Foi, sem dúvida, um ano bastante movimentado na área da privacidade e proteção de dados. Assistimos à aprovação da lei de execução do RGPD em Portugal e também à controversa “desaplicação” de algumas das respetivas normas pela CNPD. O EDPB e o TJUE estiveram bastante ativos, emitindo diversas decisões e opiniões, algumas muito interessantes. No final do ano, o Advogado Geral no caso Schrems II deu-nos uma excelente notícia ao confirmar a validade das cláusulas contratuais tipo para transferir dados para fora da UE. Assistimos igualmente à aplicação das primeiras coimas ao abrigo do RGPD, tanto pela CNPD, como pelas restantes autoridades de controlo europeias.
Da nossa parte, ministrámos as primeiras Privacy Training Series que versaram sobre temas como DPIAS, data breaches, responsáveis/subcontratantes/corresponsáveis, consentimento para marketing e lei de implementação do RGPD. Beneficiamos de uma audiência especializada e participativa que contribuiu para a riqueza dos casos abordados e para o sucesso das sessões.
Reproduzimos seguidamente alguns dos destaques do ano de 2019:
Legislação Nacional
- Lei n.º 58/2019 de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (“RGPD”). Para consultar, clique aqui.
- Lei n.º 59/2019, de 8 de agosto que aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. Para consultar, clique aqui.
- Lei n.º 46/2019 de 8 de julho que altera o regime do exercício da atividade de segurança privada e da autoproteção, a qual procede à primeira alteração à Lei n.º 34/2013, de 16 de maio. Para consultar, clique aqui.
Comité Europeu para a Proteção de Dados (“EDPB”)
- Janeiro de 2019: Parecer sobre a base legal para o tratamento de dados pessoais no contexto de ensaios clínicos, designadamente no que respeita ao uso primário de dados para o próprio protocolo dos ensaios clínicos e ao uso secundário para outros fins científicos. Para consultar, clique aqui. (disponível em inglês)
- Março de 2019: Deliberação sobre a interação entre a Diretiva ePrivacy e o RGPD. Refere o EDPB que a Diretiva ePrivacy (e respetivas leis de transposição) é lex specialis para o GDPR, o que significa que sempre que estabelecer uma “norma especial” relativa ao tratamento de dados pessoais que é mais específica que as normas do RGPD, terá precedência sobre este último. Para consultar, clique aqui. (disponível em inglês).
- Julho 2019: Publicada, para consulta pública, a versão prévia das diretrizes relativas ao tratamento de dados pessoais através de sistemas de videovigilância.
- Outubro de 2019: Versão final das diretrizes sobre o âmbito de aplicação do artigo 6 (1) (b) do RGPD no contexto dos serviços da sociedade de informação. São abordados os fundamentos legais para o tratamento de dados para execução de um contrato no qual o titular dos dados é parte ou para a realização de diligências pré-contratuais, nomeadamente no âmbito da publicidade comportamental. Para consultar, clique aqui. (disponível em inglês)
- Novembro 2019: Versão final das diretrizes relativas ao âmbito territorial de aplicação do RGPD. As diretrizes visam fornecer uma interpretação comum aos vários estados membros para avaliarem se uma determinada atividade de tratamento se enquadra no âmbito de aplicação territorial do RGPD. Para consultar, clique aqui. (disponível em inglês)
- Novembro de 2019: Publicada, para consulta pública, a versão prévia das Diretrizes 4/2019 sobre a proteção de dados desde a conceção e por defeito. Para consultar, clique aqui. (disponível em inglês)
- Dezembro de 2019: Na sequência do parecer do EDPB (julho de 2019) sobre os projetos de cláusulas contratuais tipo (SCCs) para contratos entre responsável pelo tratamento e subcontratante submetidos ao Conselho pela Autoridade de Controlo Dinamarquesa, foi publicado pelo EDPB o texto final das SCC dinamarquesas. Para consultar, clique aqui. (disponível em inglês)
- Dezembro de 2019: Foi publicada, para consulta pública, a versão prévia das diretrizes sobre os critérios do Direito ao Esquecimento nos casos de motores de busca no âmbito do RGPD. Para consultar, clique aqui. (disponível em inglês)
- O EDPB aprovou, ao longo do ano, as listas dos tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados, nos termos do n.º 4 do Artigo 35.º do RGPD. Para consultar a lista nacional, clique aqui.
