao tratamento automatizado (designadamente através de algoritmos) de dados pessoais?
b) Em caso de resposta afirmativa, em que situações se justificam as referidas exceções?
7. Designação, posição e funções do encarregado de proteção de dados
Ao abrigo do disposto nos artigos 37.º a 39.º do Regulamento Geral de Proteção de Dados, o encarregado de proteção de dados está obrigado, em especial, a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento de dados são efetuadas em conformidade com o Regulamento.
Nos referidos artigos encontram-se reguladas a designação, a posição e as funções do encarregado de proteção de dados.
Assim, sujeita-se a apreciação o seguinte:
Considerando a missão e as funções atribuídas pelo Regulamento ao encarregado de proteção de dados, afigura-se adequada, em alguns sectores de atividade, a designação de único encarregado de proteção de dados para o sector?
Quem quiser apresentar comentários ou propostas, pode fazê-lo através do seguinte endereço de correio eletrónico: grupodetrabalhoRGPD@mpma.gov.pt