As técnicas seguidas na tipificação das contraordenações e as dificuldades

É necessário questionar em que é que consiste e em que termos pode surgir uma infração, sendo esta a violação das normas do presente Regulamento, de modo a haver lugar à aplicação de coimas ao infrator. A este respeito, cumpre referir que o R.G.P.D. não caracteriza as infrações, mas apenas as sanções aplicáveis às mesmas, pelo que entendemos que os métodos a seguir para a tipificação das infrações previstas no Regulamento decorrem da remissão interna complementar.

727 _{In verbis, MOUTINHO, José Lobo – Legislador português..., op. cit., pág. 47.}

728 _{De acordo com MOUTINHO, José Lobo; RAMALHO, David Silva – Notas sobre..., op. cit., págs. 27-28.} 729 _{Ibidem, págs. 27-28.}

148

Como já vimos, o art. 83.º do R.G.P.D. tenta enunciar e concretizar alguns casos de violações das normas do presente Regulamento, i.e., de infrações ao presente Regulamento. Todavia, por um lado, consideramos que esta se trata de uma

enunciação suis generis730_{, apesar de alguns comportamentos se encontrarem}

tipificados no art. 83.º do R.G.P.D., num desafio à inteligência do intérprete e do aplicador. E, por outro lado, as previsões típicas do Regulamento têm um carácter incompleto, visto que os tipos contraordenacionais não estão descritos sobre a forma de violação, de modo que não se percebe, por vezes, como pode surgir a infração e cumpre ao intérprete e ao aplicador a tarefa de as completar, o que, em alguns casos, se afirma uma tarefa bastante difícil. É o caso, e.g., da infração prevista no art. 83.º, n.º 4, al. a), do R.G.P.D., de acordo com o qual “[a] violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.º 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado: a) As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.º, 11.º, 25.º a 39.º e 42.º e 43.º […]”. Ora, por remissão, nos termos do art. 11.º, n.º 1, do R.G.P.D., “[s]e as finalidades para as quais se proceder ao tratamento de dados pessoais não exigirem ou tiverem deixado de exigir a identificação do titular dos dados por parte do responsável pelo seu tratamento, este último não é obrigado a manter, obter ou tratar informações suplementares para identificar o titular dos dados com o único objetivo de dar cumprimento ao presente regulamento”. Como podemos verificar, não é fácil descortinar em que é que pode consistir a violação deste artigo e de muitos outros do R.G.P.D.

Constata-se que a Proposta de Lei de Proteção de Dados Pessoais faz um esforço de tipificação dos ilícitos contraordenacionais. Contudo, como referimos

anteriormente, considerando a jurisprudência do T.J.U.E., a C.N.P.D.731 _{entende, por}

730 _{É disso exemplo o art. 83.º, n.º 5, al. d), do R.G.P.D., que consagra que a violação das disposições relativas às obrigações nos} termos do direito do Estado-Membro adotado ao abrigo do Capítulo IX (disposições relativas a situações específicas de tratamento) está sujeita a coimas até 20.000.000,00 € (no caso de pessoa singular) ou até 4 % do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior (no caso de pessoa coletiva). Como vimos anteriormente, estas disposições relativas a situações específicas de tratamento englobam, e.g., o tratamento e liberdade expressão e de informação (art. 85.º do R.G.P.D.); o tratamento e acesso do público aos documentos oficiais (art. 86.º do R.G.P.D.); tratamento do número de identificação nacional (art. 87.º do R.G.P.D.); o tratamento no contexto laboral (art. 88.º do R.G.P.D.); as garantias e derrogações relativas a tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica para fins estatísticos (art. 89.º do R.G.P.D.); as obrigações de sigilo (art. 90.º do R.G.P.D.); e as normas vigentes em matéria de proteção de dados das igrejas e associações religiosas (art. 91.º do R.G.P.D.).

731 _{No seu Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018. [Consulta em 20 de fevereiro de 2019].} Disponível para consulta em: http://bit.ly/2GrYSjQ. Pág. 50.

