Introdução

O dia 25 de maio de 2018, data que assinala a aplicação do Regulamento Geral de Proteção de Dados (RGPD) na União Europeia (UE), constitui um importante marco para a privacidade e proteção de dados pessoais. Desde então, passaram quatro anos, que acrescem aos dois anos de vigência do RGPD e de (suposta) preparação para a sua aplicação.

É, por isso, inevitável, não só assinalar a data (que também é assinalada por ocasião do Dia da Proteção de Dados, a 29 de janeiro de cada ano), como fazer um ponto da situação da aplicação do RGPD na UE e em Portugal.

Os últimos anos foram anos sui generis, marcados pela pandemia Covid-19 e pelos desafios que esta trouxe para a privacidade e proteção de dados. Estes desafios fizeram sobretudo sentir-se no âmbito do tratamento de dados de saúde e da vida privada; em contexto de teletrabalho e de aulas online com a utilização massiva de plataformas informáticas como o Teams, Zoom, Webex, Google; ao nível da cibersegurança com um significativo aumento dos ataques cibernéticos; no comércio eletrónico (que ganhou uma nova dinâmica); no maior uso das redes sociais (e uso crescente de novas redes sociais) e na publicidade a estas associada. 

A estes desafios (não previsíveis) acrescem ainda outros associados a tecnologias de blockchain, reconhecimento facial e de voz, mineração de informação, inteligência artificial, que, segundo o pai do RGPD, Axel Voss, o RGPD não está preparado para acompanhar, devendo ser revisto. Embora esta opinião não reúna consenso, parece ser, todavia, inquestionável que será necessária uma aplicação rigorosa e eficaz do RGPD sobretudo nos domínios da publicidade em linha, do microdirecionamento e da definição algorítmica de perfis, da classificação, disseminação e amplificação de conteúdos nas plataformas digitais, em empresas integradas e outros serviços digitais. Estes serão certamente alguns dos desafios mais próximos.

Um fundamento jurídico para cada finalidade de tratamento

Os fundamentos que legitimam as operações de tratamento de dados são: (i) o consentimento do titular dos dados; (ii) a execução de um contrato ou de diligências pré-contratuais; (iii) o cumprimento de obrigações jurídicas; (iv) o interesse vital do titular dos dados; (v) o exercício de funções de interesse público ou o exercício de autoridade pública; e (vi) o interesse legítimo.

Quando esteja em causa o tratamento de categorias especiais de dados (origem racial ou étnica, convicções religiosas, dados genéticos, dados biométricos, dados relativos à saúde), é ainda necessário identificar uma condição específica de entre as previstas no artigo 9.º do RGPD, por exemplo, consentimento explícito, cumprimento de obrigações em matéria de legislação laboral, interesse público no domínio da saúde pública.

Todos os fundamentos são igualmente válidos (desde que aplicáveis).

Não existe um nível hierárquico entre os fundamentos jurídicos.

A mesma operação de tratamento pode basear-se em mais do que um fundamento. Por exemplo, os mesmos dados pessoais podem ser recolhidos para a execução de um contrato e, com base em consentimento, para efeitos de marketing direto. Só é, todavia, possível usar um fundamento para cada finalidade de tratamento. Se determinados dados pessoais são recolhidos, com base em consentimento, para a finalidade de marketing direto, não é possível recorrer ao interesse legítimo para justificar a mesma finalidade.

Esta ainda é uma prática comum e que deve ser revista.

Também é comum e deve ser melhorado o texto das políticas de privacidade, que usualmente mencionam todos os fundamentos, sem referir a que operação específica de tratamento cada fundamento se aplica.

É necessário especificar o fundamento aplicável às operações de tratamento. Caso contrário, não é possível saber que fundamentos legitimam que finalidades e cumprir, de forma cabal, o RGPD, em particular os fundamentos de licitude e o dever de informação.

O consentimentolivre e o teste de equilíbrio do interesse legítimo

A versão em lígua portuguesa do conceito de consentimento (artigo 4.º ponto 11) do RGPD), deixou de conter a expressão explícita, com a publicação da declaração de retificação de 4 de março de 2021.

«Consentimento» é uma manifestação de vontade livre, específica, informada e inequívoca do titular dos dados. Isto não significa que o consentimento não tenha que ser explícito em determinadas situações, como acontece para o tratamento de categorias especiais de dados.

É ainda comum o consentimento ser posto em causa por práticas pouco transparentes ou a troco de contrapartidas. Por exemplo, a troco de descontos ou outras ofertas comerciais ou até mesmo como condição do acesso a um serviço.

Por outro lado, continuam a existir vários equívocos na utilização do fundamento «interesse legítimo», que se encontra sujeito a um teste individual de equilíbrio. Ou seja, tem de haver um equilíbrio entre os interesses do responsável pelo tratamento e dos titulares dos dados.

Este teste deve ser realizado por cada responsável que pretenda utilizar esse fundamento e requer uma avaliação cuidada, que nem sempre é realizada, tendo em conta (i) o objetivo pretendido, (ii) a necessidade e (iii) o equilíbrio, e que tem de ser feita antes da operação de tratamento.

Se, a partir deste teste, se concluir que (i) a utilização dos dados não é razoável; (ii) os titulares dos dados já não esperariam um tratamento adicional; ou (iii) o tratamento causa danos injustificados, o fundamento «interesse legítimo» não pode ser utilizado. Em contraposição, há situações em que o interesse legítimo pode ser justificado, por exemplo, em situações de marketing, quando estejam em causa produtos e serviços semelhantes a outros já adquiridos e desde que seja assegurado o direito de, a todo o tempo, deixar de receber comunicações («opt-out»), ou quando responsáveis pelo tratamento de um grupo empresarial pretendam transmitir dados no âmbito do grupo de empresas para fins administrativos.

