CNPD desaplica artigos da lei de execução do RGPD

Estamos habituados a que o Estado português atrapalhe tudo, confunda, condicione arbitrariamente, promova a discricionariedade sem critérios transparentes de racionalidade, pelo que é com satisfação que damos nota da deliberação Nº 494 /2019 da CNPD. A deliberação foi aprovada no dia 3 de Setembro e pode ser acedida aqui.

A CNPD teve o mérito de desfazer a confusão instalada com a entrada em vigor da Lei n.º 58/2019.

A CNPD deliberou:

  • Fixar o entendimento de que determinadas normas da Lei n.º 58/2019, de 8 de agosto são manifestamente incompatíveis com o direito da União;
  • Que, com fundamento no princípio do primado do direito da União Europeia, e nos demais argumentos expostos, desaplicará em casos futuros que venha a apreciar, relativos a tratamentos de dados e às condutas dos respetivos responsáveis ou subcontratantes, as seguintes disposições da Lei n.º 58/2019, de 8 de agosto:
        • Artigo 2.º, n.ºs 1 e 2
        • Artigo 20.º, n.º 1
        • Artigo 23.º
        • Artigo 28.º, n.º 3, alínea a)
        • Artigo 37.º, n.º 1, alíneas a), h) e k), e n.º 2
        • Artigo 38.º, n.º 1, alínea b), e n.º 2
        • Artigo 39.º, n.ºs 1 e 3
        • Artigo 61.º, n.º 2
        • Artigo 62.º, n.º 2

A CNPD esclarece que a não aplicação, em futuros casos concretos, das disposições legais acima listadas tem por consequência a aplicação direta das normas do RGPD que estavam a ser por aquelas manifestamente restringidas, contrariadas ou comprometidas no seu efeito útil.

A deliberação da CNPD justifica o facto desta deliberação ser pública pelo propósito de assegurar a transparência dos seus procedimentos decisórios futuros e nesta medida contribuir para a certeza e segurança jurídicas.

Ficamos gratos pelo contributo da CNPD para a desejável “certeza e segurança jurídicas”!

Nuvem de palavras da Deliberação 494 / 2019 da CNPD

RGPD com decência e decoro

Qual a questão que neste momento é mais relevante para a conformidade RGPD? Sem dúvida que o tema DPO tem toda a centralidade, mas ao verificar um largo debate acerca da independência do DPO interrogo-me se neste momento não é muito mais relevante analisar a problemática da competência do DPO.

Tenho enorme curiosidade sobre qual será a coima aplicada pelas autoridades de controlo sobre infrações relativas à falta de competência dos encarregados de proteção de dados. Sobretudo, quando constatamos numerosos casos em que organizações, dos mais diversos tipos e dimensões, nomeiam DPOs que não correspondem minimamente às competências exigidas por lei.

Face ao que julgo ser uma prática muito frequente de nomear DPOs sem as necessárias competências, julgo que é de estranhar a inexistência de uma única coima sobre esta questão. Sobretudo, porque é uma realidade de fácil verificação.

Tenho acompanhado o interesse que os membros da IAPP têm dedicado ao Webinar, “The Role of the DPO One Year Into the GDPR” e do artigo “The DPO must be independent, but how?” de Dyann Heward-Mills (CIPP/E, CIPP/US, CIPM) que pode ser visto aqui.

Percebo a importância em frisar que a coima associada a não se nomear um DPO quando existe essa obrigação pode ascender a 10 milhões de euros ou 2% da receita anual global, conforme o mais elevado.

Percebo a necessidade de sublinhar que o DPO tem autonomia técnica, não recebendo instruções relativas ao exercício das suas funções e que nunca é demais enfatizar a importância da estabilidade do vínculo contratual do DPO para que possa aconselhar e fiscalizar de forma livre e adequada.

Não é de estranhar que neste novo paradigma de proteção de dados de autorregulação (em que saímos de uma situação de hétero regulação) o DPO seja a principal fonte de conformidade e que o debate sobre proteção de dados recaia sobretudo sobre as funções do DPO e a forma de exercício dessa atividade.

Não me custa a perceber que as coimas relativas ao DPO não surjam no mapa dos casos mais notáveis.

Mas já me custa perceber que não haja notícia de uma única coima relativa à nomeação de DPO que não tenha respeitado os requisitos legais, até porque há numerosos casos e não é possível esconder essa realidade.

O que me custa a perceber é a pouca importância que tem vindo a ser dada à questão da competência do DPO quando este parece-me ser o problema que, na atualidade, mais atinge a conformidade com o RGPD.

Mas tenho esperança que a questão da competência do DPO venha, no curto prazo, a adquirir uma nova relevância e que as nomeações de DPOs venham a ter um mínimo de decência, um mínimo de decoro.

A criação da Federação Europeia de DPO’s (EFDPO) pode vir a contribuir neste sentido.

Mas, coloco especial esperança no II Encontro Nacional dos Profissionais de Proteção e Segurança de dados (aqui) e designadamente no painel subordinado ao tema “O DPO do Século XXI”.

Cabe-nos, como profissionais da Proteção de Dados, dignificar a profissão e contribuir para que, no mínimo, a lei seja respeitada. O que se passa atualmente é chocante e alguma coisa tem que ser feita.

Apela-se a um mínimo de decência e decoro.