No passado dia 3 de setembro de 2019, foi aprovada, em reunião da CNPD, a Deliberação 2019/494, que define a posição da CNPD perante a Lei n.º 58/2019, de 8 de agosto, que vem assegurar a execução e expandir conceitos dispostos no Regulamento (EU) 2016/679, do Parlamento e do Conselho, de 27 de abril de 2016 (RGPD).
A CNPD veio, por este meio, explanar quais as normas presentes na Lei n.º 58/2019 que considera inaplicáveis.
A CNPD considerou que o artigo 2.º, n.º 1 e 2, que incide sobre a distribuição de competência dos Estados-Membros, na sua atual formulação, extravasa os poderes atribuídos ao Estado Português como autoridade competente e compromete a aplicação de normas procedimentais no âmbito territorial, pelo que recusa a sua aplicabilidade.
Já o artigo 20.º, n.º 1 da Lei n.º 58/2019, que versa sobre o direito de acesso dos titulares e possíveis limites ao mesmo, entende a CNPD que o respectivo conteúdo ultrapassa os limites que poderão ser colocados ao direito de informação dos titulares tal como estes estão dispostos no RGPD, não conferindo quaisquer situações extraordinárias, e, devido à sua latitude, impossível de se concretizar.
O artigo 23.º, que se reporta ao tratamento de dados pessoais por parte de entidades públicas e a possibilidade de transferência de dados pessoais interentidades públicas, entende-o a CNPD como sendo demasiado genérico e sem uma temporalidade definida. Quanto a ele, a CNPD não considera que o interesse público, definido de tal forma lata, possa suplantar os direitos dos titulares, nem o mesmo poderá ser alargado de tal forma que perca a sua caracterização inerente. Ainda, considerou a CNPD que este artigo contraria o princípio de finalidade ou limitações das mesmas, consagrado no RGPD, afastando o “(…) juízo concreto e ponderado de compatibilidade das finalidades.”.
A deliberação constata ainda a impossibilidade de aplicação do artigo 28.º, n.º 3, alínea a), relativamente aos requisitos de legitimidade do tratamento dos seus dados pessoais, quando do tratamento resultar uma vantagem jurídica ou económica à sua pessoa, por se considerar que se trata de uma limitação excessivamente restritiva.
Outrossim, a CNPD considerou que o artigo 37.º, n.º 1, alíneas a), h) e k) e artigo 38.º, n.º 1, alínea b), que incidem sobre contraordenações, contrariam o já previsto no RGPD em termos de infrações, sendo impossível que sejam criadas contraordenações com base no Regulamento sem que o mesmo as preveja e, ainda, o contrariem.
Quanto aos artigos 37.º, n.º 2, e 38.º, n.º 2, entende a CNPD que também se consideraram inaplicáveis em virtude dos ilícitos por si definidos serem contrários às disposições do RGPD, considerando a CNPD que o Estado Português não pode, na extensão do RGPD criar novos ilícitos tendo este por base.
Ainda, considera a CNPD que o artigo 39.º, n.º 1 e n.º 3 (que determina em concreto a medida da coima) é inaplicável, por extravasar o disposto no RGPD.
Na Deliberação em causa, a CNPD considerou também que o n.º 2 do artigo 61º é inaplicável por confundir dois fundamentos de legitimidade de tratamento de dados. Este número implicaria que fosse necessário o consentimento no tratamento dos dados para a vigência de um contrato. Esta disposição é considerada como contrária ao artigo 4.º e 6.º do RGPD, e dai o comentário da CNPD a respeito.
Por fim, o artigo 62.º, n.º 2, que define a aplicação retroativa dos deveres de notificação ou pedidos de autorização, foi considerado como inaplicável por referir que os mesmos deixaram de vigorar à data da entrada em vigor do RGPD, sendo que o mesmo entrou em vigor em 2016 e o texto do Regulamento claramente indica, no seu artigo 99.º, n.º 2, que a data de aplicabilidade do mesmo só se cristalizaria em 25 de maio de 2018.
