Os amplos poderes sancionatórios (lato sensu) das entidades administrativas

De todo o modo, se podemos concretizar alguns traços característicos da regulação das infrações em matéria de proteção de dados pessoais nos últimos anos, um deles será, seguramente, o robustecimento do direito de mera ordenação social (ou, mais amplamente, do direito administrativo repressivo ou sancionador, para abrangermos igualmente os ordenamentos jurídicos que não conhecem o ilícito de mera ordenação social), com a sua difusão a um número cada vez maior de áreas da atuação humana, que tem sido concomitante com o afastamento da intervenção direta do Estado sobre a proteção de dados pessoais e a consolidação do recurso a pessoas coletivas de direito público com a natureza de entidades administrativas independentes. Uma tal transferência fez gravitar para a esfera destas entidades um conjunto de exigências de muita significância, consubstanciando uma deslocação do

poder repressivo para as autoridades administrativas independentes761_.

Na verdade, em sentido consentâneo com a tendência de conformidade com o direito à proteção de dados pessoais na União Europeia, o regime jurídico em matéria de proteção de dados pessoais português tem vindo a reconhecer um ampliado leque de prerrogativas às autoridades administrativas independentes.

758 _{Cfr. MOUTINHO, José Lobo; RAMALHO, David Silva – Notas sobre..., op. cit., pág. 29.}

759 _{Nos Acórdãos do T.C. n.º 244/99, de 29 de abril de 1999, Processo n.º 234/97. [Consulta em 20 de fevereiro de 2019].} Disponível para consulta em: http://bit.ly/2KNP615; n.º 303/05, de 8 de junho de 2005, Processo n.º 242/05. [Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2UKXKBQ; e n.º 375/05, de 7 de julho de 2005, Processo n.º 337/05. [Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2VTVBQO.

760 _{No mesmo sentido, veja-se MOUTINHO, José Lobo; RAMALHO, David Silva – Notas sobre..., op. cit., pág. 29.}

761 _{Já LOUREIRO, Flávia Noversa, sublinhava esta tendência, em Os poderes de investigação…, op. cit., págs. 229 e seguintes,} fazendo a sua análise e crítica, em Direito Penal da Concorrência…, op. cit., págs. 217-220 e 225 e seguintes. Chamando a atenção para a mesma problemática, veja-se BONFILS, Philippe – Les frontières du droit penal des affaires. Revue Pénitentiaire et de Droit Pénal. N.º 2, abril-junho de 2011, págs. 325-330.

159

O art. 35.º, n.º 2, in fine, da C.R.P. prescreve que a lei ordinária garante a proteção de dados pessoais, “[…] designadamente através de entidade administrativa independente”. Isto significa que, apesar de a garantia de proteção de dados pessoais não ser exclusiva de uma tal entidade – uma vez que, estando em causa um direito fundamental, a sua garantia caberá sempre também aos tribunais, como é típico da estrutura de um Estado de Direito –, esta proteção será essencialmente garantida por aquela entidade. Ao reportar-se a «entidade administrativa independente», a C.R.P. confere duas características fundamentais à entidade em questão. Por um lado, trata-se de uma entidade administrativa e, por

isso, encontra-se integrada na Administração Indireta do Estado762_{. Nessa}

qualidade, as decisões por ela tomadas em casos concretos possuem a natureza de atos administrativos, dotados de executoriedade e de vinculatividade próprias destes. Contudo, enquanto tais, são naturalmente recorríveis para os tribunais, como não poderia deixar de suceder num Estado de Direito. E, por outro lado, importa salientar o carácter independente da entidade em causa, o que implica que nenhuma instituição ou entidade pode opor-se à existência da mesma, nem pode recusar-lhe os poderes a ela atribuídos por força do R.G.P.D., e que a entidade em causa não pode receber instruções, nem sequer recomendações, de qualquer outra instituição ou entidade, nomeadamente do poder executivo, ou sequer do poder

legislativo763_{. Também o R.G.P.D. dota as autoridades de controlo daquilo a que}

chama um «estatuto independente», cfr. os seus arts. 51.º seguintes. Portanto, materialmente, estamos perante o figurino essencial de uma autoridade administrativa (ou pública) independente, de acordo com o art. 51.º, n.º 1, do

R.G.P.D., com tudo o que isso implica764_.