149

um lado, que o R.G.P.D. não deixa margem aos Estados-Membros para introduzir

alterações ao regime sancionatório previsto no seu art. 83.º, n.os _{4, 5 e 6, e, por outro}

lado, com os mesmos fundamentos, que não deve o legislador nacional reproduzir as normas constantes do R.G.P.D.

Nessa medida, a C.N.P.D.732 _{recomenda a eliminação do art. 37.º, n.º 1, da}

Proposta de Lei de Proteção de Dados Pessoais733_{, com exceção da al. e) e da al. l),}

bem como do art. 38.º, n.º 1, al. u), da Proposta de Lei de Proteção de Dados Pessoais. De todo o modo, sempre se dirá que algumas das disposições previstas nos arts. 37.º,

n.º 1, e 38.º, n.º 1734_{, da Proposta de Lei de Proteção de Dados Pessoais, violam o}

R.G.P.D., como sucede com os arts. 37.º, n.º 1, al. h), e 38.º, n.º 1, al. b). Ora, na Proposta de Lei de Proteção de Dados Pessoais, a propósito da não prestação de informação, nos termos impostos pelos arts. 13.º e 14.º do R.G.P.D., distingue-se a informação relevante (cuja omissão originaria contraordenação muito grave, cfr. o art. 37.º, n.º 1, al. h)) da informação não relevante (cuja omissão originaria contraordenação grave, cfr. o art. 38.º, n.º 1, al. b)), distinção essa que não é

consagrada nem reconhecida no art. 83.º do R.G.P.D.735_{. Na verdade, no art. 83.º, n.º}

732 _{Ibidem, pág. 50.}

733 _{A saber: “1 – Constituem contraordenações muito graves: a) Os tratamentos de dados pessoais em violação dos princípios} consagrados no artigo 5.º do RGDP; b) Os tratamentos de dados pessoais que não tenham por base o consentimento ou outra condição de legitimidade, nos termos do artigo 6.º do RGPD ou de norma nacional; c) O incumprimento das regras relativas à prestação do consentimento previstas no artigo 7.º do RGPD; d) Os tratamentos de dados pessoais previstos no n.º 1 do artigo 9.º do RGPD sem que se verifique uma das circunstâncias previstas no n.º 2 do mesmo artigo; e) Os tratamentos de dados pessoais previstos no artigo 10.º do RGPD que contrariem as regras aí previstas; f) A exigência do pagamento de uma quantia em dinheiro fora dos casos previstos no n.º 5 do artigo 12.º do RGPD; g) A exigência do pagamento de uma quantia em dinheiro, nos casos previstos no n.º 5 do artigo 12.º do RGPD, que exceda os custos necessários para satisfazer o direito do titular dos dados; h) A não prestação de informação relevante nos termos dos artigos 13.º e 14.º do RGPD, o que ocorre nas seguintes circunstâncias: i) Omissão de informação das finalidades a que se destina o tratamento; ii) Omissão de informação acerca dos destinatários ou categorias de destinatários dos dados pessoais; iii) Omissão de informação acerca do direito de retirar o consentimento nos casos previstos na alínea a) do n.º 1 do artigo 6.º e na alínea a) do n.º 2 do artigo 9.º do RGPD; i) Não permitir, não assegurar ou dificultar o exercício dos direitos previstos nos artigos 15.º a 18.º e 19.º a 22.º do RGPD; j) A transferência internacional de dados pessoais em violação do disposto nos artigos 44.º a 49.º do RGPD; k) O incumprimento das decisões da autoridade de controlo previstas no n.º 2 do artigo 58.º do RGPD, ou recusa da colaboração que lhe seja exigida pela CNPD, no exercício dos seus poderes; l) A violação das regras previstas no capítulo VI da presente lei”.