Direitos de informação, acesso e portabilidade ainda por assegurar

Na elaboraçao das políticas de privacidade é de evitar a utilização de linguagem jurídica ou muito complexa. O texto deve ser o mais acessível e conciso possível, mas sem deixar de incluir todas as informações relevantes que são recomendadas pelo CEPD, incluindo, o que, na maioria dos casos não ocorre, uma lista das entidades com as quais a empresa partilha os dados.

Por outro lado, quando esteja em causa o tratamento de dados de crianças, a obrigação de prestação de informações, de forma simples e acessível, deve ser ainda mais rigorosa, sob pena de violação do dever de informação.

O exercício de direito de acesso aos dados pessoais encontra ainda vários entraves, havendo uma falta generalizada de mecanismos de acesso eficazes.

A iliteracia digital tão-pouco ajuda ao exercício de direitos pelos utilizadores, que desconhecem os direitos que lhes assistem e sem consciência que dados inferidos, por exemplo, através de visitas a sítios de Internet, da utilização de cookies intrusivos que permitam a geolocalização ou a definição de perfis de comportamento, são também dados pessoais.

O exercício dos direitos dos titulares dos dados deve ser facilitado, em particular o direito de acesso quando estejam em causa tratamentos de dados automatizados, incluindo definição de perfis. As plataformas de Internet têm, todavia, colocado entraves em divulgar perfis de comportamento de utilizadores. Espera-se, no entanto, que o Digital Services Act e o Digital Market Act, ainda em fase de proposta, possam vir a contribuir para alterar a atual realidade. 

Também existem reservas quanto à portabilidade dos dados com a criação de entraves à transmissão dos dados de uma entidade para outra, bem como à anonimização dos dados, em cumprimento dos princípios da minimização dos dados e da limitação da finalidade, mecanismo eficaz para previnir a divulgação não autorizada, a usurpação de identidade e outras formas de utilização abusiva dos dados pessoais.

Proteção desde a conceção e por defeito e avaliação de impacto

A adoção destas medidas deve ser acompanhada por uma clara definição do papel dos fabricantes de tecnlogias de informação, ou seja, se atuam como responsáveis pelo tratamento ou subcontrantes. Estes conceitos (de responsável pelo tratamento e subcontratante) são concretizados nas Orientações 07/2020 do CEPD de 2 de setembro de 2020.

A proteção de dados desde a conceção e por defeito pressupõe ainda uma supervisão pelas autoridades de controlo quanto a uma correta utilização de configurações predefinidas pelos principais prestadores de serviços em linha, que estão obrigados a assegurar que, por defeito, só são tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento, bem como que o titular dos dados pode exercer o seu direito de oposição por meios automatizados, quando esteja em causa a utilização de serviços da sociedade da informação.

Sempre que o tratamento dos dados seja suscetível de resultar num elevado risco para os direitos e as liberdades dos indivíduos, é necessário a realizar uma avaliação de impacto sobre a proteção de dados (AIPD).

Um elenco (não taxativo) de operações de tratamento sujeitas a AIPD encontra-se previsto no Regulamento n.º 1/2018 da CNPD. De entre as quais: criação de perfis em grande escala; rastreamento da localização ou de comportamentos; tratamento de dados biométricos para identificação inequívoca de crianças ou trabalhadores; tratamento de categorias especiais de dados ou de dados altamente pessoais com recurso a novas tecnologias.

Uma AIPD pressupõe uma avaliação dos riscos para os direitos e liberdades dos indivíduos e identificar as medidas para fazer face aos riscos. Se a partir da AIPD se concluir que o tratamento resultaria num elevado risco na ausência de medidas, será necessário proceder a uma consulta prévia à CNPD.

Até à data, foram seis as deliberações da CNPD emitidas na sequência de consulta prévia – uma em 2019 e cinco em 2020 –, entre as quais a relativa ao uso da aplicação “StayAway Covid” (Deliberação 277/2020).

Transferências internacionais de dados

Na sequência de o Tribunal de Justiça da UE (TJUE) ter considerado inválidos os dois anteriores acordos estabelecidos entre a União Europeia e os Estados Unidos da América – o ”Safe Harbor”, em 2015, e o ”Privacy Shield” em 2020 –, os EUA e a UE anunciaram um acordo preliminar para as transferências de dados e que terá em consideração as preocupações levantadas pelo TJUE.

Em julho de 2020, o TJUE considerou que o Escudo de Privacidade, ao permitir intromissões desproporcionais nos direitos fundamentais dos indivíduos, nomeadamente por agências de segurança norte-americanas, como o FBI e a NSA, não assegurava uma proteção adequada dos dados.

Em questão estava o acesso a dados pessoais transferidos para a sede do Facebook Inc., na Califórnia, através do Facebook Ireland, pelas autoridades públicas dos Estados Unidos.

No mesmo acórdão, o TJUE pronunciou-se sobre a validade das cláusulas contratuais-tipo, uma das soluções alternativas ao Escudo de Privacidade. O TJUE considerou que as cláusulas-contratuais tipo são válidas, mas que a sua utilização, por si só, não asseguraria a licitude das transferências internacionais de dados. O que vale não apenas para as transferências para os Estados Unidos, mas para os países terceiros em geral.

Com este acordo preliminar, os EUA assumiram uma posição sem precedentes, ao introduzir reformas para reforçar a proteção da privacidade e as liberdades civis “aplicáveis a atividades de inteligência de sinais” (“Signal Intelligence Collection”), nomeadamente recolha de e-mails, mensagens de texto e outras comunicações eletrónicas por agências de inteligência.