Como se pode verificar, tendo em consideração a redação do art. 35.º, n.º 2,

da C.R.P.765_{, também aqui o legislador ordinário foi estimulado, através de um}

verdadeiro impulso legislativo, a criar esta entidade administrativa

independente766_{. Assim, consagrada nos arts. 4.º e seguintes, da Lei de Proteção de}

762 _{Cfr. SILVEIRA, Luís Lingnau da – “Configuração constitucional…”, op. cit., pág. 511.} 763 _{Ibidem, pág. 512.}

764 _{Cumpre referir, a este respeito, que, muito embora a C.N.P.D. seja uma entidade administrativa independente, esta não está} abrangida pela Lei n.º 67/2013, de 28 de agosto (Lei-Quadro das Entidades Reguladoras), que, para usar os termos do seu próprio sumário, estabeleceu apenas a Lei-Quadro das Entidades Administrativas Independentes “com funções de regulação da atividade económica”, segundo MOUTINHO, José Lobo – Legislador português..., op. cit., pág. 48.

765 _{A saber: “[a] lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado,} conexão, transmissão e utilização, e garante a sua protecção, designadamente através de entidade administrativa independente”.

160

Dados Pessoais face à Informática, a C.N.P.D.P.I. foi instituída em 1994, através da

Resolução da Assembleia da República n.º 53/94, de 19 de agosto767_{, que resolveu o}

Regulamento da Comissão Nacional de Protecção de Dados Pessoais Informatizados, e veio a conhecer um alargamento de poderes que abrangem os dados pessoais em suporte manual, por força da entrada em vigor da Lei de Proteção de Dados Pessoais, perdendo, assim, na sua denominação, o qualificativo «informatizados», sendo atualmente denominada C.N.P.D. e assumindo a função de autoridade relevante para o controlo e fiscalização do cumprimento das disposições legais e regulamentares em matéria de proteção de dados pessoais. Constatamos, ainda, que o legislador constitucional, no art. 35.º, n.º 2, in fine, da C.R.P., optou pela criação de uma só entidade desta índole, tendo a Diretiva 95/46/CE deixado em aberto a possibilidade de criação e existência de várias ou apenas uma instituição deste tipo em cada

Estado-Membro, cfr. o seu considerando n.º 62 e os seus arts. 28.º e 29.º768_.

De entre as entidades administrativas independentes, assumem para nós especial relevância as autoridades nacionais de controlo de dados pessoais.

Em Portugal, a autoridade nacional de controlo de dados pessoais é a C.N.P.D., que funciona junto da Assembleia da República, quer para aplicação da legislação nacional, quer para efeitos de execução do R.G.P.D. Para o efeito, é necessário adaptar as atribuições e competências da C.N.P.D., previstas na Lei de Proteção de Dados Pessoais, às competências, atribuições e poderes que lhe são conferidos no R.G.P.D., mantendo-se a respetiva composição e regras de

funcionamento769_.

De acordo com o art. 22.º, n.º 1, da Lei de Proteção de Dados Pessoais, a C.N.P.D. tem como atribuição genérica controlar e fiscalizar o cumprimento das disposições legais e regulamentares em matéria de proteção de dados pessoais, em rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei, abrangendo várias atribuições e competências, nomeadamente: a emissão de pareceres (arts. 22.º, n.º 3, al. c), e 23.º, n.º 1, al. a), da Lei de Proteção de Dados Pessoais), o poder de decisão (arts. 10.º, n.º 5, 20.º, 22.º,

767 _{[Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: https://bit.ly/2N5cvfk.} 768 _{Segundo SILVEIRA, Luís Lingnau da – “Configuração constitucional…”, op. cit., pág. 511.}

769 _{Na Proposta de Lei de Proteção de Dados Pessoais, mantém-se os principais traços que compõem a matriz estrutural da} C.N.P.D., a sua natureza de entidade administrativa, bem como a sua independência, cfr. a Exposição de Motivos da Proposta de Lei de Proteção de Dados Pessoais. [Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2Gubok0.

