Coimas por violar proteção de dados deixam de depender da dimensão da empresa

 Comissão Nacional de Proteção de Dados deliberou “desaplicar” os artigos que, na lei que executa para Portugal o Regulamento Geral da Proteção de Dados, definem as coimas para infrações graves e muito graves em função da dimensão da empresa....

Coimas por violar proteção de dados deixam de depender da dimensão da empresa
 Comissão Nacional de Proteção de Dados deliberou “desaplicar” os artigos que, na lei que executa para Portugal o Regulamento Geral da Proteção de Dados, definem as coimas para infrações graves e muito graves em função da dimensão da empresa. Numa deliberação aprovada em 03 de setembro, publicada na sua página na Internet, a Comissão Nacional de Proteção da Dados (CNPD) fixa o entendimento de que determinadas normas dessa lei "são manifestamente incompatíveis com o direito da União" e informa que "desaplicará em casos futuros que venha a apreciar, relativos a tratamentos de dados e às condutas dos respetivos responsáveis ou subcontratantes" várias disposições da Lei 58/2019, de 08 de agosto. “Num quadro regulatório que se pretende uniforme no espaço europeu, os limites máximos definidos (…) no RGPD [Regulamento Geral da Proteção de Dados] não podem ser afastados pelos membros da União”, refere a deliberação da CNPD. Entre as disposições que serão “desaplicadas” inclui-se, assim, a que define que as contraordenações muito graves de violação de dados pessoais são puníveis com coimas de cinco mil euros a 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, conforme o que for mais elevado, caso se trate de uma grande empresa; de dois mil euros a dois milhões de euros ou 4% do volume de negócios, tratando-se de PME; ou de mil euros a 500 mil euros no caso de pessoas singulares. A distinção dos valores das coimas em função da dimensão das empresas e da natureza coletiva ou singular dos sujeitos que efetuarem o tratamento de dados para as contraordenações graves de violação da proteção de dados está também prevista na lei aprovada por Portugal, mas não no RGPD e será igualmente “desaplicada”. A deliberação refere que “em ponto algum do artigo 83.º [do RGPD] ou dos considerandos relativos ao regime sancionatório, se abre espaço para a consideração autónoma da dimensão da empresa, pelo que o critério adotado pelo legislador nacional, de distinguir as pequenas e médias empresas para reservar o limite pecuniário máximo do RGPD para as grandes empresas, constitui em si mesmo uma violação do RGPD”. De acordo com o referido artigo do Regulamento a violação das disposições em matéria de proteção de dados pessoais está sujeita a coimas até 10 milhões de euros ou, no caso de empresa, até 2% do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado. Há situações de violação em que estes valores são elevados para o dobro. A CNPD decidiu também “desaplicar” a norma que na lei aprovada em Portugal define a determinação da medida da coima, por entender que esta “esvazia o poder discricionário reconhecido pelo RGPD à autoridade de controlo portuguesa”. Além de normas dos artigos 37.º, 38.º e 39.º, a CNPD deliberou “desaplicar” a norma sobre o âmbito de aplicação da lei (artigo 2.º, números 1 e 2), o dever de segredo (artigo 20.º n.º 1), tratamento de dados pessoais por entidades públicas para finalidades diferentes (art. 23.º), relações laborais (art. 28.º, n.º 3 alínea a), renovação do consentimento (artigo n.º 61, n.º2) e regimes de proteção de dados pessoais (artigo 62.º, n.º2). A Comissão que o RGPD "não deixa espaço ao legislador nacional para definir quadro sancionatório diferente do que está estabelecido" nesse regulamento, explicando que a sua decisão visa “assegurar a plena eficácia do quadro sancionatório" do RGPD, nas suas decisões futuras.