A CNPD considerou, então, que as normas supra referidas não deverão ser consideradas como aplicáveis em futuros casos concretos e não serão por si consideradas nas suas deliberações.
A Lei n. º 91/2019 publicada a 4 de setembro, com produção de efeitos a 4 de outubro de 2019, estabelece o regime da resolução dos conflitos de jurisdição entre os tribunais judiciais e os tribunais administrativos e fiscais, regulando a composição, competência, funcionamento e o processo perante o tribunal dos conflitos.
O Tribunal dos Conflitos é presidido pelo Presidente do Supremo Tribunal de Justiça ou pelo Presidente do Supremo Tribunal Administrativo consoante a decisão recorrida tenha sido proferida por um tribunal judicial ou por um tribunal da jurisdição administrativa e fiscal, ou dependendo da última das decisões que originam o conflito e do tribunal em que a consulta tenha sido submetida. É constituído, igualmente, por dois juízes: será o vice-presidente do Supremo Tribunal de Justiça mais antigo no cargo ou o mais antigo na categoria o relator quando o tribunal for presidido pelo presidente do Supremo Tribunal de Justiça; e o vice-presidente do Supremo Tribunal Administrativo o relator quando presidir o Presidente do Supremo Tribunal Administrativo.
O Tribunal dos Conflitos tem competência para conhecer dos pedidos de resolução de conflitos de jurisdição, das consultas prejudiciais sobre questões de jurisdição e dos recursos interpostos para o Tribunal dos Conflitos.
O processo perante o Tribunal dos Conflitos pressupõe um conflito de jurisdição entre dois ou mais tribunais, integrados em ordens jurisdicionais diferentes. É legítimo ao Tribunal aquando do conhecimento do conflito, orientar a sua resolução para o Presidente do Supremo Tribunal de Justiça, a quem caiba a presidência do Tribunal dos Conflitos, podendo, igualmente, a resolução dos conflitos ser pedida por qualquer uma das partes ou pelo Ministério Público, o qual é representado pelo Procurador-Geral da República junto do Tribunal dos Conflitos, mediante requerimento ao Presidente do Supremo Tribunal.
Se do conflito resultarem prejuízos graves e dificilmente reparáveis, o presidente designa o tribunal que deve exercer provisoriamente a jurisdição na prática dos atos urgentes.
Por último, é possível requerer uma consulta prejudicial, tendo em conta dúvidas geradas na pendência de uma ação, providência ou recurso, sobre a jurisdição competente. Qualquer tribunal pode, oficiosamente ou a requerimento das partes, submeter a sua apreciação ao Tribunal dos Conflitos.
A Lei nº 69/2019 publicada a 28 de agosto, com produção de efeitos a 29 de agosto de 2019, transpõe para o ordenamento jurídico interno o regime geral para a titularização (titularização não STS) e cria um regime específico para a titularização simples, transparente e padronizada (titularização STS) estabelecido pelo Regulamento (UE) 2017/2402 do Parlamento Europeu e do Conselho, de 12 de dezembro de 2017.
A presente Lei procedeu à alteração de quatro artigos ao Código dos Valores Mobiliários e ao Decreto-Lei n.º 453/99 de 5 de novembro, a saber:
É acrescentado na noção de “investidores profissionais” outras instituições financeiras autorizadas ou reguladas, designadamente entidades com objeto específico de titularização, respetivas sociedades gestoras, se aplicável, e demais sociedades financeiras previstas na lei, sociedades de capital de risco, fundos de capital de risco e respetivas sociedades gestoras.
É substituído o termo “sociedades de titularização de créditos” por “entidades com objeto específico de titularização, cedentes, mutuantes iniciais, patrocinadores, gestores de créditos, entidades independentes e terceiros na titularização de créditos e outros ativos”.
É excluído o termo “sociedade de titularização de créditos” passando a constar, na sua redação atual, “titularização de créditos, capital de risco, fundos de capital de risco ou entidades legalmente habilitadas a administrar fundos de capital de risco” relativamente às matérias contraordenacionais.