161

n.º 3, al. b), 23.º, n.º 1, als. b), c), d), e), f), h) e n), 27.º, n.º 2, e 28.º, da Lei de Proteção de Dados Pessoais), o poder regulamentar (arts. 23.º, n.º 1, als. f) e l), e n.º 2, da Lei de Proteção de Dados Pessoais), poderes de investigação (arts. 22.º, n.º 3, al. a), e n.º 5, e 23.º, n.º 1, al. k), da Lei de Proteção de Dados Pessoais), entre outras (arts. 11.º, n.os _{2 e 3, 22.º, n.}os _{4 e 5, 23.º, n.º 1, als. j), m), o), e n.º 4, 32.º e 49.º, n.º 1, al. c), da Lei}

de Proteção de Dados Pessoais, arts.23.º e 24.º da Convenção Europol, Lei n.º 69/98,

de 26/10, art. 109.º da Convenção Schengen e arts. 3.º e 6.º da Lei n.º 2/94, de 19 de fevereiro).

De facto, nos termos do disposto no art. 55.º, n.º 1, do R.G.P.D., as autoridades de controlo “[…] são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo [...] regulamento no território do seu próprio Estado-Membro”. Contudo, o R.G.P.D., por sua vez, vai mesmo mais longe do que a Lei de Proteção de Dados Pessoais e estabelece, entre as amplas atribuições

das autoridades de controlo, cfr. o seu art. 57.º, n.º 1770_{, as de: controlar e executar a}

aplicação do Regulamento (al. a)); promover a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento (al. b)); aconselhar o Parlamento nacional, o Governo e outras instituições e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento (al. c)); promover a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações (al. d)); prestar informações a qualquer titular de dados sobre o exercício dos seus direitos e cooperar com as autoridades de controlo de outros Estados-Membros para esse efeito (al. e)); tratar as reclamações apresentadas por qualquer titular de dados, ou

organismo, organização ou associação, nos termos do art. 80.º do R.G.P.D., e

investigar o conteúdo da reclamação e informar o autor da reclamação do andamento e do resultado da investigação num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo (al. f)); cooperar, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista

assegurar a coerência da aplicação e da execução do Regulamento (al. g));conduzir

770 _{Segundo o qual “[s]em prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de} controlo, no território respetivo: […]”.

162

investigações sobre a aplicação do Regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública (al. h)); acompanhar factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais (al. i)); adotar as cláusulas contratuais-tipo previstas no art. 28.º, n.º 8, e no art. 46.º, n.º 2, al. d), do R.G.P.D. (al. j)); elaborar e conservar uma lista associada à exigência de realizar uma avaliação do impacto sobre a proteção de dados, nos termos do art. 35.º, n.º 4, do R.G.P.D. (al. k)); dar orientações sobre as operações de tratamento previstas no art. 36.º, n.º 2, do R.G.P.D. (al. l)); incentivar a elaboração de códigos de conduta, nos termos do art. 40.º, n.º 1, do R.G.P.D., dar parecer sobre eles e aprovar os que preveem garantias suficientes, nos termos do art. 40.º, n.º 5, do R.G.P.D. (al. m)); incentivar o estabelecimento de procedimentos de certificação de proteção de dados, e de selos e marcas de proteção de dados, nos termos do art. 42.º, n.º 1, do R.G.P.D. e aprovar os critérios de certificação, nos termos do art. 42.º, n.º 5, do R.G.P.D. (al. n)); proceder a uma revisão periódica das certificações emitidas, nos termos do art. 42.º, n.º 7, do R.G.P.D. (al. o)); redigir e publicar os critérios de acreditação de um organismo para monitorizar códigos de conduta, nos termos do art. 41.º do R.G.P.D., e de um organismo de certificação, nos termos do art. 43.º do R.G.P.D. (al. p)); conduzir o processo de acreditação de um organismo para monitorizar códigos de conduta, nos termos do art. 41.º do R.G.P.D., e de um organismo de certificação, nos termos do art. 43.º do R.G.P.D. (al. q)); autorizar as cláusulas contratuais e disposições previstas no art. 46.º, n.º 3, do R.G.P.D. (al. r)); aprova as regras vinculativas aplicáveis às empresas, nos termos do art. 47.º do R.G.P.D. (al. s)); contribuir para as atividades do Comité (al. t)); conservar registos internos de violações do Regulamento e das medidas tomadas, nos termos do art. 58.º, n.º 2, do R.G.P.D. (al. u)); e desempenha quaisquer outras tarefas relacionadas com a proteção de dados pessoais (al. v)).

