O âmbito de incidência subjetiva do regime sancionatório do Regulamento

No que respeita às infrações, em primeiro lugar, é de destacar a manutenção da dúvida acerca do seu âmbito de incidência subjetiva, que a Proposta de

Regulamento já suscitava616_{. A Proposta de Regulamento e o Regulamento}

preocupavam-se em definir «empresa» («enterprise») e «grupo de empresas» ou «grupo empresarial» («group of undertakings») “[p]ara os efeitos do presente

regulamento”617_{. Segundo o art. 4.º, n.º 15, da Proposta de Regulamento, «empresa»,}

é definida como “qualquer entidade que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo, nomeadamente, as pessoas singulares e coletivas, as sociedades ou associações que exercem regularmente uma atividade económica” e segundo o art. 4.º, n.º 18, do R.G.P.D., «empresa», é definida como “uma

616 _{De acordo com MOUTINHO, José Lobo; RAMALHO, David Silva – Notas sobre..., op. cit., págs. 29-30.} 617 _{No art. 4.º, n.}os _{15 e 16, da Proposta de Regulamento, e no art. 4.º, n.}os _{18 e 19, do R.G.P.D.}

126

pessoa singular ou coletiva que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo as sociedades ou associações que exercem regularmente uma atividade económica”, e, cfr. os arts. 4.º, n.º 16, da Proposta de Regulamento, e 4.º, n.º 19.º, do R.G.P.D., «grupo de empresas» ou «grupo empresarial» é definido como “um grupo composto pela empresa que exerce o controlo e pelas empresas controladas”. Sendo que, de acordo com o considerando n.º 28 da Proposta de Regulamento, a empresa que exerce o controlo é “a que pode exercer uma influência dominante sobre as outras empresas, por exemplo, em virtude da propriedade, participação financeira ou das regras que a regem ou da faculdade de fazer aplicar as regras relativas à proteção de dados pessoais”.

Acontece que, quando, no art. 79.º, n.os _{4, 5 e 6, da Proposta de Regulamento,}

e no art. 83.º, n.os _{4, 5 e 6, do R.G.P.D., o legislador da União Europeia delimita o}

quantum das sanções administrativas pecuniárias abstratamente aplicáveis, fixa-as

em função da percentagem do volume de negócios mundial anual da «empresa» («enterprise»), nada dizendo quanto ao «grupo de empresas» ou «grupo

empresarial» («group of undertakings»)618_{. A conjugação do disposto nestes artigos}

com as definições de «empresa» e de «grupo de empresas» ou «grupo empresarial»

supra referidas suscita a dúvida de saber se o volume de negócios mundial anual da

empresa que releva no cálculo da sanção deverá ou não ter em consideração o volume de negócios de outras empresas com as quais esta tenha relação, designadamente com a empresa que eventualmente exerça o controlo sobre a empresa a quem se imputa a infração ou com uma sociedade «irmã». Ou seja: se a empresa a quem se imputa a infração, não obstante ser dotada de personalidade jurídica, for simplesmente uma empresa integrada num grupo multinacional e, consequentemente, for dominada por outra empresa, será sustentável o entendimento segundo o qual o cálculo do volume de negócios mundial anual poderá traduzir-se no volume de negócios nacional desta empresa, descurando o

volume de negócios das demais empresas com as quais se encontre ligada?619

Cumpre referir que, no contexto sancionatório, o Regulamento não usa a expressão «empresa» no sentido que lhe é dado pelo seu art. 4.º, n.º 18. Na verdade, as coimas são diferenciadas consoante sejam ou não aplicáveis a uma «empresa»,

618 _{No mesmo sentido, vide MOUTINHO, José Lobo; RAMALHO, David Silva – Notas sobre..., op. cit., pág. 29.} 619 _{Ibidem, pág. 30.}

