A Comissão Nacional de Proteção de Dados admite que não está a fazer tudo o que devia e podia fazer. O regulamento europeu começou a ser aplicado há um ano. Mas ainda não há uma lei nacional para que possa ser devidamente executada.

Portugal e a Grécia são os únicos países da UE que ainda não aprovaram uma lei

Em toda a União Europeia, apenas Portugal e a Grécia não têm ainda lei nacional que execute o regulamento, que está em aplicação há um ano em todos os Estados membros, desde 25 de maio de 2018.

Era urgente que fosse aprovada a lei, um ano depois do regulamento ser aplicado é muito tempo para estarmos sem lei nacional", afirmou em entrevista à Lusa Filipa Calvão, presidente da CNPD, lembrando que, exceto Portugal e Grécia, todos os outros Estados já aprovaram leis nacionais de execução do regulamento comunitário.

O primeiro ano de aplicação do RGPD, que se cumpre no dia 25 deste mês, foi "um bocadinho difícil" para a CNPD, segundo a sua presidente, porque a falta de legislação especifica "está a ter consequências práticas" em vários tratamento de dados pessoais.

"Tem consequências no contexto das relações laborais, quanto aos dados biométricos para controlo de assiduidade, sobre os quais a lei laboral não é suficiente nesta matéria", afirma aquela responsável, destacando ainda consequências desta falta de legislação na atividade seguradora que envolve dados de saúde.

A CNPD lembra que "não há base legal suficiente" no regulamento que legitime o tratamento dos dados de saúde pelas seguradoras sem o consentimento dos segurados, o que poderia colocar em risco seguros como os de saúde, e defende ser necessário o legislador nacional enquadrar essas atividades na legislação que está a ser preparada pelo parlamento e que aguarda aprovação.

Mas, ao contrário do que o setor segurador temia, e anunciou publicamente há um ano, esta falta de legitimidade de tratamento dos dados pelas seguradoras não bloqueou esta atividade no primeiro ano de execução do regulamento: "Em rigor, esses tratamentos não estão a ser feitos de modo legítimo", advertiu Filipa Calvão.

A CNPD defende que o pedido de consentimento que as seguradoras têm feito junto dos clientes "não é pertinente, nem juridicamente relevante", e diz que é preciso um enquadramento que legitime esse tratamento de dados.

"É uma falta de enquadramento que é essencial e que o parlamento se está a esquecer", afirmou, referindo-se ao facto de a última proposta de lei do grupo de trabalho não resolver este problema.

No primeiro ano de aplicação do RGPD, a Comissão aplicou coimas a quatro entidades, no valor de 424 mil euros, e abriu 864 processos de averiguação que podem resultar em contraordenação ou na aplicação de medidas corretivas ou recomendações.

O RGPD começou a ser aplicado em Portugal, e restantes Estados-membros, em 25 de maio do ano passado, introduzindo sanções pelo seu incumprimento que podem ir, nos casos mais graves, até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o montante mais elevado.

Nos casos menos graves de violação dos dados pessoais, as coimas podem ir até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial.

Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados -- e para que fim -- e podem pedir para que sejam apagados a qualquer momento.

A aplicação do RGPD carece de legislação nacional que está a ser elaborada, e discutida, por um grupo de trabalho no parlamento, mas ainda não foi sujeita a votação final.

Lusa