Legislación sobre protección de datos en Portugal

La Ley portuguesa n.º 58/2019, de 8 de agosto, es una ley de privacidad de datos recientemente aprobada en 2019. La Ley portuguesa n.º 58/2019, de 8 de agosto, se aprobó con el fin de implementar las disposiciones del Reglamento General de Protección de Datos de la Unión Europea en la legislación portuguesa, ya que Portugal es un Estado miembro de la Unión Europea y la ley GDPR de la UE permite a los Estados nacionales crear su propia legislación nacional sobre privacidad de datos. Como tal, la Ley portuguesa n.º 58/2019, de 8 de agosto, y el Reglamento general de protección de datos sirven como base jurídica principal sobre la que se pueden llevar a cabo actividades de tratamiento de datos en Portugal. Además, las leyes también establecen las sanciones a las que se enfrentan los responsables y encargados del tratamiento de datos en caso de incumplimiento.

¿Cuáles son las diferencias entre la Ley portuguesa nº 58/2019, de 8 de agosto, y el GDPR de la UE?

Si bien las definiciones clave, el alcance y la aplicación, y los derechos de los interesados son en gran medida idénticos entre la Ley portuguesa n.º 58/2019 de 8 de agosto y la ley GDPR de la UE, hay ciertos aspectos de estas dos leyes que difieren entre sí. Por ejemplo, la Ley portuguesa n.º 58/2019, de 8 de agosto, ordena que el “tratamiento de datos personales con fines de investigación científica o histórica:”

• Respetará el principio de minimización de datos e incluirá la anonimización o seudonimización de los datos personales siempre que sea posible;
• No permite el ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y oposición, previstos en los artículos 15, 16, 18 y 21 del GDPR, según sea necesario, si dichos derechos pudieran perjudicar gravemente o imposibilitar la consecución de estos fines.

Alternativamente, la Ley portuguesa n.º 58/2019, de 8 de agosto, también otorga a la autoridad portuguesa de protección de datos o CNPD, para abreviar, la autoridad legal para hacer cumplir las diversas disposiciones establecidas en la ley. A este respecto, la CNPD “publicó el Reglamento n.º 1/2018 relativo a la lista de actividades de tratamiento sujetas a una EADP, que contiene una lista no exhaustiva de operaciones para las que se requiere la realización de una EADP antes del inicio de las actividades de tratamiento.” Estas operaciones incluyen, entre otras, las siguientes:

• El “tratamiento de la información derivada de la utilización de dispositivos electrónicos que transmitan, a través de redes de comunicación, datos personales relativos a la salud;”
• La “interconexión de datos personales o tratamientos relativos a categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales o datos de carácter personalísimo;”
• El “tratamiento de categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales o datos de carácter personalísimo, cuando dichos datos no se recojan directamente del interesado y no sea posible o factible garantizar el cumplimiento de los deberes de información del GDPR;”
• “El tratamiento de datos personales que implique o consista en la elaboración de perfiles a gran escala;”

Además, mientras que la ley GDPR de la UE ordena que las organizaciones que recopilan y procesan datos personales designen a un oficial de protección de datos o DPO para supervisar dichas actividades, la Ley portuguesa n.º 58/2019 de 8 de agosto ordena que dichos DPO también realicen ciertas tareas en lo que respecta a la protección de datos. Estas tareas incluyen garantizar que se lleven a cabo auditorías programadas y no programadas, aumentar la conciencia de los controladores y procesadores de datos dentro de Portugal en lo que respecta a la importancia de detectar violaciones e incidentes de seguridad de manera oportuna, así como informar a todas las partes afectadas, así como garantizar que los sujetos de datos dentro de Portugal tengan una comprensión de las formas en que la Ley portuguesa n ° 58/2019 de 8 de agosto y la ley GDPR de la UE protegen sus derechos de privacidad.

¿Cuáles son las diferencias entre la Ley portuguesa n.º 58/2019 de 8 de agosto y la ley GDPR de la UE en términos de aplicación?

Mientras que las multas en virtud de la ley GDPR de la UE incluyen multas administrativas de hasta 20 millones de euros (22.526.200 dólares) o hasta el 4% de la facturación anual total mundial del año anterior, la cantidad que sea mayor, la Ley portuguesa n.º 58/2019 de 8 de agosto también establece multas administrativas a las que los responsables y encargados del tratamiento de datos que operan en el país también pueden enfrentarse si violan los derechos de los interesados en virtud de la ley. Es más, la Ley portuguesa n.º 58/2019, de 8 de agosto, establece que determinadas acciones relacionadas con la protección de datos y la privacidad personal también conllevan responsabilidad penal en virtud de la ley. Tales responsabilidades incluyen, pero no se limitan a:

• Toda persona física o jurídica que utilice datos personales de forma incompatible con la finalidad de la recogida podrá ser castigada con una pena de hasta un año de prisión o multa;
• Toda persona física o jurídica que, sin la debida autorización o justificación, acceda, por cualquier medio, a datos de carácter personal, será castigada con pena de hasta un año de prisión o multa;
• Toda persona física o jurídica que copie, sustraiga, ceda o transfiera datos personales, a título oneroso o gratuito, sin disposición legal o consentimiento, independientemente de la finalidad perseguida, será castigada con pena privativa de libertad de hasta un año o multa;

Mediante la aprobación de la Ley portuguesa nº 58/2019, de 8 de agosto, las disposiciones de la ley GDPR de la UE se implementaron en la legislación de Portugal. Sin embargo, lo que es más importante, la ley proporciona a los interesados en el país otra capa de protección en lo que respecta a la protección de sus datos personales. En particular, la creación de disposiciones que permiten a la CNPD imponer responsabilidades penales a los responsables y encargados del tratamiento que infrinjan la ley es extremadamente significativa, ya que las sanciones aplicables en virtud de la ley GDPR de la UE son en gran medida de naturaleza monetaria. De este modo, los responsables y encargados del tratamiento que operan en Portugal se enfrentan a una serie de consecuencias en caso de que no respeten los derechos de los ciudadanos portugueses en todo momento.