127

cfr. o art. 83.º, n.os _{4, 5 e 6, do R.G.P.D. Ora, se a expressão «empresa» estivesse a ser}

usada no sentido do art. 4.º, n.º 18, do R.G.P.D., faltaria a previsão do caso dos «grupos empresariais», tal como já se referiu anteriormente no contexto da Proposta de Regulamento relativamente ao «grupo das empresas». O considerando n.º 150 do R.G.P.D. parece pretender esclarecer este mistério ao afirmar que “[…] [s]empre que forem impostas coimas a empresas, estas deverão ser entendidas como empresas nos termos dos artigos 101.º e 102.º do TFUE para esse efeito”. Portanto, podem ser sancionadas empresas ou podem ser “impostas coimas a pessoas que não sejam empresas” nesse sentido, de acordo com o considerando n.º

150 do R.G.P.D.620_.

Já é surpreendente que se pretenda que a definição de um elemento de uma

norma sancionatória – o sujeito (agente e responsável)621 _{–, enquanto tal coberto}

pelo princípio da legalidade, seja dada num simples considerando, sem força

vinculativa622_{. Sucede, ainda por cima, que a aplicação das regras do T.F.U.E., para as}

quais se apela para a definição do conceito de «empresa», versam sobre práticas anti concorrenciais e, embora usem a expressão «empresa», não incluem expressamente qualquer definição da mesma, a qual é dada, ainda que na sequência do direito da

União Europeia e da jurisprudência do Tribunal de Justiça623 _{– que entende por}

«empresa» uma unidade económica, que pode ser constituída pela empresa-mãe e por todas as eventuais filiais – pelos direitos nacionais (entre nós, o art. 3.º do

620 _{Cfr. MOUTINHO, José Lobo – Legislador português..., op. cit., pág. 49.}

621 _{Sobre o sujeito agente e responsável pela infração como elemento da norma incriminadora, conquanto não do tipo de crime,}

vide MOUTINHO, José Lobo – Da unidade à pluralidade dos crimes no Direito Penal Português. Lisboa, Portugal: Universidade

Católica Editora, 2005. Págs. 253 e seguintes.

622 _{Segundo MOUTINHO, José Lobo – Legislador português..., op. cit., pág. 49.}

623 _{De acordo com ABREU, Jorge Coutinho de, in AA. VV. (coord.); GORJÃO-HENRIQUES, Miguel (dir.) – Lei da Concorrência –}

Comentário Conimbricense. Coimbra, Portugal: Almedina, maio de 2013. Pág. 34, e nota 3. Em conformidade com o direito e a

jurisprudência da União Europeia, por «empresa» deve entender-se uma unidade económica que exerça atividades comerciais/económicas, independentemente da pessoa coletiva em causa, cfr. o GRUPO DE TRABALHO DO ART. 29.º DA DIRETIVA 95/46/CE PARA A PROTEÇÃO DE DADOS – Diretrizes de aplicação e fixação de coimas para efeitos do Regulamento

2016/679, 17/PT, WP 253, adotadas em 3 de outubro de 2017. [Consulta em 20 de fevereiro de 2019]. Disponível para consulta

em: http://bit.ly/2VRYiCx. Pág. 6. A definição constante da jurisprudência do T.J.U.E., nomeadamente no Acórdão (Sexta Secção), de 23 de abril de 1991, Processo n.º 41/90, Klaus Höfner e Fritz Eiser contra Macrotron GmbH. [Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2UHWcJ6, é a seguinte: “[o] conceito de empresa abrange qualquer entidade que exerça uma atividade económica, independentemente do seu estatuto jurídico e modo de funcionamento”. E acrescenta ainda o Acórdão do T.J.U.E. (Terceira Secção), de 14 de dezembro de 2006, Processo n.º 217/05,

Confederación Española de Empresarios de Estaciones de Servicio contra Compañía Española de Petróleos SA. [Consulta em 20

de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2GuJ7tW que o conceito de «empresa» “[…] deve ser entendido como designando uma unidade económica [...] mesmo que, do ponto de vista jurídico, essa unidade económica seja constituída por várias pessoas singulares ou coletivas”.