Tribunal Europeu dos Direitos do Homem (“TEDH”)
- LÓPEZ RIBALDA & outros v. SPAIN: A Grande Câmara do TEDH reverteu uma decisão anterior da Camara, sustentando que, o uso de CCTV por um empregador espanhol para detetar furtos no local de trabalho, não constitui uma violação do artigo 8º da Convenção Europeia dos Direitos do Homem. Para consultar, clique aqui. (disponível em inglês).
CNPD
- Deliberação 2019/494: que desaplica algumas normas da Lei n.º 58/2019, de 8 de agosto, por alegadamente estas contradizerem manifestamente o estatuído no RGPD. Para consultar, clique aqui.
- Deliberação 2019/495: deliberação interpretativa sobre a dispensa de aplicação de coimas às entidades públicas, prevista no n.º 2 do artigo 44.º e no artigo 59.º da Lei 58/2019, de 8 de agosto. A CNPD considera que só é possível requerer essa dispensa fundamentada após acusação da prática de um ilícito contraordenacional. Para consultar, clique aqui.
- Diretriz 1/2019: Relativa ao tratamento de dados pessoais no contexto de campanhas eleitorais e marketing político. Para consultar, clique aqui.
- Diretriz 2/2019: Relativa ao tratamento de dados pessoais no contexto das redes inteligentes de distribuição de energia elétrica. Para consultar, clique aqui.
Outras Autoridades de Controlo
CNIL (Autoridade Francesa)
- Diretrizes atualizadas sobre a utilização de cookies e tecnologias similares. Para consultar, clique aqui.(disponível em francês)
- Opinião relativa ao “Reconhecimento Facial” e aos aspetos legais, técnicos e éticos que deverão ser tidos em conta. Para consultar, clique aqui. (disponível em francês)
ICO (Autoridade do Reino Unido)
- Diretrizes atualizadas sobre a utilização de cookies e tecnologias similares. Para consultar, clique aqui. (disponível em inglês)
- Orientações relativas ao tratamento de dados especialmente protegidos. Para consultar, clique aqui. (disponível em inglês)
- Versão prévia das diretrizes atualizadas relativas ao exercício do direito de acesso pelos titulares dos dados Para consultar, clique aqui. (disponível em inglês)
AEPD (Autoridade Espanhola)
- Diretrizes atualizadas sobre a utilização de cookies e tecnologias similares. Para consultar, clique aqui. (disponível em espanhol)
- Guia da privacidade desde a conceção Para consultar, clique aqui. (disponível em espanhol)
German Datenschutzkon (Autoridade Alemã)
- Diretrizes para o cálculo das coimas aplicáveis, de acordo com o Artigo 83 do RGPD. As Diretrizes estabelecem cinco fases que as autoridades devem seguir para determinar o valor da coima (Sujeito a aprovação pelo EDPB). Para consultar, clique aqui. (disponível em alemão)
Tribunal de Justiça da União Europeia
- Acordão Fashion ID (C-40/17): estabeleceu que os operadores de sites são responsáveis conjuntos com o Facebook pelo tratamento de dados recolhidos e transmitidos ao Facebook por meio de um plug-in ‘like’, que permite ao Facebook recolher dados pessoais do site do operador. Para consultar, clique aqui.
- Acórdão Planet49 (C-673/17): Esta decisão confirma que a declaração de consentimento através de uma opção pré-validada não é válida como consentimento para o uso de cookies. O responsável pelo tratamento deve fornecer ao utilizador informações sobre os cookies, incluindo a duração do tratamento e se permitem ou não o acesso por terceiros. Para consultar, clique aqui.
