No passado dia 3 de setembro de 2019, foi aprovada, em reunião da CNPD, a Deliberação 2019/494, que define a posição da CNPD perante a Lei n.º 58/2019, de 8 de agosto, que vem assegurar a execução e expandir conceitos dispostos no Regulamento (EU) 2016/679, do Parlamento e do Conselho, de 27 de abril de 2016 (RGPD).
A CNPD veio, por este meio, explanar quais as normas presentes na Lei n.º 58/2019 que considera inaplicáveis.
A CNPD considerou que o artigo 2.º, n.º 1 e 2, que incide sobre a distribuição de competência dos Estados-Membros, na sua atual formulação, extravasa os poderes atribuídos ao Estado Português como autoridade competente e compromete a aplicação de normas procedimentais no âmbito territorial, pelo que recusa a sua aplicabilidade.
Já o artigo 20.º, n.º 1 da Lei n.º 58/2019, que versa sobre o direito de acesso dos titulares e possíveis limites ao mesmo, entende a CNPD que o respectivo conteúdo ultrapassa os limites que poderão ser colocados ao direito de informação dos titulares tal como estes estão dispostos no RGPD, não conferindo quaisquer situações extraordinárias, e, devido à sua latitude, impossível de se concretizar.
O artigo 23.º, que se reporta ao tratamento de dados pessoais por parte de entidades públicas e a possibilidade de transferência de dados pessoais interentidades públicas, entende-o a CNPD como sendo demasiado genérico e sem uma temporalidade definida. Quanto a ele, a CNPD não considera que o interesse público, definido de tal forma lata, possa suplantar os direitos dos titulares, nem o mesmo poderá ser alargado de tal forma que perca a sua caracterização inerente. Ainda, considerou a CNPD que este artigo contraria o princípio de finalidade ou limitações das mesmas, consagrado no RGPD, afastando o “(…) juízo concreto e ponderado de compatibilidade das finalidades.”.
A deliberação constata ainda a impossibilidade de aplicação do artigo 28.º, n.º 3, alínea a), relativamente aos requisitos de legitimidade do tratamento dos seus dados pessoais, quando do tratamento resultar uma vantagem jurídica ou económica à sua pessoa, por se considerar que se trata de uma limitação excessivamente restritiva.
Outrossim, a CNPD considerou que o artigo 37.º, n.º 1, alíneas a), h) e k) e artigo 38.º, n.º 1, alínea b), que incidem sobre contraordenações, contrariam o já previsto no RGPD em termos de infrações, sendo impossível que sejam criadas contraordenações com base no Regulamento sem que o mesmo as preveja e, ainda, o contrariem.
Quanto aos artigos 37.º, n.º 2, e 38.º, n.º 2, entende a CNPD que também se consideraram inaplicáveis em virtude dos ilícitos por si definidos serem contrários às disposições do RGPD, considerando a CNPD que o Estado Português não pode, na extensão do RGPD criar novos ilícitos tendo este por base.
Ainda, considera a CNPD que o artigo 39.º, n.º 1 e n.º 3 (que determina em concreto a medida da coima) é inaplicável, por extravasar o disposto no RGPD.
Na Deliberação em causa, a CNPD considerou também que o n.º 2 do artigo 61º é inaplicável por confundir dois fundamentos de legitimidade de tratamento de dados. Este número implicaria que fosse necessário o consentimento no tratamento dos dados para a vigência de um contrato. Esta disposição é considerada como contrária ao artigo 4.º e 6.º do RGPD, e dai o comentário da CNPD a respeito.
Por fim, o artigo 62.º, n.º 2, que define a aplicação retroativa dos deveres de notificação ou pedidos de autorização, foi considerado como inaplicável por referir que os mesmos deixaram de vigorar à data da entrada em vigor do RGPD, sendo que o mesmo entrou em vigor em 2016 e o texto do Regulamento claramente indica, no seu artigo 99.º, n.º 2, que a data de aplicabilidade do mesmo só se cristalizaria em 25 de maio de 2018.
A CNPD considerou, então, que as normas supra referidas não deverão ser consideradas como aplicáveis em futuros casos concretos e não serão por si consideradas nas suas deliberações.