Para os cidadãos e empresas, este acordo irá trazer claros benefícios, nomeadamente ao constituir uma solução jurídica fiável e duradoura para as transferências de dados entre a UE e os EUA, as quais representam anualmente mais de $1 trilião de Dólares para o comércio transfronteiriço, promovendo uma economia digital mais competitiva e uma forte cooperação económica entre ambos os lados do Atlântico.

Implementação do RGPD a diferentes velocidades

A implementação do RGPD não tem sido igual em todos os Estados-membros, variando o nível, grau de maturidade, inclusive das autoridades de controlo (em termos de orientações, prática decisória), e as sanções.

As cinco maiores coimas foram aplicadas pelas autoridades de controlo luxemburguesa (à AmazonEurope S.a.r.l.), irlandesa (ao Whatsapp) e francesa (à Google LLC, ao Facebook Ireland Ltd. e à Google Ireland Ltd.).

Estas cinco coimas perfazem o montante total de cerca € 1,1 mil milhões. 

A falta de fundamento de licitude do tratamento de dados foi a principal violação que motivou as coimas aplicadas, seguindo-se da falta de adoção das medidas técnicas e organizativas adequadas à segurança do tratamento.

Apesar de o RGPD conferir alguma margem de flexibilidade às empresas quanto à escolha dos fundamentos de licitude dos seis possíveis (por exemplo, consentimento ou interesse legítimo; consentimento ou execução de um contrato) ou quanto às medidas de segurança a adotar, é necessário fazer uma escolha consciente e ponderar o seu impacto para o dia-a-dia da empresa, assim como ter um plano de resposta bem definido em caso de violação de dados pessoais.

Se para uma organização de grande dimensão, com mais recursos financeiros e humanos (inclusive um Encarregado de Proteção de Dados), esta tarefa poderá revelar-se mais fácil, para as pequenas e médias empresas nem sempre será assim,

Por outro lado, há setores de atividade/indústrias mais propícias a escrutínio, nomeadamente, as que tratam um elevado volume de dados pessoais, como é o caso das telecomunicações e das plataformas digitais, o que explica, assim, que, de entre as dez maiores coimas aplicadas, três delas dizem respeito a plataformas digitais e uma delas à Telecom Italia. 

Ponto da situação em Portugal

Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) é a autoridade nacional de controlo. Nestes quatro últimos anos, a CNPD tem-se deparado com vários desafios, entre os quais: 

De acordo com dados recentemente divulgados pela CNPD, os processos de averiguações, violações de dados e coimas atingiram números máximos no quarto ano de aplicação do RGPD.

Em 2021, a autoridade de controlo registou um total de 318 notificações de violação de dados pessoais. De entre essas notificações, 250 foram no setor privado e 68 no setor público. No setor privado, a maior prevalência ocorreu na área de comércio e serviços (78 notificações), seguida da banca e seguros (42); e no setor público, relevaram os incidentes na administração local (27) e no ensino superior (24).

O maior aumento ocorreu, todavia, no âmbito da aplicação de coimas.

Em 2021, a CNPD aplicou 60 coimas, que representaram um valor total de 1,49 milhões de euros, o que incluiu sanções aplicadas ao abrigo do RGPD e da lei da privacidade nas comunicações eletrónicas, nomeadamente por violação das regras relativas a publicidade não solicitada e gravações de chamadas telefónicas.

Este valor contrasta com as 15 coimas aplicadas em 2020, no valor de 47 mil euros, e as 34 de 2019, num valor de cerca de 600 mil euros, sendo que apenas sete destas sanções foram infrações ao RGPD (410 mil euros) e as restantes foram aplicadas ao abrigo da anterior legislação. No ano de 2018 a contar da data de aplicação do RGPD, a CNPD aplicou 22 coimas, que ascenderam a 408 mil euros.

Desde 25 de maio de 2018, as coimas aplicadas pela CNPD representam um total de 131 coimas, que originaram mais de 2,54 milhões de euros.

Nos primeiros meses de aplicação do RGPD, a CNPD aplicou logo uma coima, no valor de € 400.000, ao Centro Hospital Barreiro-Montijo, deixando claro que as entidades públicas não ficariam a coberto de uma dispensa de aplicação de coimas ao abrigo do RGPD, embora a prática da infração em causa tivesse sido anterior à aplicação do RGPD. 

De forma coerente, o ano que passou ficou marcado por mais uma coima exemplar a uma entidade pública. Em janeiro de 2022, a CNPD aplicou uma coima no valor de 1,25 milhões de euros ao Município de Lisboa por envio de dados de ativistas às autoridades russas. Fazendo lembrar, mais uma vez, que nenhuma entidade se encontra “a salvo” da não aplicação do RGPD.

Próximos desafios – em geral

Ao longo dos últimos anos, as tecnologias digitais têm vindo a transformar a economia e a sociedade, afetando todos os setores de atividade e o dia-a-dia dos cidadãos à escala mundial. Os dados em geral e os dados pessoais em particular estão no centro desta transformação, que tem sido acompanhada por vários desafios, sobretudo no contexto de uma economia digital.

Adensa-se, por isso, a necessidade de uma rigorosa aplicação do RGPD e a sua inevitável articulação com legislação em domínios como os da publicidade em linha, do microdirecionamento e da definição algorítmica de perfis, da classificação, disseminação e amplificação de conteúdos pelas plataformas digitais, e o da cibersegurança.

O RGPD, que oferece as “linhas mestras” para a proteção dos dados pessoais e privacidade, não está (e não deve estar) isolado, como, alias, demonstram as recentes iniciativas legislativas da UE que, de uma forma ou outra, têm impactos na proteção de dados. Disso são exemplos as propostas de Regulamento de Governação de Dados, dos Serviços Digitais (Digital Services Act) e do Mercado Digital (Digital Market Act), do regulamento relativo à privacidade nas comunicações eletrónicas (e-privacy), do regulamento sobre a abordagem europeia para a inteligência artificial.