734 _{Segundo o qual: “1 – Constituem contraordenações graves: a) A violação do disposto no artigo 8.º do RGPD; b) A não} prestação da restante informação prevista nos artigos 13.º e 14.º do RGPD; c) A violação do disposto nos artigos 24.º e 25.º do RGPD; d) A violação das obrigações previstas no artigo 26.º do RGPD; e) A violação do disposto no artigo 27.º do RGPD; f) A violação das obrigações previstas no artigo 28.º do RGPD; g) A violação do disposto no artigo 29.º do RGPD; h) A ausência de registo dos tratamentos de dados pessoais em violação do disposto no artigo 30.º do RGPD; i) A violação das regras de segurança previstas no artigo 32.º do RGPD; j) O incumprimento dos deveres previstos no artigo 33.º do RGPD; k) O incumprimento do dever de informar o titular dos dados pessoais nas situações previstas no artigo 34.º do RGPD; l) O incumprimento da obrigação de realizar avaliações de impacto nos casos previstos no artigo 35.º do RGPD; m) O incumprimento da obrigação de consultar a autoridade de controlo previamente à realização de operações de tratamento de dados nos casos previstos no artigo 36.º do RGPD; n) O incumprimento dos deveres previstos no artigo 37.º do RGPD; o) A violação do disposto no artigo 38.º do RGPD, nomeadamente no que respeita às garantias de independência do encarregado de proteção de dados; p) O incumprimento dos deveres previstos no artigo 39.º do RGPD; q) A prática de atos de supervisão de códigos de conduta por organismos não acreditados pela autoridade de controlo nos termos do artigo 41.º do RGPD; r) O incumprimento, por parte dos organismos de supervisão de códigos de conduta, do previsto no n.º 4 do artigo 41.º do RGPD; s) A utilização de selos ou marcas de proteção de dados que não tinham sido emitidos por organismos de certificação devidamente acreditados nos termos dos artigos 42.º e 43.º do RGPD; t) O incumprimento, por parte dos organismos de certificação, dos deveres previstos no artigo 43.º do RGPD; u) A violação do disposto no artigo 19.º da presente lei”. 735 _{De acordo com o Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018, da C.N.P.D. [Consulta em 20 de} fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2GrYSjQ. Pág. 50.

150

5, al. b), do R.G.P.D., sanciona-se como contraordenação muito grave a violação dos

direitos dos titulares dos dados nos termos dos arts. 12.º a 22.º736_{, não se}

distinguindo, nem se deixando espaço para distinguir em função dos elementos informativos omitidos. Consequentemente, sempre teriam de ser eliminados os arts. 37.º, n.º 1, al. h), e 38.º, n.º 1, al. b), da Proposta de Lei de Proteção de Dados Pessoais737_.

Acresce que, onde a Proposta de Lei de Proteção de Dados Pessoais podia ter previsto autonomamente comportamentos sancionáveis, limitou-se a qualificar como contraordenação muito grave, nos termos do art. 37.º, n.º 1, al. l), da Proposta de Lei de Proteção de Dados Pessoais, “[a] violação das regras previstas no capítulo VI da presente lei”738_{. Com efeito, no art. 37.º, n.º 1, al. l), da Proposta de Lei de}

Proteção de Dados Pessoais, há uma total ausência de especificação das condutas que, no âmbito do Capítulo VI da presente Proposta de Lei, justificam a qualificação como contraordenação muito grave, em violação do princípio da tipicidade dos

ilícitos739_{. De entre os diferentes artigos previstos nesse capítulo – os quais já}

enunciamos – só se consegue encontrar obrigações suficientemente densificadas cuja violação pode originar uma sanção nos seguintes artigos (alguns dos quais apenas após alteração da sua redação): no art. 24.º, apenas o disposto no n.º 6, que consagra que “[o] exercício da liberdade de expressão não legitima a divulgação de dados pessoais como moradas e contactos, à exceção daqueles que sejam de conhecimento generalizado”; no art. 25.º, apenas o n.º 2, que dispõe que “[s]empre que o dado pessoal nome seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados outros dados pessoais”; o art. 27.º, que prevê que “[n]o âmbito da contratação pública, e caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do

