Carlos B Fernández. La Comissão Nacional de Protecção de Dados de Portugal (CNPD), ha decidido que no va a aplicar, en los casos sobre los que deba decidir, determinados preceptos de la Ley 58/2019, de 8 de agosto, por la que se adapta la legislación portuguesa al RGPD.
Según explica en su Deliberação 2019/494, adoptada de 3 de septiembre pasado, esta autoridad de control considera que, tal como puso de manifiesto durante la tramitación de dicha norma, nueve de sus preceptos, relativos al ámbito de aplicación de la ley; al deber de secreto de los responsables y encargados de tratamiento; al tratamiento de datos personales por entidades públicas para finalidades diferentes de las que determinaron su recogida; a la necesidad de consentimiento del trabajador para el tratamiento de sus datos en determinados supuestos; a la renovación del consentimiento en determinados contratos; a la calificación de las infracciones muy graves y graves de la ley y los criterios de gradación de las correspondientes sanciones, son “manifiestamente incompatibles con el Derecho de la Unión”.
En consecuencia y a fin de asegurar, subraya, la primacía del derecho de la Unión Europea y la plena efectividad del RGPD en el país, ha decidido que no aplicará, en los futuros casos que tenga que considerar, relativos al tratamiento de datos y a la conducta de sus responsables o encargados del tratamiento, los artículos 2, números 1 y 2; 20, núm. 1; 23; 28, núm. 3, letra a); 37, núm. 1, letras a), h) y k), y núm. 2; 38, núm. 1, letra b), y núm. 2; 39, núms. 1 y 3; 61, núm. 2 y 62, núm. 2 de la Ley 59/2018.
Según la CNPD, esta decisión tiene como efecto la aplicación directa de los preceptos del RGPD que se consideran manifiestamente infringidos o limitados, o cuya efectividad se viera comprometida, por la misma (“a aplicação direta das normas do RGPD que estavam a ser por aquelas manifestamente restringidas, contrariadas ou comprometidas no seu efeito útil”).
Los aspectos más relevantes de esta decisión son los siguientes:
Aplicación de la Ley a tratamientos realizados fuera de territorio nacional portugués
El número 1 del artículo 2 (Âmbito de aplicação) extiende el ámbito de aplicación de la Ley a todos los "tratamientos de datos personales efectuados en territorio nacional[...], con las exclusiones previstas en el artículo 2 del RGPD", añadiendo en su número 2 que: "Esta ley se aplica a los tratamientos de datos personales efectuados fuera del territorio nacional cuando: a) se realicen en el marco de la actividad de un establecimiento situado en el territorio nacional ...". Es decir, la ley resulta aplicable a los tratamientos realizados fuera del territorio nacional de Portugal realizados en el ámbito de actividad de un establecimiento situado en el mismo.
Según la CNPD, incluso admitiendo que la definición del ámbito territorial de aplicación del Derecho nacional sigue los criterios establecidos en el artículo 3 del RGPD (LA LEY 6637/2016), los términos en los que se expresa esta definición socavan la aplicación de las normas de procedimiento y el reparto de competencias entre las autoridades nacionales de supervisión de los Estados miembros, cuando se trata de un tratamiento de datos transfronterizo.
Limitación del derecho de acceso del interesado por un deber de secreto del responsable
El núm. 1 del artículo 20 (Dever de segredo), de la ley, establece que "los derechos de información y acceso a los datos personales previstos en los artículos 13 (LA LEY 6637/2016) y 15 del RGPD (LA LEY 6637/2016) no podrán ejercerse cuando la ley imponga al responsable del tratamiento o al encargado del tratamiento un deber de secreto que sea oponible al propio interesado".
Según la CNPD, ninguna limitación legal al ejercicio de los derechos de los ciudadanos, en particular, cuando se trate del ejercicio de un derecho fundamental como es el derecho de acceso a los propios datos, reconocido de forma autónoma en el núm. 2 del artículo 8 de la Carta de Derechos Fundamentales y en el núm. 1 de art. 35 de la Constitución Portuguesa, podrá tener su fundamento en el tenor de una norma como esta. Y ni siquiera la previsión contenida en el núm. 2 de este precepto, de que se pueda consultar a la CNPD, permite suplir el incumplimiento del art. 23 del RGPD (LA LEY 6637/2016) que se deduce de este precepto.
Tratamiento de datos personales por entidades públicas para fines diferentes de aquellos para los que fueron recogidos
El art. 23 de la Ley (Tratamento de dados pessoais por entidades públicas para finalidades diferentes) precisa que tanto los tratamientos como la transmisión de datos ente entidades públicas para finalidades de aquellos para los que fueron recogios tienen carácter excepcional, deben motivarse con base en el interés público y, en caso de cesión a otro organismo público, esta debe estar sometida a un protocolo que establezca las responsabilidades de cada entidad interviniente.
