August 2019

  
     
 

DATA PROTECTION

KEY CHANGES OF THE LAW IMPLEMENTING THE GDPR IN THE PORTUGUESE LEGAL SYSTEM

 
     
 

The Law implementing the GDPR revokes Law 67/98, of 26 October (“Personal Data Protection Law”), and amends Law 43/2004 dated 18 August, which regulates the organisation and functioning of the Portuguese Data Protection Authority (“CNPD”) - republished -, as well as Law number 26/2016, dated 26 August, that approves the regime regarding access to the administrative and environmental information and the reutilisation of administrative documents.

Several articles of the Law implementing the GDPR reproduce or make reference to rules and concepts already established in the GDPR, either to reaffirm their content or to incorporate additional interpretative requirements, such as:

  • the minimum age for minors to give consent regarding direct offers of information society services is fixed at thirteen (13) years;
  • the processing of the personal data of deceased persons is covered by the Law implementing the GDPR when it refers to special categories of personal data, or to private life, image or data related to communications;
  • the right to data portability only includes data provided by the corresponding data subjects;
  • the rights of information and access to personal data shall not be exercised when the law imposes on the controller or the processor an obligation of secrecy that may be enforceable vis-à-vis the data subject. However, the data subject can request CNPD to issue a legal opinion regarding such obligation of secrecy;
  • some criteria concerning data retention periods are densified;
  • it is established that data transfers to countries outside the European Union or international organisations, when performed by public entities in the fulfilment of legal obligations and the execution of powers of authority, are considered to be of public interest;
  • regarding the processing of health data or genetic data, access to personal data is established on a “need-to-know” basis and the processing shall be performed by a professional bound to secrecy or subject to a duty of confidentiality. Moreover, it is established that data relating to health may be organised in databases or centralised registers organised in single platforms that fulfil the security and integrity requirements established under the GDPR.    

Moreover, this Law addresses certain specific situations of personal data processing. For instance, regarding the processing of personal data in labour context, where it establishes that, unless otherwise provided by law, the consent of the employee does not constitute a legitimate ground to process personal data (i) if the processing results in an economic or judicial advantage to such employee, or (ii) if the processing is necessary for the execution of the respective employment contract. Furthermore, images recorded and other personal data captured through video surveillance or other technological means, shall only be used pursuant to a criminal procedure and under the terms established in article 20 of the Portuguese Labour Code.

The Law also regulates certain situations not expressly foreseen in the GDPR, including the processing of data collected through video surveillance systems, to protect people and goods, subject to the conditions established in article 31 of Law 34/2013, with the limits set out in the Law implementing the GDPR.

On the other hand, this Law aims to adjust the sanctions established in the GDPR to the national legislation, where we must highlight the attribution to public entities of a right to request CNPD to waive the application of administrative fines for a period of three (3) years since the entry into force of the Law implementing the GDPR.

 

  
     

Proteção de dados pessoais

PRINCIPAIS NOVIDADES DA LEI DE EXECUÇÃO DO RGPD NO ORDENAMENTO JURÍDICO PORTUGUÊS

  
     
 

A Lei de Execução do RGPD vem revogar a Lei n.º 67/98, de 26 de outubro (“Lei da Proteção de Dados Pessoais”), e altera a Lei n.º 43/2004, de 18 de agosto, que regula a organização e o funcionamento da Comissão Nacional de Proteção de Dados (“CNPD”) – republicada –, bem como a Lei n.º 26/2016, de 26 de agosto, que aprova o regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos.

Muitos artigos da Lei de Execução do RGPD reproduzem ou fazem referência a normas e conceitos já previstos no RGPD, seja para reiterar o seu conteúdo, seja para incorporar critérios interpretativos adicionais, tais como:

  • a idade mínima para prestar consentimento por menores de idade no âmbito da oferta direta de serviços da sociedade de informação é fixada em treze (13) anos;
  • o tratamento dos dados pessoais de pessoas falecidas está abrangido pela Lei de Execução do RGPD quando se reportem a categorias especiais de dados pessoais ou à intimidade da vida privada, à imagem ou aos dados relativos às comunicações;
  • o direito à portabilidade dos dados abrange apenas os dados fornecidos pelos respetivos titulares;
  • os direitos de informação e de acesso a dados pessoais não podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou ao subcontratante um dever de sigilo que seja oponível ao próprio titular dos dados, podendo este solicitar à CNPD a emissão de um parecer quanto à oponibilidade do referido dever;
  • densificam-se alguns dos critérios relativos aos prazos de conservação de dados pessoais;
  • estabelece-se que as transferências de dados para países terceiros à União Europeia ou organizações internacionais, quando efetuadas por entidades públicas no cumprimento de obrigações legais e no exercício de poderes de autoridade, são consideradas de interesse público;
  • nos tratamentos de dados de saúde e de dados genéticos, o acesso aos dados rege-se pelo princípio da necessidade de conhecer a informação, devendo o tratamento ser realizado por profissional obrigado a sigilo ou sujeito a dever de confidencialidade. Por outro lado, estabelece-se que os dados relativos à saúde podem ser organizados em bases de dados ou registos centralizados assentes em plataformas únicas que preencham os requisitos de segurança e de inviolabilidade previstos no RGPD.

A Lei de Execução do RGPD regula ainda determinadas situações específicas de tratamento de dados pessoais. É o caso, por exemplo, do tratamento de dados no contexto laboral, estabelecendo-se que, salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais (i) se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador ou (ii) se o tratamento for necessário para a execução do respetivo contrato de trabalho. Para além do mais, as imagens gravadas e outros dados pessoais registados através de sistemas de vídeo ou outros meios tecnológicos de vigilância à distância, apenas podem ser utilizados no âmbito do processo penal e nos termos do art. 20.º do Código do Trabalho.

Esta Lei também regula situações que não estão expressamente previstas no RGPD, como sucede com os tratamentos realizados com recurso a sistemas de videovigilância, para a finalidade de proteção de pessoas e bens, o qual está sujeito aos requisitos previstos no artigo 31.º da Lei da Segurança Privada, com os limites previstos na Lei de Execução do RGPD.

Por outro lado, esta Lei visa adequar as sanções previstas no RGPD à legislação nacional, destacando-se neste âmbito a atribuição às entidades públicas de um direito de solicitarem à CNPD a dispensa de aplicação de coimas durante o prazo de três (3) anos a contar da sua entrada em vigor.

  
 

In case of any doubts or comments, please do not hesitate to contact /
Em caso de dúvida ou para qualquer comentário, por favor contacte

           
 

Leticia López-Lapuente
leticia.lopez-lapuente@uria.com

  

Joana Mota
joana.mota@uria.com

  

Carolina Moniz Pina
carolina.monizpina@uria.com

 
     
 

The information contained in this Newsletter is of a general nature and does not constitute legal advice

MORE NEWSLETTERS