Carlos B Fernández. El pasado 8 de agosto, el Diario Oficial de la República Portuguesa publicó la Lei n.º 58/2019, de 8 de agosto, por la que se regula la ejecución en el ordenamiento jurídico portugués, del Reglamento General de protección de datos (RGPD) (assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados), de la que a continuación reseñamos su principal contenido.
Estructura y contenido
La Ley 58/2019 consta de 68 artículos, agrupados en 8 capítulos y un anexo, con la siguiente estructura:
Objeto y ámbito de aplicación
El Capítulo I, Disposiciones generales (artículos 1 y 2), regula el objeto y ámbito de aplicación de la Ley. Esta resulta aplicable a determinados tratamientos de datos realizados fuera del territorio portugués: a) cuando estos se lleven a cabo como parte de la actividad de un establecimiento situado en el territorio nacional; b) cuando afecten a interesados que se encuentren en el territorio portugués y las actividades de tratamiento estén sujetas a lo dispuesto en el artículo 3, apartado 2, del RGPD y, c) cuando el tratamiento afecta a los datos registrados en las oficinas consulares de las que son titulares los portugueses residentes en el extranjero.
Comisión Nacional de Protección de Datos
El Capítulo II (arts. 3 a 8), se refiere a la Comisión Nacional de Protección de Datos (Comissão Nacional De Proteção De Dados, CNPD), a la que define como autoridad nacional de control independiente a efectos del RGPD con la atribuciones detalladas en el art. 6 de la Ley.
Adicionalmente a esta regulación, el anexo de la norma contiene una republicación actualizada de la Lei 43/2004, de organización y funcionamiento de la la CNPD (Organização e funcionamento da Comissão Nacional de Protecção de Dados), que queda como parte integrante de la Ley 58/2019.
Delegado de protección de datos
El Capítulo III (arts. 9 a 13), regula al delegado de protección de datos (Encarregado de proteção de dados), sin exigir una cualificación o certificación específica para el desempeño del cargo.
El art. 12 establece que en las entidades privadas será preceptiva su designación por el responsable (responsável) o encargado (subcontratante), siempre que la actividad desarrolla por aquellas a título principal, implique: a) Operaciones de tratamiento que, por su naturaleza, ámbito o finalidad, exijan un control regular y sistemático de los titulares de los datos a gran escala; o b) Operaciones de tratamiento en gran escala de datos de categoría especial en los términos del art. 9 del RGPD (LA LEY 6637/2016), o de datos personales relacionados con condenas e infracciones penales en los términos del art. 10 del RGPD (LA LEY 6637/2016).
En cuanto a sus funciones, el art. 11 de la ley señala que, además de lo dispuesto por los arts. 37 a (LA LEY 6637/2016)39 del RGPD (LA LEY 6637/2016), son funciones del delegado de protección de datos: a) Asegurar la realización de auditorías, ya sean periódicas o no programadas; b) Sensibilizar a los usuarios de la importancia de la detección rápida de los incidentes de seguridad y de la necesidad de informar inmediatamente al responsable de seguridad y, c) Asegurar las relaciones con los interesados en las materias comprendidas en el ámbito del RGPD y la legislación nacional de protección de datos.
El Capítulo IV (arts. 14 y 15), regula la acreditación, la certificación, que debe ser aprobado por una entidad acreditada por el Instituto Português de Acreditação (IPAC), de acuerdo con los requisitos establecidos por la CNPD, y los códigos de conducta,
Consentimiento de menores y tratamiento de datos de personas fallecidas
En el Capítulo V (artículos 16 a 23), Disposiciones especiales, se regula una variedad de temas como la edad para la validez del consentimiento prestado por los menores, que se sitúa en los 13 años; la protección de datos personales de las personas fallecidas; la portabilidad de datos, que solo procede respecto de los datos proporcionados por el interesado y que debe facilitarse, siempre que sea posible en un formato abierto; la videovigilancia; el deber de secreto y el plazo de conservación de datos personales; las transferencias internacionales de datos y el tratamiento de datos personales por entidades públicas para fines de los que determinaron su recogida.
Videovigilancia (art. 19)
En cuanto a esta materia específica, la Ley remite a las disposiciones nacionales específicas sobre la materia, contenidas en la Ley 34/2013, e introduce unas previsiones concretas relativas a que las cámaras no podrán enfocar:
a) Vías públicas, fincas colindantes u otros lugares que no sean de dominio exclusivo del responsable, salvo en lo estrictamente necesario para cubrir el acceso a la finca;
b) La zona de introducción de los códigos ATM u otros terminales de pago ATM;
c) El interior de los espacios reservados a clientes o usuarios en los que debe respetarse la intimidad, como los aseos, las salas de espera y los probadores de ropa;
d) El interior de las áreas reservadas a los trabajadores, como comedores, vestuarios, gimnasios, instalaciones sanitarias y áreas dedicadas exclusivamente a su descanso.
Situaciones específicas de tratamiento
El Capítulo VI (arts. 24 a 31), regula un conjunto de situaciones específicas de tratamiento de datos personales, tales como la libertad de expresión e información (“La protección de los datos personales, de acuerdo con el RGPD y la presente ley, no afectará al ejercicio de la libertad de expresión, información y prensa, incluido el tratamiento de datos con fines periodísticos y de expresión académica, artística o literaria”); la publicación de datos personales en boletines oficiales (que deberá estar sujeto a los principios de finalidad y minimización); el acceso a documentos administrativos y la publicación de datos en el ámbito de la contratación pública (que se limita al nombre de las personas).