128

Regime Jurídico da Concorrência, aprovado pela Lei n.º 19/2012, de 8 de Maio [R.J.C.]624₎625_.

Fica-se, assim, na dúvida sobre a noção de «empresa» utilizada nas normas

sancionadoras. Dúvida que, em termos práticos, traz consigo a indeterminação

sobre a sanção a aplicar a empresas integradas em grupos, uma vez que a coima a aplicar às «empresas» tem como máximo uma percentagem do seu “volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior”, cfr.

o art. 83.º, n.os _{4, 5 e 6, do R.G.P.D., e este é naturalmente diferente consoante se}

considere a empresa em si e por si ou o grupo de empresas em que ela se insira626_.

Mais uma tarefa, portanto, para o legislador nacional aquando da tão

esperada adaptação legislativa ao R.G.P.D.627_.

Ainda a propósito do âmbito de incidência subjetiva das infrações, cumpre referir que, de acordo com o art. 44.º, n.º 1, da Proposta de Lei de Proteção de Dados Pessoais, as coimas previstas no R.G.P.D. e na própria Proposta de Lei não se aplicam

às entidades públicas628_{, invocando como fundamento o disposto no art. 83.º, n.º 7,}

do R.G.P.D.629/630_{. É certo que o art. 83.º, n.º 7, do R.G.P.D. admite que os Estados-}

Membros definam se as autoridades e os organismos públicos estabelecidos no seu território ficam sujeitos a coimas e em que medida, cfr. o considerando n.º 150 do

R.G.P.D.631_{, pelo que uma disposição como a do art. 44.º da Proposta de Lei de}

624 _{De acordo com o qual se considera «empresa» “[…] qualquer entidade que exerça uma atividade económica que consista} na oferta de bens ou serviços num determinado mercado, independentemente do seu estatuto jurídico e do seu modo de financiamento” (n.º 1) e «uma única empresa» “[…] o conjunto de empresas que, embora juridicamente distintas, constituem uma unidade económica ou mantêm entre si laços de interdependência decorrentes, nomeadamente: a) De uma participação maioritária no capital; b) Da detenção de mais de metade dos votos atribuídos pela detenção de participações sociais; c) Da possibilidade de designar mais de metade dos membros do órgão de administração ou de fiscalização; d) Do poder de gerir os respetivos negócios” (n.º 2).

625 _{Nestes termos, veja-se MOUTINHO, José Lobo – Legislador português..., op. cit., pág. 50.} 626 _{Ibidem, pág. 50.}

627 _{Ibidem, pág. 50.}

628 _{Acresce que, após três anos de vigência da lei, este regime será reavaliado, de acordo com o art. 59.º da Proposta de Lei de} Proteção de Dados Pessoais. Todavia, é um facto que, até à presente data, a C.N.P.D. aplica sanções a entidades públicas, embora seja comum em congéneres europeias tal não ocorrer, e parece-nos ainda precipitado afirmar que o Parlamento aprovará a Proposta de Lei de Proteção de Dados Pessoais no que toca à fixação de um período de isenção, sem precedentes, para posterior reapreciação, uma vez que não nos parece correta a não obrigação de pagamento de coimas por parte da Administração Pública, nos casos de acesso não autorizado a dados pessoais ou abusos no tratamento da informação, quando para todos os restantes «mortais» as sanções, através da aplicação de coimas e medidas corretivas, são as que já se conhecem. No mesmo sentido, veja-se PINHEIRO, Alexandre Sousa, em O RGPD aplica-se…, op. cit., pág. 8.

629 _{Segundo o qual “[s]em prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.º, n.º 2, os} Estados-Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território”.

