A Comissão Nacional de Proteção de Dados (CNPD) decidiu deixar de aplicar total ou parcialmente nove dos 67 artigos que compõem a Lei Nacional que executa o Regulamento Geral de Proteção de Dados. Numa deliberação aprovada a 3 de setembro, a entidade que supervisiona o tratamento de dados decidiu, por sua iniciativa, «desaplicar» parte dos artigos em causa, por considerar que violam o espírito do texto do RGPD aprovado pelo Parlamento Europeu, ou geram interpretações potencialmente erróneas das datas e contraordenações previstas para as entidades que não respeitam as regras da privacidade. O RGPD começou a vigorar em Portugal a 8 de agosto através da Lei 58/2019. O que significa que os nove artigos da Lei Nacional visados pela CNPD não tiveram sequer um mês de aplicação. Entre os artigos e alíneas que deixaram de ter aplicação figuram os que preveem a aplicação de coimas máximas de 20 milhões de euros para os casos mais gravosos de violação da privacidade.
Segundo a CNPD, os artigos que regulam as contraordenações para quem não respeita a Lei Nacional violam o RGPD ao fixarem valores mínimos e máximos, que deveriam ser determinados pelas autoridades de controlo (como a CNPD) e não pela lei nacional. A entidade supervisora dos dados pessoais recorda ainda que o Regulamento Europeu impede os estados-membros de distinguirem as contraordenações consoante a dimensão das entidades, bem como bloqueia a criação de categorias de infrações que levem a atenuar as contraordenações. Apesar de não aplicar a Lei Nacional, a CNPD deverá ter em conta os trâmites e valores (igualmente 20 milhões de euros ou uma percentagem da faturação nos casos mais gravosos), que estão previstos para as contraordenações pelo RGPD aprovado pelas instâncias europeias.
Recentemente, 20 entidades públicas invocaram a dispensa do pagamento de coimas por desrespeito das práticas previstas pela Lei Nacional 58/2019 e/ou do RGPD. O recurso à isenção de coimas (a Lei Nacional 58/2019 prevê essa possibilidade para as entidades públicas durante três anos) só pode ser invocada durante a audição com a CNPD, defendeu a própria supervisora da privacidade. Uma vez que a deliberação da CNPD prevê a aplicação direta do RGPD, tudo leva a crer que será à luz do regulamento europeu que esses 20 casos serão analisados.
Na deliberação de 3 de setembro, a CNPD justifica a desaplicação de parte da Lei Nacional 58/2019 com o facto de os artigos contrariarem os textos do RGPD aprovado para toda a UE, bem como os acórdãos do Tribunal de Justiça da UE (TJUE), a Carta dos Direitos Fundamentais da União Europeia, ou a própria Constituição Portuguesa.
A CNPD não menciona qualquer Lei Nacional, mas invoca um acórdão do TJUE para justificar a desaplicação de parte do RGPD por sua exclusiva decisão: «Considerando ainda que decorre do princípio do primado que, além dos tribunais nacionais, também as entidades administrativas estão obrigadas a desaplicar as normas nacionais que contrariam o direito da União Europeia, como o determinou expressamente o TJUE, no acórdão Fratelli Costanzo, que veio vincular todos os órgãos da Administração Pública ao dever de aplicar integralmente o direito da União, afastando se necessário as disposições nacionais que constituam um obstáculo à plena eficácia das normas daquele direito».
Na Internet é possível descobrir um acórdão do TJUE que remonta a 1989 e que é denominado «Fratelli Costanzo».
Não é a primeira vez que a CNPD invoca um acórdão do TJUE para desaplicar legislação nacional. Em janeiro, soube-se que a entidade que supervisiona o tratamento de dados deixou de monitorizar os repositórios de metadados que são mantidos pelos operadores de telecomunicações para efeitos criminais.
Quanto à recusa de aplicação dos artigos em causa, a CNPD alega que «determinadas normas desta lei são manifestamente incompatíveis com o direito da União (Europeia), centrando, por ora, a sua atenção sobre aquelas disposições que, pela sua relevância e frequência de aplicação, suscitam a premência da adoção formal de tal entendimento».
É com base no «primado do direito da União Europeia», que a CNPD informa ainda que vai deixar de aplicar pontos e alíneas dos nove artigos «em casos futuros que venha a apreciar» durante as fiscalizações, notificações ou autorizações que lhe vão sendo solicitadas.
A CNPD explica que a desaplicação dos nove artigos tem por consequência «a aplicação direta das normas» do Regulamento Europeu que se arriscavam a ser «manifestamente restringidas, contrariadas ou comprometidas no seu efeito útil».
