A proposta de lei que o Governo apresentou para o Regulamento Geral de Proteção de Dados (RGPD) previa fixar nos 13 anos a idade mínima para dar o consentimento ao tratamento de dados pessoais na Internet – mas esse requisito deverá ser alterado na próxima quarta-feira, dia 13 de fevereiro, com a reunião do Grupo de Trabalho do RGPD que foi constituída na Comissão Parlamentar de Assuntos Constitucionais, Direitos, Liberdades e Garantias. Os Grupos Parlamentares do PS, do PCP, e do CDS pretendem fixar os 16 anos como idade mínima que dá a cada internauta a capacidade de dar o consentimento para o tratamento de dados em sites, redes sociais, lojas online ou outros serviços que operam na Internet.
A proposta de lei 120/XIII tem vindo a ser trabalhada pelo Grupo de Trabalho do RGPD com o objetivo de incluir alterações ao texto original formulado pelo Governo. A redação do texto final está sujeita a negociação – mas as propostas de alteração só são aplicadas no texto tendo em conta o peso das bancadas parlamentares que os deputados designados para o Grupo de Trabalho representam. Os grupos parlamentares do PS, CDS e PCP totalizam 119 deputados – um número que supera a maioria simples (116 deputados) e que deverá ser suficiente para levar a redação da lei a determinar os 16 anos como idade mínima para a autorização do tratamento de dados, que é indispensável para que se possa usar os diferentes serviços na Internet.
No que toca à idade mínima proposta, as alterações entregues na Comissão Parlamentar de Assuntos Constitucionais, Direitos, Liberdades e Garantias pelos três grupos parlamentares de CDS, PCP e PS são integralmente idênticas: «Nos termos do artigo 8.º do RGPD, os dados pessoais de crianças só podem ser objeto de tratamento com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do RGPD e relativo à oferta direta de serviços da sociedade de informação quando as mesmas já tenham completado dezasseis anos de idade».
Os três grupos parlamentares propõem ainda que os diferentes serviços online usem ferramentas bem conhecidas dos portugueses para evitar que a idade mínima seja contornada pelos internautas mais novos: «Caso a criança tenha idade inferior a dezasseis anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta, preferencialmente com recurso a meios de autenticação segura, como o Cartão de Cidadão ou a Chave Móvel Digital».
Num parecer arrasador para a proposta de lei 120/XIII, a Comissão Nacional de Proteção de Dados (CNPD) começou por lembrar que o RGPD aprovado pelo Parlamento Europeu dava aos estados-membros a possibilidade de definir a idade mínima desde que situada entre os 13 e os 16 anos. «O argumento, expresso na exposição de motivos de que 13 anos foi a idade considerada em grande número de Estados-Membros não se afigura, pois, decisivo numa matéria que o legislador europeu deixou claramente em aberto para harmonização da solução em cada Estado com o critério assumido no respetivo ordenamento jurídico nacional», lembrou o parecer da CNPD.
A audição de Filipa Galvão, presidente da CNPD, também terá produzido efeito no sentido de persuadir os grupos parlamentares a alterarem a idade mínima para o consentimento dado ao tratamento de dados pessoais na Internet. A este fator juntam-se ainda a maturidade dos utilizadores, e o contexto legal português.
«O CDS decidiu propor a baliza dos 16 anos de idade, depois da audição da presidente da CNPD. Admitimos que possa não ter um grande efeito prático, porque os mais jovens podem encontrar forma de se registarem nos diferentes serviços online… mas ou se alterava as faixas etárias previstas na legislação nacional, que estão fixados nos 14, 16 e 18 anos de idade (para diferentes graus de responsabilidade legal) ou definíamos uma quarta faixa etária que não tem correspondência com a legislação nacional», explicou Vânia Dias da Silva, deputada do CDS.
Este não é o único ponto polémico a cair nos debates parlamentares: Além da idade mínima, também a isenção de coimas para entidades do Estado que acautelem a proteção de dados pessoais deverá ser chumbada.
A proposta de lei 120/XIII pretende executar para o território nacional o Regulamento Geral de Proteção de Dados que foi aprovado em 2016 pelo Parlamento Europeu. Apesar de estar obrigado a fazer esta execução automaticamente com a redação de leis nacionais, o RGPD europeu permite alguma margem de manobra para adaptações ao nível nacional. São essas adaptações que estão atualmente a ser debatidas na Comissão Parlamentar de Assuntos Constitucionais, Direitos, Liberdades e Garantias, com vista à redação final da lei que deverá ser votada no Parlamento e depois promulgada pelo presidente da República.
No final de janeiro, a Comissão Europeia deu um prazo de dois meses para o Estado Português aprovar a lei que executa o RGPD. O prazo de execução original do RGPD terminou a 25 de maio de 2018. Com o ultimato da Comissão Europeia, Portugal pode executar o RGPD até 24 de março.