736 _{Para contextualizar, o art. 12.º do R.G.P.D. refere-se à transparência das informações, das comunicações e das regras para}

exercício dos direitos dos titulares dos dados, o art. 13.º do R.G.P.D. consagra as informações a facultar quando os dados pessoais são recolhidos junto do titular, o art. 14.º do R.G.P.D. prevê as informações a facultar quando os dados pessoais não são recolhidos junto do titular, o art. 15.º do R.G.P.D. dispõe sobre o direito de acesso do titular dos dados, o art. 16.º do R.G.P.D. diz respeito ao direito de retificação, o art. 17.º do R.G.P.D. estipula o direito ao apagamento dos dados («direito a ser esquecido»), o art. 18.º do R.G.P.D. dedica-se ao direito à limitação do tratamento, o art. 19.º do R.G.P.D. refere a obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento, o art. 20.º do R.G.P.D. consagra o direito de portabilidade dos dados, o art. 21.º do R.G.P.D. prevê o direito de oposição e o art. 22.º do R.G.P.D. dispõe sobre as decisões individuais automatizadas, incluindo definição de perfis.

737 _{No mesmo sentido, veja-se o Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018, da C.N.P.D. [Consulta em} 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2GrYSjQ. Pág. 50.

738 _{Ibidem, pág. 50.} 739 _{Ibidem, pág. 50.}

151

contraente público e do cocontratante”; no art. 28.º, nos n.os _{4, 5, 7 e 8, que}

consagram que “[a]s imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou outros meios tecnológicos de vigilância à distância, nos termos previstos no artigo 20.º do Código do Trabalho, só podem ser utilizadas no âmbito do processo penal” (n.º 4), “[n]os casos previstos no número anterior, as imagens gravadas e outros dados pessoais podem também ser utilizados para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no âmbito do processo penal” (n.º 5), “[a] transferência de dados pessoais de trabalhadores entre empresas que se encontrem em relação de domínio ou de grupo, ou mantenham estruturas organizativas comuns, só é lícita nos casos de cedência ocasional de trabalhador e na medida que seja proporcional, necessária e adequada aos objetivos a atingir” (n.º 7) e “[o]s dados pessoais de trabalhadores podem ainda ser transferidos, nos termos do número anterior, nas situações de cedência de trabalhador por parte de empresa de trabalho temporário e de destacamento para outro Estado” (n.º 8), respetivamente; no art. 28.º, n.º 6 (ou no novo artigo que venha regular os tratamentos de dados biométricos), que dispõe que “[o] tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do

empregador”, depois de serem especificados os limites do tratamento740_.

Resulta ainda dos arts. 37.º, n.º 1, al. k)741_{, e 52.º}742_{, da Proposta de Lei de}

Proteção de Dados Pessoais que uma mesma conduta – o incumprimento de ordens ou proibições da C.N.P.D. – é sancionada como contraordenação e como crime. Assim, por consideração do princípio ne bis in idem¸ importaria corrigir o disposto no art. 37.º, n.º 1, al. k), da Proposta de Lei de Proteção de Dados Pessoais, ou eliminar o art. 52.º da Proposta de Lei de Proteção de Dados Pessoais.

De acordo com a C.N.P.D.743_{, o R.G.P.D. reconhece aos Estados-Membros}

autonomia para definir sanções com outra natureza para as infrações que estão

740 _{Ibidem, págs. 50-51.}

741 _{In verbis: “1 – Constituem contraordenações muito graves: […] k) O incumprimento das decisões da autoridade de controlo} previstas no n.º 2 do artigo 58.º do RGPD, ou recusa da colaboração que lhe seja exigida pela CNPD, no exercício dos seus poderes”.