630 _{Contudo, cfr. o art. 44.º, n.º 2, da Proposta de Lei de Proteção de Dados Pessoais, as entidades públicas estão sujeitas aos} poderes de correção da C.N.P.D., tal como previstos no art. 58.º, n.º 2, do R.G.P.D. e na presente Proposta de Lei, com a exceção da aplicação de coimas (art. 58.º, n.º 2, al. i), do R.G.P.D.), e estão também obrigadas a indemnizar os titulares dos dados pessoais pelos prejuízos que venham a causar-lhes, nos termos do art. 33.º, n.º 3, da Proposta de Lei de Proteção de Dados Pessoais, e da Lei n.º 67/2007, de 31 de dezembro.

631 _{De acordo com o qual “[…] [d]everá caber aos Estados-Membros determinar se as autoridades públicas deverão estar} sujeitas a coimas, e em que medida […]”.

129

Proteção de Dados Pessoais não viola o teor literal do R.G.P.D. Todavia, importa

compreender a ratio do art. 83.º, n.º 7, do R.G.P.D.632_.

Na verdade, a Diretiva 95/46/CE, mais concretamente, o seu art. 24.º, que o R.G.P.D. vem revogar, deu autonomia aos Estados-Membros para definirem as medidas adequadas para assegurar a plena aplicação do regime nela definido,

exemplificando com a previsão da aplicação de sançõesem caso de violação das

disposições adotadas nos termos da Diretiva. Nessa sequência, porém, alguns Estados-Membros não previram, nas respetivas legislações nacionais, sanções para o incumprimento do regime de proteção de dados pessoais por parte de entidades públicas. É essa realidade que o R.G.P.D. toma em conta, quando admite que a lei nacional não preveja, ou preveja numa determinada medida, coimas para as

entidades públicas633_.

Ora, a opção legislativa assumida no ordenamento jurídico português foi, desde 1991, a de estabelecer o mesmo e exato regime jurídico de proteção de dados pessoais para todos os responsáveis pelo tratamento desses dados,

independentemente da natureza jurídica privada ou pública dos mesmos634_{. Para}

afastar uma tal tradição jurídica e criar um regime diferenciado para as entidades públicas em matéria de sanções, seria de esperar que a Proposta de Lei de Proteção de Dados Pessoais apresentasse motivos pertinentes exclusivos das entidades

públicas e que, portanto, se não verificassem quanto a entidades privadas635_.

Estranhamente, tal opção não vem especificamente fundamentada na Exposição de

Motivos da Proposta de Lei de Proteção de Dados Pessoais636_{, apenas se referindo}

genericamente que, em face do “paradigma que esteve subjacente ao legislador europeu [que] foi o das grandes multinacionais que gerem redes sociais ou aplicações informáticas à escala global, envolvendo a recolha e utilização intensivas de dados pessoais”, “[…] algumas das soluções jurídicas que foram plasmadas para esse universo revelam-se por vezes desproporcionadas ou mesmo desadequadas para a generalidade do tecido empresarial nacional e para a Administração Pública,

632 _{Neste sentido, vide o Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018, da C.N.P.D. [Consulta em 20 de} fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2GrYSjQ. Pág. 28.

633 _{Veja-se, aliás, como já vimos, no considerando n.º 151 do R.G.P.D., a referência a dois ordenamentos jurídicos onde não} existem sanções pecuniárias para ilícitos administrativos ou de mera ordenação social.

634 _{De acordo com o Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018, da C.N.P.D. [Consulta em 20 de} fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2GrYSjQ. Pág. 28.

635 _{Ibidem, pág. 28.}

130

aos quais o RGPD, todavia, também se aplica”, acrescentando que “[…] a aplicação deste regulamento resultará em encargos administrativos elevados, que em muitos casos não se encontram suficientemente justificados pelos benefícios obtidos com o

novo regime de proteção de dados pessoais relativamente ao regime atual”637_.