- Acordão Google (Direito ao Esquecimento) (C-136/17): Clarifica que, quando aceita um pedido de exercício de um direito ao esquecimento, o operador de um motor de busca não tem de efetuar o apagamento dos resultados em todas as versões do seu motor, devendo fazê‑lo apenas nas versões correspondem aos Estados‑Membros (URLs dos EEE), e isto, se necessário, em conjugação com medidas que, embora satisfaçam as exigências legais, permitam efetivamente impedir ou, pelo menos, desencorajar seriamente os internautas que efetuam uma pesquisa a partir do nome da pessoa em causa dentro de um dos Estados‑Membros de, através da lista de resultados exibida após essa pesquisa, aceder às hiperligações que são objeto desse pedido. Para consultar, clique aqui.
- Acórdão Buivids (C-345/17): O TJUE esclarece que a publicação, sem restrição de acesso, de um vídeo no YouTube ou em outro sítio da Internet de vídeos no qual os utilizadores podem carregar, visualizar e partilhar os mesmos, tornando assim acessíveis dados pessoais a um número indefinido de pessoas, constitui um tratamento de dados pessoais que não se insere no âmbito do exercício de atividades exclusivamente pessoais ou domésticas. De acordo com o Tribunal, essa publicação pode constituir um tratamento de dados pessoais para fins exclusivamente jornalísticos, na aceção do RGPD, desde que resulte do referido vídeo que a referida gravação e a referida publicação têm por única finalidade a divulgação ao público de informações, opiniões ou ideias. Para consultar, clique aqui.
- Schrems II” (processo C-311/18): O advogado-geral do Tribunal de Justiça da União Europeia (“TJUE”) recomendou ao TJUE que sustentasse a validade das Cláusulas Contratuais Tipo (“SCCs”) enquanto mecanismo adequado para a transferência de dados pessoais para fora da UE. Para consultar, clique aqui.
Sanções
Ao longo do ano de 2019, as coimas aplicadas pelas autoridades de controlo europeias aos responsáveis pelo tratamento e subcontratantes, por infração da legislação de proteção de dados pessoais, aumentaram exponencialmente. O aumento acentuou-se visivelmente a partir de Julho de 2019.
Reproduzimos seguidamente algumas das coimas aplicadas em Portugal e nos restantes países da EU em 2019:
CNPD (Portugal)
|
Valor da Coima (€)
|
Detalhe da Infração
|
|
20.000.00
107.000.00
|
Violação do direito de acesso do titular dos dados à gravação de uma chamada telefónica. Link.
Envio de mensagens de marketing direto sem o prévio consentimento do titular dos dados. Link.
|
Outras Autoridades de Controlo
|
Valor da Coima (€)
|
País
|
Detalhe da Infração
|
|
204,600,000.00
|
Reino Unido
|
Medidas técnicas e organizativas insuficientes. Link.
|
|
110,390,200.00
|
Reino Unido
|
Medidas técnicas e organizativas insuficientes (aguarda decisão final). Link.
|
|
50,000,000.00
|
França
|
Base legal para o tratamento de dados insuficiente. Link.
|
|
18,000,000.00
|
Áustria
|
Base legal para o tratamento de dados insuficiente. Link.
|
|
14,500,000.00
|
Alemanha
|
Incumprimento de princípios de proteção de dados. Link.
|
|
9,550,000.00
|
Alemanha
|
Medidas técnicas e organizativas insuficientes. Link.
|
|
2,600,000.00
|
Bulgária
|
Medidas técnicas e organizativas insuficientes. Link.
|
|
900,000.00
|
Países Baixos
|
Medidas técnicas e organizativas insuficientes. Link.
|
|
645,000.00
|
Polónia
|
Medidas técnicas e organizativas insuficientes. Link.
|
|
511,000.00
|
Bulgária
|
Medidas técnicas e organizativas insuficientes. Link.
|