Dentro de estas situaciones, destacamos las siguientes
Tratamiento de datos en el ámbito laboral (art. 28)
Según dispone la Ley, “salvo que la ley disponga lo contrario, el consentimiento del empleado no constituye un requisito para la legitimidad del tratamiento de sus datos personales: a) cuando el tratamiento suponga una ventaja jurídica o económica para el trabajador, o b) cuando dicho tratamiento esté cubierto por la letra b) del apartado 1 del artículo 6 del RGPD”.
Por otra parte, este artículo considera legítimo el tratamiento de datos biométricos de los trabajadores “para el control de asistencia y el control de acceso a los locales del empleador”, pero debiendo garantizarse que “sólo se utilicen representaciones de datos biométricos y que el proceso de recogida respectivo no permita la reversibilidad de dichos datos”. Por otra parte, las imágenes captadas mediante cámaras de videovigilancia en el centro de trabajo solo podrán utilizarse en el ámbito de procesos penales.
Tratamiento de datos de salud y de datos genéticos (art. 29)
Este tratamiento deberá ser realizado por un profesional sometido al deber de secreto y confidencialidad, que solo puede realizarse de forma electrónica (salvo imposibilidad técnica o prohibición expresa del titular).
Además, tanto el responsable como el encargado del tratamiento y sus empleados, provedoreS y DPO, investigadores, financiadores e inspectores, que tengan acceso a esos datos están sometidos a la obligación de secreto.
El titular de los datos debe ser informado de cualquier acceso a los mismos, para lo que el responsable del tratamiento deber asegurar la disponibilidad de los mecanismos de rastreo y notificación adecuados y el tratamiento de datos para fines de archivo en interés público, investigación o estadísticos.
Infracciones y sanciones
El Capítulo VII se dedica a la tutela administrativa y judicial. Sus 25 artículos se organizan en cuatro secciones. De la primera, disposiciones generales (arts. 32 a 36), destaca la “legitimidad” de la CNPD para “intervenir en procesos judiciales para intervenir en procedimientos judiciales en los casos de violación de las disposiciones del RGPD” y su deber de denunciar al Ministerio Público “las infracciones penales de que tenga conocimiento en el ejercicio de sus funciones”.
La sección II (arts. 37 a 45), regula las infracciones (Contraordenações) en protección de datos, siguiendo una tipificación y rango de sanciones características y constituye probablemente el aspecto más novedoso de la Ley, en particular si se compara con la normativa española.
Por una parte, la ley clasifica las infracciones en muy graves y graves, y asigna a las mismas un marco de sanciones dependiente del tipo de infractor. Así, para las que denomina grandes empresas, prevé sanciones de 5.000 a 20.000.000 de euros, o el 4 % del volumen de negocios anual; si se trata de PYMES las sanciones pueden ir de los 2.000 a los 2.000.000 de euros, o el 4% de su cifra anual de negocio a nivel mundial, y si se trata de personas físicas, de 1.000 a 500.000 euros.
En el caso de las consideradas infracciones graves, las sanciones van de los 2.500 a los 10.000.000 de euros para las grandes empresas, o el 2% de su cifra anual de negocio, de los 1.000 al millón de euros, o el 2% de su cifra anual de negocio para las PYMES y de los 500 a los 250.000 euros para las personas físicas.
Para la determinación de estas sanciones se establecen unos criterios (art. 39), como la situación económica del autor, si se trata de una persona física, o el volumen de negocios y el balance anual, si se trata de una persona jurídica; el carácter continuado de la infracción y el tamaño de la entidad, teniendo en cuenta el número de empleados y la naturaleza de los servicios prestados.
Y, a diferencia de lo previsto en España, estas sanciones de aplican tanto a las entidades privadas como públicas, si bien estas pueden solicitar a la CNDP, mediante petición razonada, una dispensa de tres años en la aplicación de estas sanciones.
Delitos en materia de protección de datos personales
Adicionalmente, la Sección III de este Capítulo VII (arts. 46 a 54), introduce 9 figuras delictivas específicamente relacionadas con la protección de datos, tales como la utilización indebida de datos de forma incompatible con la finalidad para la que fueron recogidos; el acceso indebido a datos de terceros; el tráfico de datos a título oneroso o gratuito sin consentimiento o base legal; la alteración o destrucción inconsentida de datos; la inserción de datos falsos; la violación del deber de sigilo; el incumplimiento de las obligaciones previstas en el RGPD o en la ley, previo requerimiento de la CNPD.
De estos hechos podrán ser considerados autores tanto las personas jurídicas y las organizaciones de derecho internacional público, con excepción del Estado.
En la Sección 4. ª de este título VII se regulan el concurso de infracciones y las sanciones accesorias por infracciones de la normativa.
El Capítulo VIII (arts. 57 a 62) introduce un conjunto de disposiciones finales transitorias relacionadas con la CNPD, las orientaciones técnicas, la aplicación de multas a las entidades y organismos públicos, las situaciones de tratamiento de datos preexistentes, la renovación del consentimiento para el tratamiento de datos y el régimen transitorio.
Finalmente, el Capítulo IX introduce modificaciones y derogaciones legislativas.
Aspectos críticos
La elaboración y el contenido de esta norma no han estado exentos de controversia. Así, por una parte, ha sido criticada la no participación de la autoridad de control portuguesa, la CNPD en su tramitación.
Por otra parte, se ha criticado también que la ley establece unos importes mínimos de las multas no previstos en el RGPD, así como diferentes criterios en cuanto al monto máximo de las mismas.
Transposición de la Directiva UE 2016/680
El mismo día 8, se publicó igualmente en el DR la Lei n.º 59/2019, de 8 de agosto, por la que se traspone al ordenamiento jurídico portugués la Directiva (UE) 2016/680, relativa al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales (aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016). Una materia sobre la que nuestro país aun tiene deberes pendientes que hacer, por lo que se arriesga a ser sometida a sanciones por parte del TJUE, a instancias de la Comisión.