Não se desconhecendo que o R.G.P.D. tem também em vista acautelar os dados pessoais dos cidadãos no âmbito das atividades comerciais de empresas multinacionais, não se afigura exato afirmar que o paradigma subjacente às opções nele vertidas sejam as grandes multinacionais. Por outras palavras, o R.G.P.D. não pretende apenas regular, ou regular sobretudo, os tratamentos de dados pessoais de grandes empresas, porque esses tratamentos não têm necessariamente maior impacto sobre os direitos fundamentais dos cidadãos do que os tratamentos realizados por entidades públicas, que tratam dados à escala nacional e relativos ao universo populacional de um país, não tendo os cidadãos, na maior parte dos casos, como em relação a entidades privadas, alternativa ou possibilidade de escolha. Como também não pretende apenas sancionar as entidades que se dedicam a realizar lucro à custa da recolha e análise da informação sobre as pessoas, abrangendo também todas as entidades que recolhem e analisam a informação sobre as pessoas para finalidades não lucrativas, públicas ou privadas. Em rigor, o que o R.G.P.D. toma como paradigma é a tecnologia disponível hoje para a realização de tratamentos de dados pessoais e, portanto, procura regular a utilização de soluções tecnológicas no seu estado atual de desenvolvimento e, previsivelmente, futuro638_.

Assim, o regime do R.G.P.D., o qual foi aprovado também pelo Estado português, no seio das instituições europeias que intervieram no respetivo procedimento legislativo, está pensado tanto para as empresas globais, que se dedicam a processar dados pessoais, como para todos aqueles que, a nível global ou local, desenvolvem atividades que implicam tratamentos de dados pessoais, porque

todas elas têm impacto sobre os direitos fundamentais dos cidadãos639_{. Desse ponto}

de vista, importa destacar que os tratamentos de dados pessoais realizados pelas entidades públicas (bastando, para o efeito, pensar no Estado e nos vários

637 _{Cfr. o Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018, da C.N.P.D. [Consulta em 20 de fevereiro de} 2019]. Disponível para consulta em: http://bit.ly/2GrYSjQ. Págs. 28-29.

638 _{Ibidem, pág. 29.} 639 _{Ibidem, pág. 29.}

131

Ministérios que o compõem) são tão ou mais intensamente intrusivos da privacidade e da liberdade dos cidadãos, do que os levados a cabo por entidades privadas, e portanto tão ou mais potencialmente restritivos de direitos

fundamentais dos cidadãos640_{,pelo que os riscos para aproteção e segurança dos}

dados pessoais se afirmam nesse contexto com tanta ou mais intensidade do que no

âmbito de atividades de entidades privadas641_.

Sendo certo que, na perspetiva da tutela dos direitos fundamentais dos titulares dos dados pessoais, que é a que aqui nos interessa a título principal, a aplicação de uma sanção ou, pelo menos, a possibilidade de aplicação de uma sanção tem uma função dissuasora da violação ou da reiteração da violação daqueles direitos e a exclusão de entidades públicas do regime sancionatório deixa fragilizados os titulares dos dados pessoais em relação aos tratamentos desses

dados realizados pelo Estado e demais entidades públicas642_.

Acresce que a afirmação, na Exposição de Motivos da Proposta de Lei de

Proteção de Dados Pessoais643_{, de que “[…] a aplicação deste regulamento resultará}

em encargos administrativos elevados, que em muitos casos não se encontram suficientemente justificados pelos benefícios obtidos com o novo regime de proteção de dados pessoais relativamente ao regime atual”, constitui uma afirmação de princípio de que as ponderações do legislador europeu vertidas no R.G.P.D. não tiveram um resultado equilibrado e de que, por isso, às entidades públicas compensará, numa primeira fase de aplicação do R.G.P.D., como decorre da conjugação dos arts. 44.º, n.º 1, e 59.º da Proposta de Lei, não cumprir o Regulamento. Ora, a expressão deste juízo não só incentiva as entidades públicas a retardar o cumprimento do R.G.P.D., como corre o risco de inspirar as entidades privadas a seguir o mesmo trilho, para além de pôr em xeque o papel e atuação do

Estado português enquanto colegislador no seio do Conselho da Europa644_.