Antes desta deliberação a CNPD já havia feito uma análise arrasadora da proposta de lei que o Governo apresentou à Assembleia da República com o objetivo de executar o Regulamento Europeu para a legislação nacional com um ano de atraso (o Regulamento Europeu deveria ter sido executado pela Lei Nacional até 25 de maio de 2018, mas só começou a vigorar a 8 de agosto no início de agosto de 2019).
A desaplicação decidida pela CNPD abrange os seguintes artigos, pontos e alíneas da Lei Nacional 58/2019:
artigo 2.º, n.ºs 1 e 2;
artigo 20.º, n.º 1;
artigo 23.º;
artigo 28.º, n.º 3, alínea a);
artigo 37.º, n.º 1, alíneas a), h) e k), e n.º 2;
artigo 38.º, n.º 1, alínea b), e n.º 2;
artigo 39.º, n.ºs 1 e 3;
artigo 61.º, n.º 2;
e artigo 62.º, n.º 2
No caso dos nº1 e nº do artigo 2º, a CNPD alega que a Lei Nacional contraria disposições do RGPD europeu no que toca ao tratamento de dados por entidades que marcam presença em mais de um estado-membro.
No n.º 1 do artigo 20º, a lei 58/2019 prevê a possibilidade de limitar o acesso dos titulares dos dados (as pessoas a quem os dados dizem respeito) nos casos em que a Lei Nacional permite manter a informação em segredo.
Além de repetir o que refere o Regulamento Europeu, a CNPD considera que a Lei Nacional não especifica os fins nem tem em conta os direitos dos cidadãos para poder aplicar essa limitação. «(…) Qualquer limitação legal ao exercício dos direitos, em particular ao exercício de um direito fundamental como é o direito de acesso, reconhecido de forma autónoma no n.º 2 do artigo 8.º da Carta dos Direitos Fundamentais e no n.º 1 do artigo 35.º da CRP (a Constituição da República Portuguesa), não poderá nunca resultar do teor de uma norma como a do n.º 1 do artigo 20.º da lei nacional», refere a CNPD.
O Artigo 23.º pretende regular os casos em que entidades públicas procedem a um tratamento de dados diferente do originalmente previsto – mas a CNPD considera que a Lei Nacional não respeita o princípio da finalidade nem cumpre os requisitos legais previstos para a partilha de dados entre várias entidades que estão consagrados pelo RGPD europeu.
No Artigo 28.º, a desaplicação incide sobre a alínea a) do ponto nº 3. Neste caso, a desaplicação deve-se ao facto de a Lei Nacional permitir que uma entidade possa fazer o tratamento de dados sem o consentimento de um trabalhador, caso resultem benefícios para o utilizador. A CNPD recorda o excerto do RGPD Europeu, que mesmo no caso em que há benefícios, considera que o consentimento só é «juridicamente relevante», quando o trabalhador e titular dos dados tem liberdade para decidir.
A CNPD procede ainda à desaplicação da Lei Nacional para as contraordenações. O que abrange as alíneas a), h) e k do n.º 1 do artigo 37.º; o número n.º 2 do artigo 38.º, e ainda a alínea b) do n.º 1 e a alínea b), do n.º 2 do artigo 39.º. Além de considerar que o Estado não pode atenuar contraordenações, distinguindo dolo e negligência, a CNPD recorda, entre os vários argumentos, que os limites mínimos e máximos das sanções (20 milhões de euros ou uma percentagem das receitas para os casos mais gravosos de todos) devem ser determinados pelas autoridades de controlo como a CNPD e não pela lei nacional. Pelo que a CNPD deixou de aplicar parte destes artigos – o que não significa que não aplique coimas, mediante a interpretação direta das alíneas que constam no Regulamento Europeu.
O ponto n.º 2 do Artigo 61º também foi alvo de desaplicação por parte da CNPD. No tratamento dos dados necessário à execução de contratos, a CNPD recorda que a cessação de contrato não pode simplesmente ser baseada pelo fim do consentimento do titular, uma vez que isso pode representar uma perda da liberdade de decisão dos cidadãos perante as entidades que tratam os dados.
Por último, a CNPD justifica a desaplicação do n.º 2 do Artigo 62º com o facto de obrigar, para efeitos de notificação e autorizações, as diferentes entidades a terem em conta a entrada em vigor do Regulamento Europeu, que teve como prazo de aplicabilidade 25 de maio de 2018, mas entrou em vigor a 4 de maio de 2016. O que levaria a que as entidades visadas pela Lei Nacional tivessem de solicitar junto da CNPD autorizações e notificações para os diferentes tratamentos de dados com efeitos retroativos, que são relativos aos momentos em que a legislação nacional ainda não havia executado o RGPD europeu na legislação nacional.