Para efeitos de execução do R.G.P.D. e, no que aqui nos interessa, para efeitos de adaptação das atribuições e competências da C.N.P.D., previstas na Lei de Proteção de Dados Pessoais, às competências, atribuições e poderes que lhe são conferidos no R.G.P.D., encontra-se, como já vimos, em discussão parlamentar a Proposta de Lei de Proteção de Dados Pessoais, que, por sua vez, para além das atribuições das autoridades de controlo previstas no art. 57.º, n.º 1, do R.G.P.D.,

163

consagra as atribuições muito mais amplas, no seu art. 6.º, n.º 1, uma vez que englobam aquelas e as seguintes: a) pronunciar-se, a título não vinculativo, sobre as medidas legislativas e regulamentares relativas à proteção de dados pessoais, bem como sobre instrumentos jurídicos em preparação, em instituições europeias ou

internacionais, relativos à mesma matéria; b) fiscalizar o cumprimento das

disposições do R.G.P.D. e das demais disposições legais e regulamentares relativas à proteção de dados pessoais e dos direitos, liberdades e garantias dos titulares dos dados, e corrigir e sancionar o seu incumprimento; c) disponibilizar uma lista de tratamentos sujeitos à avaliação do impacto sobre a proteção de dados, nos termos do art. 35.º, n.º 4, do R.G.P.D., definindo igualmente critérios que permitam densificar a noção de elevado risco prevista nesse artigo; d) elaborar e apresentar ao C.E.P.D., previsto no R.G.P.D., os projetos de critérios para a acreditação dos organismos de monitorização de códigos de conduta e dos organismos de certificação, nos termos dos arts. 41.º e 43.º do R.G.P.D., e assegurar a posterior publicação dos critérios, caso sejam aprovados; e) acreditar organismos para monitorizar códigos de conduta, nos termos do R.G.P.D., bem como revogar a acreditação sempre que os requisitos deixem de ser cumpridos ou as medidas adotadas violem as normas de proteção de dados; f) cooperar com o Instituto Português de Acreditação, I.P. (I.P.A.C., I.P.), relativamente à aplicação do disposto no art. 14.º da presente Proposta de Lei, bem como na definição de requisitos adicionais de acreditação, tendo em vista a salvaguarda da coerência de aplicação do R.G.P.D.; e g) promover ações de formação adequadas e regulares destinadas aos encarregados de proteção de dados.

Para além disso, o R.G.P.D. consagra que as autoridades de controlo dispõem

de uma tripartição de poderes: de investigação (art. 58.º, n.º 1, do R.G.P.D.)771_{, de}

correção e de sanção (art. 58.º, n.º 2, do R.G.P.D.)772_{, consultivos e de autorização}

771 _{Entre os quais: “a) Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe} forneçam as informações de que necessite para o desempenho das suas funções; b) Realizar investigações sob a forma de auditorias sobre a proteção de dados; c) Rever as certificações emitidas nos termos do artigo 42.º, n.º 7; d) Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento; e) Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções; f) Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros”.

772 _{Tais como: “a) Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de} tratamento previstas são suscetíveis de violar as disposições do presente regulamento; b) Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento; c) Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento; d) Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente

164

(art. 58.º, n.º 3, do R.G.P.D.)773_{, mantendo-se, no essencial, o regime constante do art.}

28.º da Diretiva 95/46/CE, de 24 de outubro de 1995.

Em conformidade, o art. 6.º, n.º 2, da Proposta de Lei de Proteção de Dados Pessoais consagra que a C.N.P.D. exerce as competências previstas no art. 58.º do R.G.P.D.