Neste seguimento, é também de salientar que o Estado, as pessoas coletivas no exercício de prerrogativas de poder público e as organizações de direito internacional público não são responsáveis pelos crimes previstos na Proposta de

640 _{Ibidem, pág. 29.} 641 _{Ibidem, págs. 29-30.} 642 _{Ibidem, pág. 30.}

643 _{[Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2Gubok0.}

644 _{Cfr. o Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018, da C.N.P.D. [Consulta em 20 de fevereiro de} 2019]. Disponível para consulta em: http://bit.ly/2GrYSjQ. Pág. 30.

132

Lei, nos termos do disposto no art. 54.º da Proposta de Lei de Proteção de Dados

Pessoais645 _{e, mesmo conhecendo-se que o art. 11.º do C.P. afasta, enquanto lei geral,}

a responsabilidade criminal das pessoas coletivas públicas, a C.N.P.D. reitera que a lesão dos bens fundamentais protegidos pelo R.G.P.D. e pela Proposta de Lei pode ser perpetrada com tanta ou mais intensidade por entidades públicas do que por entidades privadas, considerando ainda que a missão que a C.R.P. atribui ao Estado português na defesa daqueles bens fundamentais justificaria uma maior

responsabilização deste e não a sua isenção646_.

Não se vê, portanto, razão para excluir do regime sancionatório

contraordenacional e penal as entidades públicas647_{.Sob pena de ter de se concluir}

pela violação do princípio da igualdade, consagrado no art. 13.º da C.R.P., uma mesma restrição do direito fundamental à proteção de dados pessoais de um concreto cidadão, em violação do R.G.P.D., da Constituição portuguesa e da legislação nacional portuguesa, perpetrada por uma entidade privada justifica a aplicação de uma sanção pecuniária a esta entidade, e o mesmo sucede quando

realizada por uma entidade pública648_{. Refere-se ainda que, ao contrário do que}

sucede noutros ordenamentos jurídicos nacionais no seio da União Europeia, onde a suscetibilidade de uma entidade pública aplicar sanções pecuniárias a outra entidade pública constituiria uma novidade, colocando, portanto, novos desafios jurídicos, designadamente no plano orçamental e de gestão de contas públicas, essa

previsão em Portugal não importa qualquer novidade649_{. Aliás, importa lembrar}

que, no ordenamento jurídico nacional, essa possibilidade não está restrita ao regime sancionatório contraordenacional. Recorde-se que o Estado português aprovou, no âmbito da reforma do contencioso administrativo, em 2002, uma norma que sujeita as entidades públicas à obrigação de pagar custas judiciais, no âmbito dos processos em que sejam parte. E, na recente Proposta de Lei n.º 119/XIII/3.ª, do Governo, que estabelece o regime jurídico da segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho Europeu, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de

645 _{Porém, no nosso entendimento, tal não exclui a responsabilidade penal dos trabalhadores em funções públicas que tenham} praticado atos ou omissões tipificados como crimes.

646 _{De acordo com o Parecer n.º 20/2018, de 2 de maio de 2018, Processo n.º 6275/2018, da C.N.P.D. [Consulta em 20 de} fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2GrYSjQ. Pág. 30.

647 _{Ibidem, pág. 30.} 648 _{Ibidem, págs. 30-31.} 649 _{Ibidem, pág. 31.}

133

segurança das redes e da informação em toda a União Europeia, a solução encontrada foi a de sancionar as entidades públicas, sem portanto entender que a necessidade de regulação da tecnologia é mais intensa no setor privado do que no

setor público650_{. Não existem, pois, questões jurídicas ou de natureza financeira}

novas que possam justificar esta solução discriminatória651_.

No documento O regime sancionatório da proteção de dados pessoais: paradigma ou paradoxo? (páginas 139-147)