Um dos próximos desafios para a proteção de dados será o da articulação entre as diferentes iniciativas legislativas e o de conseguir alcançar a desejável coerência, que não será fácil com tantos interesses em jogo – o dos “utilizadores digitais” (consumidores), das plataformas digitais com diferentes dimensões e independências entre si, das empresas de marketing e publicidade e do mercado em geral – e a criação de entraves a uma sã concorrência.

A articulação entre o regime da proteção de dados e a defesa da concorrência será outro dos desafios, com a necessidade de adaptação das regras de concorrência à economia digital, em particular em matéria de acordos restritivos/práticas concertadas e abusos de posição dominante.

Estamos na “era dos dados”, pelo que velhos e novos desafios serão, de certo, uma constante e o difícil será mesmo a legislação de proteção de dados conseguir acompanhar o ritmo do desenvolvimento tecnológico.

Próximos desafios – no contexto nacional

A implementação do RGPD não é uma tarefa fácil e deve ser transversal a todas as organizações, não podendo ficar-se pela publicação de um conjunto de políticas e códigos e meras alterações formais, sem qualquer adesão ao contexto organizacional e envolvimento dos colaboradores.

Em qualquer circunstância, a implementação do RGPD nunca poderá ser resolvida por uma só pessoa – o Data Protection Officer (DPO) –, sem a participação ativa e proativa dos demais colaboradores e sem que a organização esteja ciente ou preparada para alterar padrões de comportamento, a sua cultura organizacional.

A função de DPO é difícil e exigente. Os DPOs têm de ter experiência, têm de ter formação, têm de se atualizar permanentemente, têm de ter ajuda externa, têm de ter a colaboração, o respeito e a ajuda dos demais colaboradores da organização.

Em muitos casos, a função de DPO é desempenhada por colaboradores da própria organização, que acumulam essa função com outras funções que já desempenhavam originalmente e que por uma questão de necessidade e de poupança de recursos se veem obrigados a aceitar.

Por contraposição, o papel dos restantes colaboradores é, não raras vezes, insuficiente ou quase inexistente em matéria de proteção de dados, correndo a organização o sério risco de acabar por falhar e, desta forma, todos falham.

Está em causa, sobretudo, um questão de falta de “cultura” das organizações. Ou seja, muitas organizações públicas e privadas habituaram-se a fazer o que sempre foi feito, porque sempre foi feito assim, o que lhes dá uma ilusão de segurança, que é, na verdade, uma falsa segurança. O facto de ter sido sempre assim, feito pelas mesmas pessoas ou por outras que as antecederam na função, acabando por se transformar num processo mecânico, sem qualquer espírito crítico (ou autocrítico), não está bem e acaba por contaminar a organização e uma cultura de impunidade.

As questões associadas à proteção de dados pessoais (que sempre existiram, mas para as quais as pessoas não estavam alerta ou não lhes davam a devida importância) são propícias a encaixar-se nesse padrão de comportamento ainda recorrente nas organizações nacionais, sem nunca fazerem uma avaliação independente ou sequer uma autoavaliação, e sujeitando-se, assim, a pesadas sanções (não apenas financeiras, mas também reputacionais), que poderiam ser, à partida, evitadas.

Se deseja saber mais, queira por favor fazer o download do PDF deste artigo, abaixo. 

Ver pdf Partilhar

Introdução

No âmbito da Estratégia Nacional Anticorrupção 2020-2024, aprovada pela Resolução do Conselho de Ministros n.º 37/2021, de 6 de abril de 2021, foi estabelecido um conjunto de medidas, de entre as quais, a definição de um regime geral da prevenção da corrupção.

Em 9 de dezembro de 2021, o Decreto-Lei n.º 109-E/2021 aprovou o Regime Geral da Prevenção da Corrupção (RGPC) e criou a entidade administrativa independente “Mecanismo Nacional Anticorrupção (MENAC)”. O MENAC, que substitui o Conselho de Prevenção da Corrupção, tem por missão a promoção da transparência e da integridade na ação pública e a garantia da efetividade de políticas de prevenção da corrupção e de infrações conexas.

O RGPC impõe a adoção de um programa de cumprimento normativo, por entidades públicas e privadas com 50 ou mais trabalhadores, o qual deve incluir: (i) um plano de prevenção ou gestão de riscos, (ii) um código de ética e de conduta, (iii) programas de formação, (iv) canais de denúncia e (v) a designação de um responsável pelo cumprimento normativo (RCN).

Este regime determina ainda a implementação de sistemas de controlo interno que assegurem a efetividade dos instrumentos do programa de cumprimento normativo, bem como a transparência e imparcialidade dos procedimentos e decisões. São também previstas sanções, em particular contraordenacionais, para a não adoção ou adoção deficiente ou incompleta de programas de cumprimento normativo.

Com vista à adaptação das entidades abrangidas por este regime, estabelece-se a sua entrada em vigor e produção de efeitos de forma faseada:

Ver pdf Partilhar

Introdução

Portugal foi um dos primeiros Estados-membros da União Europeia (UE) a transpor a Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, de 23.10.2019, relativa à proteção das pessoas que denunciam violações do direito da União (Diretiva de “Whistleblowing”), para a ordem jurídica.

A Lei n.º 93/2021, de 20.12.2021, aprovou o regime jurídico de proteção dos denunciantes.

Por questões históricas e culturais, a comunicação de irregularidades assume, porém, ainda uma conotação negativa, que recai, em particular, sobre o denunciante. Alterar a atual situação implica uma mudança de cultura organizacional, que, por via legislativa, a Lei n.º 93/2021 visa impulsionar junto das organizações.