742 _{Segundo o qual: “1 – Quem não cumprir as obrigações previstas no RGPD e na presente lei, depois de ultrapassado o prazo} que tiver sido fixado pela CNPD para o respetivo cumprimento, é punido com pena de prisão até um ano ou com pena de multa até 120 dias. 2 – A pena é agravada para o dobro nos seus limites se, depois de notificado para o efeito, o agente: a) Não interromper, cessar ou bloquear o tratamento ilícito de dados; b) Não proceder ao apagamento ou destruição dos dados quando legalmente exigível, ou findo o prazo de conservação fixado nos termos da presente lei; ou c) Recusar, sem justa causa, a colaboração que lhe for exigida nos termos do artigo 8.º da presente lei”.

743 _{No seu Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018. [Consulta em 20 de fevereiro de 2019].} Disponível para consulta em: http://bit.ly/2GrYSjQ. Pág. 51.

152

previstas no seu art. 83.º e, por isso, pode o legislador nacional prever como crime

as infrações previstas no art. 83.º, n.º 5, al. e), e n.º 6, do R.G.P.D.744_{, opção seguida}

na Proposta de Lei de Proteção de Dados Pessoais. Pelo que, de acordo com a

C.N.P.D.745_{, o que deverá evitar-se é qualificar a mesma conduta, sem qualquer}

distinção, como crime e contraordenação. Assim, apenas fará sentido manter-se como contraordenação a recusa de colaboração com a C.N.P.D., consagrada no art. 37.º, n.º 1, al. k), da Proposta de Lei de Proteção de Dados Pessoais. Simplesmente, como essa infração vem qualificada como contraordenação grave, cfr. resulta da conjugação dos arts. 83.º, n.º 4, al. a), e 31.º, do R.G.P.D., o legislador nacional

português não a pode elevar a contraordenação muito grave, segundo a C.N.P.D.746_.

Ora, salvo melhor entendimento, não nos parece certo este raciocínio, uma vez que, tendo em especial consideração a ressalva prevista no art. 84.º, n.º 1, do R.G.P.D., segundo a qual “[o]s Estados-Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente às violações que não são sujeitas a coimas nos termos do artigo [83.º] […]”, este Regulamento apenas reconhece aos Estados-Membros autonomia para definir sanções com outra natureza para as infrações que não estejam previstas no seu art. 83.º. Assim, à primeira vista, a solução correta parece ser a de eliminar o art. 52.º da Proposta de Lei de Proteção de Dados Pessoais. Porém, por outro lado, bem sabemos, que a incorporação da desobediência como crime se deve a razões de coerência legislativa, uma vez que praticamente todas as leis preveem o crime de desobediência. Ainda assim, parece-nos que fará mais sentido manter-se como contraordenação o incumprimento das decisões da autoridade de controlo previstas no art.º 58.º, n.º 2, do R.G.P.D. e a recusa de colaboração com a C.N.P.D., consagrados no art. 37.º, n.º 1, al. k), da Proposta de Lei de Proteção de Dados Pessoais, e, uma vez que essa infração vem qualificada como contraordenação muito grave no R.G.P.D., como resulta da conjugação dos seus arts. 83.º, n.º 4, al. a), e 31.º, o

744 _{O art. 83.º, n.º 5, al. e), e n.º 6, do R.G.P.D. estipula o seguinte: “5. A violação das disposições a seguir enumeradas está sujeita,} em conformidade com o n.º 2, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado: […] e) O incumprimento de uma ordem de limitação, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo nos termos do artigo 58.º, n.º 2, ou o facto de não facultar acesso, em violação do artigo 58.º, n.º 1. 6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.º, n.º 2, está sujeito, em conformidade com o n.º 2 do presente artigo, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado”.

745 _{No seu Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018. [Consulta em 20 de fevereiro de 2019].} Disponível para consulta em: http://bit.ly/2GrYSjQ. Pág. 51.

153

legislador nacional português pode e deve qualificá-la como contraordenação muito grave, conforme fez na presente Proposta de Lei.

4.3. A danosidade social das contraordenações no âmbito de um