La CNPD considera al respecto que el apartado 1 de este precepto "no especifica los fines de interés público que puedan justificar dicha reutilización, sino que amplía esta posibilidad a cualquier interés público, contrario o no conforme a lo dispuesto en la primera parte del apartado 4 del artículo 6 del RGPD (LA LEY 6637/2016). Y tampoco resulta ser una medida necesaria y proporcionada, porque esto presupone un análisis y una ponderación para cada nuevo objetivo (véase el considerando 50, apartado 3, del RGPD)".
Casos en que no es necesario el consentimiento del trabajador para el tratamiento de sus datos
Uno de los preceptos más cuestionados de la Ley 58 fue el contenido en la letra a) del núm. 3 de su artículo 28 (Relações laboráis), según el cual, “Salvo norma legal en contrario, el consentimiento del trabajador no constituye un requisito de legitimidad del tratamiento de sus datos personales: a) si del tratamiento resulta una ventaja jurídica o económica para el trabajador”.
La CNPD considera al respecto que "Aunque se acepte el carácter no equitativo de la relación laboral, del principio de dignidad humana deriva la necesidad de reconocer al individuo, incluso en el contexto de relaciones jurídicas en las que, por regla general, carece de protección frente a la otra parte, un mínimo de libre albedrío para disfrutar de su derecho fundamental a la autodeterminación informativa --en la dimensión fundamental del control de los datos que le conciernen--, reconocida en el artículo 35 de la Constitución de la República Portuguesa y en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007)".
Exigencia de dolo para la comisión de infracciones muy graves
El núm. 1 del art. 37 (Contraordenações muito graves) de la ley , núm. 1, letras a), h) e k) establece que constituyen Infracciones muy graves de la normativa de protección de datos “Los tratamientos de datos personales con inobservancia dolosa de los principios consagrados en el artículo 5 del RGDP…”
Sin embargo, la CNDP considera que la letra a) del art. 83.5 del RGPD (LA LEY 6637/2016) no distingue entre la naturaleza negligente o dolosa de dicha conducta, por lo que no reconoce al legislador nacional capacidad para establecer normas que disminuyan el elenco de los ilícitos susceptibles de sanción.
Por su parte, la letra h) de dicho precepto cualifica también como muy grave la no presentación de información “relevante” en los términos de los artículos 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016).
Según la CNDP, el art. 83 del RGPD (LA LEY 6637/2016) no distingue entre información “relevante” o de otra naturaleza, por lo que también cabe considerar incluida en su calificación la aportación de información equívoca, errónea, incompleta o fuera de plazo.
Finalmente, la letra k) del núm. 1 del art. 37 tipifica como muy grave “el incumplimiento de las decisiones de la autoridad de control previstas en el núm. 2 del artículo 58.º del RGPD (LA LEY 6637/2016), o la negativa a colaborar con la CNDP exigida por esta en el ejercicio de sus competencias…”, previsión que, en opinión de la CNPD, infringe el marco tipificador previsto en el art. 83.4 del RGPD (LA LEY 6637/2016), que no prevé esta conducta.
Gradación de las sanciones en función del tamaño o las circunstancias del sujeto sancionado
Los artículos 37.2 y 38.2 de la Ley prevén una gradación de las infracciones muy graves y graves que respectivamente tipifican, en función del tamaño de la entidad sancionada, distinguiendo entre gran empresa, PYMES y personas físicas.
Por su parte, el art. 39 (Determinação da medida da coima), núms. 1 y 3 de la Ley, gradúa el importe de las sanciones en función de circunstancias como la situación económica del sujeto (cuando este sea una persona física), o su volumen de negocios y dimensión, en función de su número de trabajadores o la naturaleza de los servicios que presta (cuando se trate de una persona jurídica), así como del carácter continuado o no de la infracción.
En relación con el primer supuesto, la CNDP considera que "La fijación en términos abstractos, en la legislación nacional, de límites máximos inferiores a los previstos en los apartados 4 y 5 del artículo 83 del RGPD (LA LEY 6637/2016) constituye una violación de dichos límites”.
Y en relación con la posibilidad de tener en cuenta las circunstancias previstas en el art. 39, la CNPD entiende que “el RGPD no deja margen para que los Estados miembros lleguen a definir criterios de ponderación adicionales en relación con las infracciones previstas en los apartados 4 y 5 del artículo 83”.