A Lei n.º 93/2021 impõe que (i) entidades públicas e privadas com 50 ou mais trabalhadores, ou (ii) independentemente do número de trabalhadores, entidades sujeitas a determinados actos da UE, entre os quais o da prevenção de branqueamento de capitais, assim como (iii) municípios com 10.000 ou mais habitantes, adotem canais de denúncia interna até junho de 2022.

Embora possa ainda não existir essa perceção, os canais de denúncia podem servir como importante ferramenta de prevenção de violações e de gestão de riscos para as organizações. São, inclusive, um dos elementos obrigatórios a implementar com o programa de cumprimento normativo no âmbito da regime geral da prevenção de corrupção, ao abrigo do Decreto-Lei n.º 109-E/2021, de 9 de dezembro.

Neste contexto, o presente estudo analisa as condições de elegibilidade e os meios de proteção conferidos aos denunciantes e que medidas devem as organizações adotar para uma eficaz implementação, utilização e gestão de canais de denúncia, os quais têm de satisfazer determinados requisitos e oferecer garantias de exaustividade, integridade ou de confidencialidade ou anonimato aos denunciantes, sob pena de pesadas coimas que podem ir até aos €250.000.

Quem pode ser denunciante

Denunciante

O denunciante é o indivíduo que denuncie ou divulgue publicamente uma infração com fundamento em informações obtidas no âmbito da sua atividade profissional, independentemente da natureza desta atividade e do setor em que é exercida. Podem ser considerados denunciantes, nomeadamente:

• Os trabalhadores do setor privado, social ou público;
• Os prestadores de serviços, contratantes, subcontratantes e fornecedores, bem como quaisquer pessoas que atuem sob a sua supervisão e direção;
• Os titulares de participações sociais e as pessoas pertencentes a órgãos de administração ou de gestão ou a órgãos fiscais ou de supervisão de pessoas coletivas, incluindo membros não executivos;
• Voluntários e estagiários, remunerados ou não remunerados.

A denúncia de uma infração (ou divulgação pública) pode ter lugar enquanto subsistir a relação profissional, mas não necessariamente. Pode ocorrer após a sua cessação, assim como durante o recrutamento ou em outra fase de negociação pré-contratual da relação profissional.

Condições de proteção

Para que uma pessoa beneficie da proteção conferida pela Lei n.º 93/2021 é necessário que se encontrem preenchidas as seguintes condições (cumulativas):

• O denunciante esteja de boa-fé;
• O denunciante tenha fundamento sério para crer que as informações são verdadeiras aquando da denúncia ou da divulgação pública;
• A informação diga respeito a uma violação abrangida, i.e., susceptível de denúncia;
• A denúncia seja efetuada através do canal de denúncia adequado.

A proteção é extensível a:

• Pessoa singular que auxilie o denunciante no procedimento de denúncia e cujo auxílio deva ser confidencial;
• Terceiro que esteja ligado ao denunciante, por exemplo, um colega ou familiar, e possa ser alvo de retaliação em contexto profissional; e/ou
• Pessoas coletivas ou entidades equiparadas que sejam detidas ou controladas pelo denunciante, ou com as quais esteja de alguma forma ligado em contexto profissional.

Meios de denúncia

As denúncias podem ser apresentadas através de três meios, havendo uma ordem específica de precedência quanto à sua utilização. Assim:

• Em primeiro lugar, canal de denúncia interna;
• Em segundo lugar, canal de denúncia externa às autoridades que, de acordo com as suas competências, devam ou possam conhecer da matéria objeto da denúncia, e.g., Ministério Público, órgãos de polícia criminal, autoridades administrativas; e
• Por último, divulgação pública.

O que significa que o recurso a canais de denúncia externa só é possível se:

• Não existir canal de denúncia interna;
• O canal de denúncia interna admitir apenas a apresentação de denúncias por trabalhadores, não o sendo o denunciante;
• O denunciante tiver motivos razoáveis para crer que a infração não pode ser eficazmente conhecida ou resolvida a nível interno ou que existe risco de retaliação;
• O denunciante tiver inicialmente apresentado uma denúncia interna sem que lhe tenham sido comunicadas as medidas posteriores e nos prazos legais; ou
• A infração constituir crime ou contraordenação com coima superior a € 50.000.

O denunciante só pode divulgar publicamente uma infração se:

• Tiver motivos razoáveis para crer que a infração pode constituir um perigo iminente ou manifesto para o interesse público, que a infração não pode ser eficazmente conhecida ou resolvida pelas autoridades competentes, atendendo às circunstâncias específicas do caso, ou que existe um risco de retaliação inclusivamente em caso de denúncia externa; ou
• Tiver apresentado denúncia interna e externa, ou diretamente uma denúncia externa, sem que tenham sido adotadas medidas adequadas.

Salvo nos dois casos anteriores, uma pessoa, que der conhecimento de uma infração a órgão de comunicação social ou a jornalista, não beneficiará da proteção conferida pela Lei n.º 93/2021, sem prejuízo das regras aplicáveis em matéria de sigilo jornalístico e de proteção de fontes.

Canal de denúncia interna

Meios

As entidades obrigadas devem dispor de canais de denúncia interna até 18 de junho de 2022.

Cada entidade é livre de escolher o meio pelo qual disponibiliza o seu canal de denúncia. Independentemente do meio escolhido, tem, todavia, de ser assegurada a confidencialidade da identidade do denunciante ou, quando por este pedido, o seu anonimato. As denúncias podem ser anónimas ou com identificação do denunciante.

O canal de denúncia tem de salvaguardar que a denúncia possa ser feita:

• Por escrito: por correio, através de uma ou mais caixas de reclamações físicas, ou através de uma plataforma online, por exemplo, na intranet ou Internet; ou
• Verbalmente: através de uma linha telefónica ou de outro sistema de mensagens de voz; ou
• Ambos.