Porém, cumpre referir que a Diretiva 95/46/CE, posteriormente vertida na Lei de Proteção de Dados Pessoais, assentava num sistema de controlo administrativo prévio, com obrigação de notificação das autoridades de controlo, a que se encontravam vinculadas as entidades responsáveis pelo tratamento de dados pessoais, e, em certos casos, de obtenção de autorização, prevista na lei, por parte dessas autoridades de controlo, para o início da atividade de tratamento de dados

pessoais, de acordo com o considerando n.º 89 do R.G.P.D.774_{. A falta de notificação}

ou de autorização da C.N.P.D. gerava um ilícito contraordenacional, nos termos do art. 37.º, n.º 1, da Lei de Proteção de Dados Pessoais, ou um ilícito criminal, nos termos do art. 43.º, n.º 1, al. a), da Lei de Proteção de Dados Pessoais, até 25 de maio de 2018, data em que o R.G.P.D. passou a ter força obrigatória geral, com produção plena de efeitos.

Com a entrada em vigor e aplicação do R.G.P.D., a obrigação geral de notificação prévia de tratamento de dados pessoais foi suprimida, não sendo necessário solicitar autorização à C.N.P.D. para realizar tratamentos de dados pessoais abrangidos pelo R.G.P.D., passando a C.N.D.P., que tinha poderes de fiscalização sucessiva, a atuar a posteriori em termos de fiscalização, havendo uma

regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado; e) Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais; f) Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição; g) Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.º, 17.º e 18.º, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.º, n.º 2, e do artigo 19.º; h) Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42.º e 43.º, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos; i) Impor uma coima nos termos do artigo 83.º, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso; j) Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais”.

773 _{O art. 58.º, n.º 3, do R.G.P.D. dispõe os seguintes poderes consultivos e de autorização: “a) Aconselhar o responsável pelo} tratamento, pelo procedimento de consulta prévia referido no artigo 36.º; b) Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado- Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais; c) Autorizar o tratamento previsto no artigo 36.º, n.º 5, se a lei do Estado-Membro exigir tal autorização prévia; d) Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40.º, n.º 5; e) Acreditar organismos de certificação nos termos do artigo 43.º; f) Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42.º, n.º 5; g) Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28.º, n.º 8, e no artigo 46.º, n.º 2, alínea d); h) Autorizar as cláusulas contratuais previstas no artigo 46.º, n.º 3, alínea a); i) Autorizar os acordos administrativos previstos no artigo 46.º, n.º 3, alínea b); j) Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47.º”.

774 _{Segundo o qual “[a] Diretiva 95/46/CE estabelece uma obrigação geral de notificação do tratamento de dados pessoais às} autoridades de controlo […]”.

165

mudança de paradigma. Ainda de acordo com o considerando n.º 89 do R.G.P.D., “[…] [as] obrigações gerais e indiscriminadas de notificação deverão […] ser suprimidas e substituídas por regras e procedimentos eficazes mais centrados nos tipos de operações de tratamento suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, devido à sua natureza, âmbito, contexto e finalidades”. Assim, a obrigação geral de notificação foi substituída por uma maior responsabilização, e até por uma responsabilidade ativa, dos responsáveis pelos tratamentos de dados pessoais, seus eventuais subcontratantes e responsáveis conjuntos, através da definição de princípios, do estabelecimento de regras e obrigações, da adoção de medidas técnicas e organizativas e da imposição de processos e procedimentos internos que visam assegurar mais eficazmente a proteção dos dados pessoais objeto de tratamento e lidar com os casos de violação dos mesmos, tendo o R.G.P.D., concomitantemente, agravado os montantes das

sanções abstratas aplicáveis de forma significativa, no seu art. 83.º, n.os _{4, 5 e 6.}

Desta forma, o controlo prévio da legalidade dos tratamentos de dados pessoais é confiado às organizações públicas ou privadas, que passam a responsabilizar-se por todos os tratamentos, durante a totalidade do «ciclo de vida» dos dados pessoais, garantindo, deste modo, a conformidade dos tratamentos com o R.G.P.D. e com toda a legislação complementar em matéria de proteção de dados pessoais. Pese embora o quadro normativo que rodeia a C.N.P.D. não tenha alterado muito, material e substancialmente, o aumento dos princípios, regras, obrigações, medidas técnicas e organizativas, processos e procedimentos internos que recaem sobre as entidades responsáveis pelo tratamento de dados pessoais, bem como as molduras abstratas das coimas a aplicar em caso de violação do direito à proteção