É simplificado o escrito da alínea e) ao referir apenas “revogação da autorização ou cancelamento do registo” ao invés de “revogação da autorização ou cancelamento do registo necessários para o exercício de atividades de intermediação em valores mobiliários ou outros instrumentos financeiros”.
Por último, importa referir que as alterações introduzidas por esta Lei ao Decreto-Lei n.º 453/99 de 5 de novembro visam estabelecer uma uniformização de conceitos-chave de titularização através de um regime prudencial mais sensível ao risco, de forma a evitar uma desigualdade de condições de concorrência, promovendo uma maior transparência no mercado de titularizações e uma maior segurança àquelas que investem.
Foi hoje aprovada em reunião plenária a proposta de lei 12/XIII/3.ª (GOV) que complementa a aplicação do Regulamento Geral de Proteção de Dados (RGPD) em Portugal, ainda que com mais de uma ano de atraso.
A proposta foi aprovada com votos a favor do PSD e PS, e com a abstenção das restantes bancadas.
O texto agora aprovado vem regulamentar as matérias para as quais o Legislador Europeu remeteu definição aos Estados-Membros competência, como sejam a designação da Autoridade de Controlo, a idade de consentimento dos menores, regime das coimas e sanções acessórias e possíveis derrogações ou excepções às disposições do RGPD.
Do mesmo resulta, entre outras matérias, a manutenção da Comissão Nacional de Proteção de Dados como Autoridade de Controlo, a definição de 13 (treze) anos como a idade a partir da qual os menores podem prestar consentimento relativo à oferta direta de serviços da sociedade de informação, fixação dos montantes mínimos das coimas (mantendo os máximos decorrentes dos RGPD), definição dos tipos de crimes associados a dados pessoais, a possibilidade de as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à Comissão Nacional de Proteção de Dados a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor desta lei.
Com mais de um ano de aplicabilidade obrigatória, o RGPD tem vindo a introduzir-se, paulatinamente, no quotidiano de cidadãos e organizações, pese embora poucas sejam as que já têm implementados programas adequados à implementação das normas direccionadas à protecção de dados pessoais e seja ainda ténue a consciencialização dos titulares de dados pessoais sobre quais são e qual o real alcance dos seus direitos.
Até ao momento, a CNPD divulgou que foram aplicadas quatro coimas em Portugal, sendo uma dela aplicada ao Centro Hospitalar do Barreiro, uma das mais significativas até agora aplicada por qualquer Autoridade de Controlo (400.000,00 €); as três outras foram aplicadas a entidades privadas, cuja identidade não foi divulgada.
Aguarda-se promulgação do Texto final da Lei de execução do RGPD.
No presente acórdão a pretensão da Autora era obter a concessão de autorização pela «CNPD» da conservação dos dados através da gravação de contactos telefónicos com a finalidade de prova das transações comerciais e quaisquer outras comunicações respeitantes a relação contratual pelo período de dez anos e não apenas de sete anos.
O pedido da Autora foi fundamentado no facto de o prazo de sete anos, inserto no n.º 2 do art. 14.º da Lei n.º 25/2008, ser um prazo mínimo e nada impedir que seja fixado um prazo mais longo, prazo mais longo esse que, no seu entendimento, resulta imposto pelas exigências e obrigações de conservação de dados previstas no art. 40.º do CCom em conjugação com normas do Código das Sociedades Comerciais.
É necessário determinar se à data existia algum regime normativo que especificamente disciplinasse a situação em termos de definição dum prazo para a conservação de tais gravações, sendo que inexistia qualquer regime normativo que dispusesse sobre essa questão.