A pedido do denunciante, os canais devem ainda permitir denúncias através da realização de reuniões presenciais em um prazo razoável.

Gestão do canal

Os canais de denúncia interna podem ser operados:

• A nível interno, para efeitos de receção e seguimento de denúncias, por pessoas ou serviços internos da organização, ou
• A nível externo, para efeitos de receção de denúncias em nome da organização, por exemplo, por fornecedores de plataformas de denúncias externas, consultores externos, auditores.

De entre estas duas opções, o recurso a uma entidade externa poderá revelar-se a opção mais adequada, pois a lei impõe que seja garantida a independência, imparcialidade, confidencialidade, proteção de dados, sigilo e ausência de conflitos de interesses de quem esteja encarregue de gerir o canal e dar seguimento às denúncias.

Caso, todavia, a organização opte por ser ela própria a gerir e dar seguimento às denúncias, é, pelo menos, recomendável que seja feita uma avaliação por um terceiro independente, por forma a verificar se todas as salvaguardas, incluindo os tempos de resposta e seguimento dilgente das denúncias com o respetivo acompanhamento junto do denunciante se verificam, sob pena de sujeição a coimas.

Canal de denúncia externa

Prinicipais características

• As autoridades competentes devem dispor de canais de denúncia externa, independentes e autónomos dos demais canais de comunicação, para receber e dar seguimento a denúncias.
• As autoridades competentes têm de publicar informações sobre os procedimentos de denúncia nos seus sítios na Internet, em secção separada, facilmente identificável e acessível.
• Após a receção de uma denúncia, as autoridades competentes têm margem de discricionariedade para analisar e decidir dar (ou não) seguimento a uma denúncia. As denúncias são arquivadas quando:
• A infração denunciada seja de gravidade diminuta, insignificante ou manifestamente irrelevante;
• A denúncia seja repetida e não contém novos elementos de facto ou de direito que justifiquem um seguimento diferente do que foi dado relativamente à primeira denúncia; ou
• A denúncia seja anónima e dela não se retirem indícios de infração.

Prazos para o seguimento de denúncias

• Sete dias: para a autoridade competente notificar o denunciante da receção da denúncia e prestar informação, de forma clara e acessível, sobre os requisitos, autoridades competentes e forma e admissibilidade da denúncia externa;
• Três meses: para a autoridade competente comunicar ao denunciante as medidas previstas ou adotadas para dar seguimento à denúncia com a respetiva fundamentação.

O denunciante pode requerer, a qualquer momento, que a autoridade competente lhe comunique o resultado da análise efetuada à denúncia, no prazo de 15 dias após a respetiva conclusão.

As autoridades competentes reveem, a cada três anos, os procedimentos para a receção e seguimento de denúncias, tendo em consideração a sua experiência, bem como a de outras autoridades competentes.

Confidencialidade e dados pessoais

Confidencialidade

A identidade do denunciante, bem como as informações que, direta ou indiretamente, permitam aferir a sua identidade, têm natureza confidencial e são de acesso restrito às pessoas responsáveis por receber ou dar seguimento a denúncias.

A identidade do denunciante só pode ser divulgada em decorrência de obrigação legal ou de decisão judicial. Além do mais, a divulgação da informação tem de ser precedida de comunicação escrita ao denunciante indicando os motivos da divulgação dos dados confidenciais, exceto se a prestação dessa informação comprometer as investigações ou processos judiciais relacionados.

As denúncias recebidas pelas autoridades competentes que contenham informações sujeitas a segredo comercial são tratadas apenas para efeito de dar seguimento à denúncia, ficando quem dela tenha conhecimento obrigado a sigilo.

Tratamento de dados pessoais e conservação

O tratamento de dados pessoais, incluindo o intercâmbio ou a transmissão de dados pessoais pelas autoridades competentes, deve observar o disposto no Regulamento Geral de Proteção de Dados.

Os dados pessoais que manifestamente não forem relevantes para o tratamento da denúncia não podem ser conservados, devendo ser imediatamente apagados. Isto não prejudica, todavia, o dever de conservação de denúncias apresentadas verbalmente, quando essa conservação se faça mediante gravação da comunicação em suporte duradouro e recuperável.

As entidades obrigadas e as autoridades competentes responsáveis por receber e tratar denúncias devem manter um registo das denúncias recebidas.

As denúncias devem ser conservadas por, pelo menos, um prazo de cinco anos e, independentemente desse prazo, durante a pendência de processos judiciais ou administrativos referentes à denúncia.

Proibição de retaliação

Como forma de proteger a pessoa que faz a denúncia, a Lei n.º 93/2021 estabelece a proibição da prática actos de retaliação contra o denunciante.

Para este efeito, considera-se “acto de retaliação” o acto ou omissão (incluindo ameaças e tentativas) que, direta ou indiretamente, ocorrendo em contexto profissional e motivado por uma denúncia interna, externa ou divulgação pública, cause ou possa causar ao denunciante, de modo injustificado, danos patrimoniais ou não patrimoniais.

A lei prevé um conjunto de actos que se presumem motivados por denúncia interna, externa ou divulgação pública, até prova em contrário, quando praticados até dois anos após a denúncia ou divulgação pública:

• Alterações das condições de trabalho, por exemplo, funções, horário, local de trabalho ou retribuição, não promoção do trabalhador ou incumprimento de deveres laborais;
• Suspensão de contrato de trabalho;
• Avaliação negativa de desempenho ou referência negativa para fins de emprego;
• Não conversão de um contrato de trabalho a termo em contrato sem termo, sempre que o trabalhador tivesse expectativas legítimas de conversão;
• Não renovação de um contrato de trabalho a termo;
• Despedimento;
• Inclusão numa lista, com base em acordo à escala setorial, que possa levar à impossibilidade de, no futuro, o denunciante encontrar emprego no setor ou indústria em causa;
• Resolução de contrato de fornecimento ou de prestação de serviços;
• Revogação de acto ou resolução de contrato administrativo, conforme definidos nos termos do Código do Procedimento Administrativo.

