30/08/2019
Transcurrido un año desde el inicio de la aplicación obligatoria del Reglamento General de Protección de Datos (en lo sucesivo, “RGPD”), y no sin ciertas vicisitudes, fue publicado el pasado 8 de agosto el que constituye el eslabón necesario para completar el régimen jurídico portugués en materia de protección de datos personales: la Ley n.º 58/2019, de 8 de agosto que asegura la ejecución del RGPD en Portugal (en adelante, “LPDP”).
Así las cosas, en consonancia con el denominado “margen de maniobra” otorgado por el RGPD, este nuevo texto normativo no sólo aclara el tenor de algunos preceptos del propio Reglamento, sino que también introduce ciertas novedades legislativas en relación con el mismo.
En especial conexión con esta última idea, dedicamos el presente artículo al análisis de algunas de las cuestiones que hemos considerado de mayor relevancia práctica para los operadores jurídicos, a saber:
1. Entrada en vigor – la LPDP entró en vigor el pasado 9 de agosto, manteniéndose igualmente vigente la legislación especial portuguesa en protección de datos en todo lo que no contravenga su clausulado.
2. Ámbito de aplicación territorial – extensión del ámbito de aplicación de la norma a actividades de tratamiento de datos personales realizados fuera del territorio portugués, cuando tales tratamientos: (i) se efectúen en el marco de la actividad de un establecimiento situado en territorio nacional; o, (ii) afecten a titulares de datos que se encuentren en el territorio nacional, cuando se aplique el número 2 del artigo 3.º del RGPD.
3. Autoridad Nacional de Control – se designa a la Comisión Nacional de Protección de Datos (“CNPD”) como autoridad nacional de control independiente a efectos del RGPD.
4. Funciones del Delegado de Protección de Datos – al catálogo de funciones confinadas en el Reglamento europeo, se le suman las otras de: (i) asegurar la realización de auditorías (periódicas y no programadas); (ii) sensibilizar a los usuarios de la importancia de la detección temprana de incidentes de seguridad y sobre la necesidad de informar inmediatamente al responsable de seguridad; y, por último, (iii) asegurar las relaciones con los interesados en las materias comprendidas en el ámbito del RGPD y la legislación nacional de protección de datos.
5. Obligatoriedad de designación de un Delegado de Protección de datos en entidades públicas – el diploma sistematiza un catálogo de entidades públicas en cuyo seno es indispensable la presencia de esta figura, entre las que se encuentran, Estado, regiones autónomas y autarquías locales, así como también empresas del sector empresarial del Estado.
6. Consentimiento de menores – los menores de edad igual o superior a 13 años podrán prestar consentimiento relativamente a la oferta directa de servicios a distancia por vía electrónica. En los restantes casos, el tratamiento de datos sólo será lícito si el consentimiento fuera representado por los representantes legales del menor.
7. Renovación del consentimiento – determina que es válido el consentimiento obtenido antes de la entrada en vigor de la LPDP si cumple los requisitos del RGPD. Igualmente, establece que es lícito el tratamiento de datos realizado hasta la cesación del contrato por caducidad del consentimiento prestado.
8. Protección de datos personales relativos a personas fallecidas – los herederos ejercen los derechos de protección de datos en relación con los datos de categorías especiales, intimidad de la vida privada, imagen o comunicaciones.
9. Videovigilancia – imposición de límites a los sistemas de videovigilancia, estableciendo áreas sobre las cuales las cámaras no pueden incidir y prohibición, salvo consentimiento previo de la CNPD, de la captación de sonido.
10. Plazo de conservación – los datos recogidos sólo podrán ser conservados por el plazo que se establezca en disposición normativa o reglamentaria y, en su defecto, por el plazo que se considere necesario para la obtención de la finalidad para la cual fueron recogidos. Asimismo, se determina la posibilidad de conservar sin límite de plazo los datos relacionados con las declaraciones contributivas para la jubilación.
11. Infracciones y sanciones – clasifica las infracciones en muy graves y graves, y asigna a las mismas un cuadro de sanciones dependiente del sujeto infractor (a saber, gran empresa, PYME o persona singular). Además, para la determinación de las sanciones se establecen unos criterios tales como la situación económica del autor, si se trata de una persona física, o el volumen de negocios y el balance anual, si se trata de una persona jurídica; el carácter continuado de la infracción y el tamaño de la entidad, teniendo en cuenta el número de empleados y la naturaleza de los servicios prestados.
12. Sanciones accesorias – adicionalmente a las anteriores sanciones, en el caso de delitos o multas superiores a 100.000 €, podrá exigirse la publicidad de la condena en el “Portal do Cidadão”.
13. Delitos – se incorpora una lista de delitos específicos en materia de protección de datos (p.ej.: desvío de datos, acceso indebido o inserción de datos falsos), previéndose, incluso, la punibilidad de la tentativa.
Para descargar infografía con las principales novedades introducidas por la LPDP, pinche aquí.
España & Portugal