O tempo de conservação dos dados pessoais deve ser definido e limitado em função da finalidade que preside ao seu armazenamento e tratamento. Nesse sentido, tendo em consideração o princípio da proporcionalidade e a sua harmonização com os direitos fundamentais em questão é necessário ponderar os interesses empresariais e/ou comerciais do setor bancário e, bem assim, os interesses dos clientes das instituições bancárias, sem esquecer, também, as próprias exigências de segurança jurídica nas operações realizadas à distância com recurso a telefone e/ou por via eletrónica e aquilo que constitui todo o demais quadro normativo regulador e disciplinador da atividade bancária.
É facto notório que a inovação tecnológica ao longos dos anos tem vindo contribuir para a alteração da atividade financeira, no sentido em que para além do acesso ou uso da via de telefónica, assistimos à utilização cada vez mais generalizada da Internet, realidade que veio mudar a forma como os clientes bancários se relacionam com as instituições financeiras e, bem assim, as vias como acedem à prestação de serviços financeiros, usando não apenas a via telefónica, mas, também, os canais digitais, tendo as instituições financeiras passado a disponibilizar naquelas plataformas os seus serviços, denominados de homebanking, e a recorrer às aplicações móveis, potenciando e facilitando o acesso e a realização daqueles serviços, para além do aparecimento de instituições bancárias que desenvolvem a sua atividade sem recurso a agências físicas ou com uma rede de agências muito reduzida.
No entendimento do Supremo Tribunal Administrativo, devem entender-se como abrangidas pela previsão do referido art. 40.º do CCom as gravações de chamadas realizadas pelas instituições bancárias no âmbito da atividade bancária e no contacto/relação daquelas com os seus clientes e daquilo que são os atuais suportes físicos onde tais registos constam.
Com efeito, as gravações constituem, no atual contexto da era digital, o registo ou suporte documental, comprovativo de comunicação/correspondência trocada entre instituições bancárias, e seus clientes, de transações, operações/ordens bancárias realizadas ou determinadas no quadro da relação bancária personalizada entre os mesmos estabelecida, como relação de negócios, de obrigação duradoura e da qual emerge uma prestação permanente contínua e sucessiva, assente na confiança.
Daí que a justificação e motivação encontrada na definição do prazo de conservação das chamadas gravadas e que foram feitas no quadro da relação contratual entre uma instituição bancária e seus clientes deveria ter feito apelo ao prazo previsto no art. 40.º do CCom, pois, para além de diretamente aplicável às instituições bancárias, o mesmo, sendo exigível ou necessário, mostrava-se, à data, também como o mais acertado, porquanto o mais adequado, ajustado e justo na ponderação dos princípios, direitos e interesses que a situação reclamava.
E nesse contexto, tendo presente o quadro normativo que se mostrava aplicável à data e aquilo que caracterizava e caracteriza as relações bancárias, marcadamente duradouras, como relações de negócio nas quais emergem prestações permanentes contínuas e sucessivas, as exigências de prova que se colocam no quadro do tempo previsto para o exercício e efetivação de direitos dos sujeitos ou partes envolvidas e do tempo de preparação e decisão dos eventuais processos judiciais onde os litígios que venham a surgir são dirimidos, temos que o prazo de conservação a considerar das chamadas gravadas entre instituições bancárias e seus clientes no quadro do seu relacionamento contratual não poderia ter-se alheado dessa ponderação.
Face ao exposto, decidiu o Supremo Tribunal Administrativo, que a interpretação e aplicação do artigo 40.º do Código Comercial, bem como do artigo 14.º, n.º 2, da Lei n.º 25/2008 e do artigo 18.º, n.ºs 2 e 3, da CRP, deve ser no sentido de o prazo de conservação dos dados (gravação de contactos telefónicos com a finalidade de prova das transações comerciais e quaisquer outras comunicações respeitantes a relação contratual) ser de 10 e não de apenas 7 anos.
Em conclusão, defendeu-se que o art. 40.º do Código Comercial mostra-se aplicável às instituições bancárias e deve entender-se como abrangidas na sua previsão as gravações de chamadas realizadas pelas instituições bancárias no âmbito da atividade bancária e no contacto/relação daquelas com os seus clientes.