A sanção disciplinar que seja aplicada ao denunciante até dois anos após a denúncia ou divulgação pública presume-se abusiva, o que significa que terá de ser o empregador a provar que não há abuso e que a sanção disciplinar foi devidamente aplicada.

Os direitos e garantias previstos na Lei n.º 93/2021 não podem ser objeto de renúncia ou limitação por acordo.

Se deseja saber mais, queira por favor fazer download do nosso PDF abaixo.

Ver pdf Partilhar

A partir de 25 de maio de 2018, data de aplicação do Regulamento Feral de Proteção de Dados (RGPD), todos os Estados-Membros da União Europeia (UE) passam a estar sujeitos a regras comuns em matéria de proteção de dados pessoais.

Neste estudo são apresentadas as alterações mais significativas do novo RGPD.

Veja o estudo na íntegra no PDF.

Ver pdf Partilhar

Um ano após a entrada em vigor do novo Regime Geral da Proteção de Dados, o Jornal de Negócios faz um balanço em primeira linha de como as organizações (não) se estão a adaptar ao regime.

Segundo a advogada Cláudia Fernandes Martins, especialista em proteção de dados na Macedo Vitorino & Associados, embora tenha existido «(...) um “esforço proativo” por parte de entidades privadas e públicas (…), isto não significa que a maioria das organizações tenha implementado as medidas necessárias para atuarem em conformidade com o RGPD (...).» Confirma ainda que «existem atrasos na implementação do RGPD ao nível do setor público».

Se quiser saber mais, leia o artigo na íntegra no pdf. 

Ver pdf Partilhar

Seis meses após a aplicação do Regulamento Geral de Proteção de Dados (RGPD), visitámos alguns sítios de Internet de grandes empresas e outras não tão grandes para verificar a sua conformidade com o RGPD.

Encontrámos vários exemplos de práticas ilegais ou, pelo menos, não recomendáveis face ao RGPD e ainda ao regulamento europeu relativo à privacidade e comunicações eletrónicas (regulamento «E-privacy»), ainda em fase de pré-aplicação.

Leia o nosso relatório aqui.

Ver pdf Partilhar

Aproximadamente seis meses após a aplicação do Regulamento Geral de Proteção de Dados (RGPD), o setor público apresenta ainda um atraso significativo na sua implementação. O RGPD impõe novos desafios à Administração pública em matéria de proteção de dados que parecem estar a ser ignorados.

A «moratória» de três anos aplicável à Administração pública quanto a coimas, prevista na proposta de lei de execução do RGPD, contribuiu para desincentivar o esforço de muitas entidades públicas na implementação do RGPD.

Há também uma «falsa ilusão» de que a Comissão Nacional de Proteção de Dados (CNPD) não aplicaria de forma implacável o RGPD, ilusão que foi alimentada pelas notícias de falta de verbas desta autoridade. 

Contudo, frustrando as ilusões de muitos, a CNPD abriu, em 14 de outubro de 2018, um processo de averiguação à EMEL e à Câmara Municipal de Lisboa, na sequência do envio dos SMS pela EMEL com alertas sobre o furacão Leslie.

Uns dias mais tarde, a CNDP aplicaria uma coima de 400 mil euros ao Centro Hospitalar do Barreiro Montijo, EPE por acesso indevido a dados clínicos de doentes por profissionais não médicos.

Embora o RGPD permita aos Estados-membros determinar se as coimas devem ou não ser aplicadas a autoridades e organismos públicos, na ausência dessa lei nacional o RGPD é plenamente aplicável, pelo que a Administração pública não está isenta da aplicação de sanções pela CNPD.

A manter-se a redação da proposta de lei que se encontra em discussão, apenas as empresas públicas que sejam entidades públicas empresarias (EPE) seriam abrangidas pela isenção. Tal pode significar que a coima ao Hospital do Barreiro poderá vir a ser retirada mas isso não é certo ainda.

Certo é que, com ou sem isenção, a Administração pública tem de se consciencializar de que precisa de implementar cabalmente o RGPD porque os cidadãos têm direito à proteção dos seus dados e porque, mais tarde ou mais cedo, haverá sanções para evitar a violação do RGPD.

O presente estudo visa analisar o impacto da aplicação do RGPD na Administração pública e as novas responsabilidades que decorrem para os serviços, organismos e entidades públicas, bem como as medidas-chave a adotar na implementação do RGPD pelo sector público.

Ver pdf Partilhar

A partir de 25 de maio de 2018, data de aplicação do Regulamento Geral de Proteção de Dados (RGPD), todos os Estados-Membros da União Europeia (UE) passam a estar sujeitos a regras comuns em matéria de proteção de dados pessoais.

Organizações sedeadas fora da UE também podem estar sujeitas ao RGPD quando as suas atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a titulares de dados da UE ou com o controlo do comportamento de titulares de dados, quando este tenha lugar na UE.

Ao contrário da Diretiva 95/46/CE transposta pela Lei n.º 67/98, de 26 de outubro, que aprovou a Lei de Proteção de Dados Pessoais (LPDP), o RGPD aplica-se sem necessidade de ser aprovada legislação nacional e revogará a LPDP. Isto não significa, porém, que, em determinadas matérias (ex. tratamento de dados sensíveis ou de dados de trabalhadores no contexto laboral), não possa vir a ser aprovada legislação nacional específica, que se aplicará em conjunto com o RGPD.

