Em toda a União Europeia, apenas Portugal e a Grécia não têm ainda lei nacional que execute o regulamento, que está em aplicação há um ano em todos os Estados membros, desde 25 de maio de 2018.
“A lei faz-nos falta. Era urgente que fosse aprovada a lei, um ano depois do regulamento ser aplicado é muito tempo para estarmos sem lei nacional”, afirmou em entrevista à Lusa Filipa Calvão, presidente da CNPD, lembrando que, exceto Portugal e Grécia, todos os outros Estados já aprovaram leis nacionais de execução do regulamento comunitário.
O primeiro ano de aplicação do RGPD, que se cumpre no dia 25 deste mês, foi “um bocadinho difícil” para a CNPD, segundo a sua presidente, porque a falta de legislação especifica "está a ter consequências práticas" em vários tratamento de dados pessoais.
“Tem consequências no contexto das relações laborais, quanto aos dados biométricos para controlo de assiduidade, sobre os quais a lei laboral não é suficiente nesta matéria”, afirma aquela responsável, destacando ainda consequências desta falta de legislação na atividade seguradora que envolve dados de saúde.
A CNPD lembra que “não há base legal suficiente” no regulamento que legitime o tratamento dos dados de saúde pelas seguradoras sem o consentimento dos segurados, o que poderia colocar em risco seguros como os de saúde, e defende ser necessário o legislador nacional enquadrar essas atividades na legislação que está a ser preparada pelo parlamento e que aguarda aprovação.
Mas, ao contrário do que o setor segurador temia, e anunciou publicamente há um ano, esta falta de legitimidade de tratamento dos dados pelas seguradoras não bloqueou esta atividade no primeiro ano de execução do regulamento: “Em rigor, esses tratamentos não estão a ser feitos de modo legítimo”, advertiu Filipa Calvão.
A CNPD defende que o pedido de consentimento que as seguradoras têm feito junto dos clientes “não é pertinente, nem juridicamente relevante”, e diz que é preciso um enquadramento que legitime esse tratamento de dados.
“É uma falta de enquadramento que é essencial e que o parlamento se está a esquecer”, afirmou, referindo-se ao facto de a última proposta de lei do grupo de trabalho não resolver este problema.
No primeiro ano de aplicação do RGPD, a Comissão aplicou coimas a quatro entidades, no valor de 424 mil euros, e abriu 864 processos de averiguação que podem resultar em contraordenação ou na aplicação de medidas corretivas ou recomendações.
O RGPD começou a ser aplicado em Portugal, e restantes Estados-membros, em 25 de maio do ano passado, introduzindo sanções pelo seu incumprimento que podem ir, nos casos mais graves, até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o montante mais elevado.
Nos casos menos graves de violação dos dados pessoais, as coimas podem ir até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial.
Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados – e para que fim – e podem pedir para que sejam apagados a qualquer momento.
A aplicação do RGPD carece de legislação nacional que está a ser elaborada, e discutida, por um grupo de trabalho no parlamento, mas ainda não foi sujeita a votação final.
Comentários