Se compararmos o RGPD com a LPDP parecem não existir alterações significativas ao nível dos princípios de proteção dos dados: os conceitos de dados pessoais e de tratamento, os princípios fundamentais a que devem obedecer os tratamentos de dados e os fundamentos de licitude permanecem intocáveis. As alterações, essas sim significativas, verificam-se ao nível das regras do jogo e da operacionalização destes princípios.

De entre essas alterações é de salientar a mudança do modelo de regulação: o RGPD introduz um modelo de autorregulação, em contraste com o modelo de hétero-regulação da LPDP, o que terá um impacto relevante no dia-a-dia das organizações.

As organizações passam a ser responsáveis pela interpretação e operacionalização das regras de proteção de dados, bem como por assegurar, de forma contínua, e demonstrar o cumprimento do RGPD, ficando sujeitas a fiscalização e supervisão da autoridade de controlo do país do seu estabelecimento principal ou único (sistema de «balcão único»).

As organizações devem, por isso, começar por compreender qual o seu perfil de risco e, a partir deste exercício, ponderar o que devem fazer para atuar em conformidade com o RGPD e demonstrar essa conformidade, sob pena de risco de coimas, que aumentam exponencialmente e que poderão ir até 4% do volume de negócios anual, a nível mundial, ou até 20 milhões de euros, consoante o que for superior.

Ver pdf Partilhar

O Regulamento Geral sobre a Proteção de Dados ("RGPD") promete trazer significativas alterações em matéria de proteção de dados (as maiores dos últimos vinte anos) desde a Diretiva n.º 95/46/CE, que foi transposta pela Lei n.º 67/98, de 26 de outubro.

O RGPD será diretamente aplicável em todos os Estados Membros da União Europeia (“UE”) a partir de 25 de maio de 2018. O novo regulamento terá ainda um âmbito de aplicação global, na medida em que empresas sedeadas fora da UE, que disponibilizem bens ou serviços na UE, poderão ficar sujeitas ao RGPD.

O risco de multas até 4% do volume de negócios anual, a nível mundial, ou de 20 milhões de euros constitui um incentivo mais do que suficiente para que as empresas cumpram o RGPD.

O RGPD não impede, todavia, que a lei portuguesa possa estabelecer requisitos mais específicos, nomeadamente em matéria de tratamento de dados sensíveis (e.g., dados genéticos, dados biométricos e dados referentes a saúde) e de dados pessoais dos trabalhadores no contexto laboral (para efeitos, entre outros, de recrutamento, execução de contrato de trabalho, cessação da relação de trabalho), normas que se aplicarão conjuntamente com o RGPD.

A aplicação conjunta do RGPD e da lei portuguesa será relevante nos casos em que as empresas recolham e tratem dados de indivíduos portugueses e/ou a autoridade de supervisão portuguesa (a Comissão Nacional de Proteção de Dados – “CNPD”) atue na qualidade de autoridade principal pelo facto de o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou subcontratante se encontrar localizado em Portugal.

Os titulares de dados, residentes em Portugal, terão o direito de apresentar reclamações junto da CNPD. Em processos apresentados contra o responsável pelo tratamento ou subcontratante, o reclamante terá direito a recorrer aos tribunais portugueses se as empresas ou a residência do responsável pelo tratamento ou subcontratante se encontrarem localizados em Portugal.

Apesar de, em termos gerais, as regras fundamentais continuem a ser as mesmas, existem importantes alterações com impacto no dia-a-dia das empresas e para as quais deverão estar alerta e preparar-se com a devida antecedência.

O objetivo desta publicação é o de definir um plano com sete medidas a adotar pelas empresas para cumprirem o RGPD. As empresas também deveriam aproveitar esta oportunidade para melhorarem a sua forma de lidar com os dados pessoais. A contagem decrescente para 2018 já começou…

Ver pdf Partilhar

The General Data Protection Regulation (“GDPR”) promises to be the most significant global development in data protection laws across all European Union (“EU”) Member States since Directive 95/46/EC (“Data Protection Directive”), which was implemented in Portugal by Law 67/98, of 26 October 1998.

The GDPR will be directly applicable in all EU Member States from 25 May 2018. The new regulation will have a global scope, as businesses based outside the EU that offer goods or services to individuals in the EU may be required to comply with the GDPR.

The risk of fines up to 4% of annual worldwide turnover or €20 million is surely a strong incentive for companies to comply with the GDPR.

The new regulation is expected to be homogenously applied throughout the EU. Notwithstanding, Portuguese law will apply in cases it may impose more detailed conditions, such as those relating to the processing of sensitive data, particularly genetic data, biometric data or data concerning health. Portuguese law may also contain specific rules regarding the processing of employees' personal data, especially for the purposes of recruitment, performance and termination of the employment contract, which will apply together with the GDPR.

The combined application of the GDPR and the Portuguese law will be particularly relevant where companies collect and process data from Portuguese individuals and/or the Portuguese supervisory authority acts as lead authority due to the fact the main establishment or the single establishment of the controller or processor is located in Portugal.

Individuals, who are resident in Portugal, will have the right to lodge complaints with the Portuguese supervisory authority. For proceedings against a data controller or processor, the plaintiff will have the right to bring the action before the Portuguese courts if the data controller or processor’s business or the individuals’ residence is located in Portugal.

Although the core data protection rules remain broadly the same, there are important changes with impact on day-to-day business and for which companies should be aware of and prepare in advance.

As companies prepare for the entry into force of the GDPR, we propose a seven steps plan detailing the main aspects of the GDPR that companies need to take. This should be also used as an opportunity to improve the way the companies deal with personal data within their organization. The countdown to 2018 has started.

Ver pdf Partilhar