A isenção das entidades públicas ante

as coimas previstas no âmbito do RGPD

A actual proposta de Lei que visa adaptar o Regulamento Geral da Protecção de
Dados (doravante, RGPD) ao ordenamento jurídico interno, contém, entre outras, duas
questões que têm suscitado bastante controvérsia. Em causa está a criação de um período
adicional de 3 anos para adaptação das entidades públicas ao RGPD e a isenção da aplicação
das coimas ali previstas a essas entidades.

Como é consabido, o regime da protecção de Dados Pessoais na União Europeia

encontrava-se anteriormente disciplinado por meio da Diretiva 95/46/EC, que, não
obstante constituir de igual forma um ato jurídico da União Europeia que vinculava os
Estados-Membros quanto ao resultado a alcançar, deixava, no entanto, às instâncias
nacionais a competência quanto à forma e aos meios que suportavam a implementação
cabal do disposto sob a mesma.

Estando esse regime a cargo da definição concreta por parte de cada Estado-
Membro, existia um desnivelamento do regime jurídico da proteção de Dados Pessoais entre
os Estados-membros.

Ao criar um novo Regulamento, que veio por seu turno, revogar a anterior Diretiva
95/46/EC, a União Europeia pretendeu também, mitigar esse efeito “fórum shopping”,
criando um regime comum, uniforme e aplicável a todos os Estados-membros, que salvo a
exceção de algumas “opening clauses” (as quais podem ser adaptadas ao contexto interno
de cada Estado-Membro), é obrigatório em relação a todos os seus elementos, e é
diretamente aplicável em todos os Estados-Membros.

Apesar das “opening clauses” concederem, assim, aos Estados-membros uma

determinada margem de liberdade na adaptação do RGPD à sua ordem jurídica interna, é
necessário não perder de vista o ímpeto uniformizador que se pretende alcançar no seio da
União Europeia. Deste modo, e não obstante do disposto do n.º 7 do artigo 83.º do RGPD
permitir que os Estados-membros determinem em que medida podem ser aplicadas coimas
às autoridades e organismos públicos, a absoluta isenção do regime sancionátorio, contraria
o sentido e o espírito do RGPD.

Na sua essência, o disposto no n.º 7 do artigo 83.º do RGPD contém uma cláusula
aberta (opening clause) que visa conceder aos Estados-membros uma maior flexibilidade de
adaptação do regime sancionatório do RGPD à sua ordem jurídica interna, sobretudo, em
atenção da diversidade dos regimes jurídicos administrativos europeus. A este respeito,
pronunciou-se já o Tribunal de Justiça da União Europeia, ao afirmar que os actos jurídicos
da União Europeia não devem desconsiderar por completo as tradições constitucionais dos
Estados-Membros, nem as particularidades internas das suas ordens jurídicas.

Assim, se tem vindo a admitir que os Estados-membros, aquando da adaptação do

RGPD à sua ordem jurídica interna, isentem as entidades públicas da aplicação das coimas
aí previstas. Contudo, uma tal isenção não significa, per se, a ausência de um regime

1
sancionatório aplicável às entidades públicas. Em vários casos, sendo paradigmáticos os
casos da Alemanha e da Polónia, o regime sancionatório a aplicar às entidades públicas
perante a violação da protecção dos dados pessoais encontra-se, não na lei que procedeu à
adaptação do RGPD, mas sim, noutros diplomas jurídicos, tais como, nas leis penais ou nas
das leis que regulam a Administração Pública

Ora, no caso Português, não obstante da sindicabilidade dos actos administrativos,

esse regime não existe, e dificilmente se poderá arguir que o Código do Procedimento
Administrativo ou o Código Penal Português dispõe de uma disciplina sancionatória que se
assemelhe àquela que o RGPD contem.

Deste modo, a inexistência de um regime sancionatório subsidiário para as

entidades públicas que se assemelhe ao regime previsto no RGPD, mais que prever a isenção
das entidades públicas, potencia, assim, a absoluta desresponsabilização do Estado.

Adicionalmente, é necessário relembrar que anteriormente à Directiva 95/46/EC e

ao próprio RGPD, a proteção dos Titulares dos Dados Pessoais encontrava-se já prevista
tanto no artigo 8.º da Carta dos Direitos Fundamentais da União Europeia e no artigo 8.º da
Convenção Europeia dos Direitos do Homem, quanto no artigo 16.º do Tratado da União
Europeia e na própria Convenção n.º 108, do Conselho da Europa de 1981. Assim sendo, a
protecção dos titulares dos dados pessoais apresenta-se, no âmbito da União Europeia e do
Conselho da Europa, como um direito fundamental. Contrariamente às declarações públicas
da Ministra da Presidência e da Modernização Administrativa, o RGPD não está pensado
para as grandes empresas, mas sim tendo em vista a protecção de um direito fundamental,
independente da sua base de incidência material e subjectiva (sector Privado ou Público).

Não existe assim qualquer argumento legítimo que, por um lado, permita ao Estado
arguir a sua isenção ante o dever de assegurar a o direito à Protecção dos Dados Pessoais, e
por outro, dispense a aplicabilidade de um regime sancionatório, o qual desempenha um
papel fundamental quer na sensibilização, como na responsabilização das entidades ante o
não cumprimento da Lei.

A opção do legislador nacional pela isenção absoluta da aplicação de coimas às

entidades da Administração Pública, confere, num primeiro plano, um tratamento
diferenciado entre as entidades públicas e privadas, que no âmbito do RGPD, não apresenta
paralelismo com qualquer outro Estado-membro. Num outro plano, parece-nos que
também em relação às entidades privadas, a opção do legislador nacional defrontar-se-á
com evidentes fragilidades.

No caso das entidades privadas que participam na Administração Pública, e que para
os devidos efeitos são consideradas entidades pertencentes à Administração Pública,
levanta-se, desde logo, a questão de saber se também estas estarão abrangidas pelo regime
da isenção das coimas.

Uma resposta positiva, levará à consideração primeira de que, além de se criar

regime jurídico diferenciado para as entidades públicas e privadas em matérias de
protecção de direitos fundamentais, as entidades privadas que participam na
Administração Pública passarão a beneficiar de um regime que não se aplica às demais
entidades privadas. Ora, num tal cenário é advogável que se venha a arguir que este
tratamento diferenciado seja contrário ao princípio jurídico da igualdade, previsto no artigo

2
13.º da Constituição da República Portuguesa. Levado ao caso mais extremo, a opção do
legislador levaria a que se admitisse a criação de um regime intermitente para as entidades
privadas que participam na Administração Pública. Assim, essas entidades estariam isentas
da aplicação de coimas durante o período em que integram a Administração Pública,
deixariam de estar isentas quando passassem a actuar exclusivamente na esfera privada, e
voltariam ao regime de isenção caso voltassem a integrar a Administração Pública. Ora, um
regime sancionatório deste tipo é obviamente deficitário, além de que é pouco ou nada
eficaz em termos protecção dos Titulares dos Dados Pessoais, deixando espaço à
manipulação das circunstâncias do Tratamento de Dados Pessoais em prole dos interesses
dessas mesmas entidades privadas.

Uma resposta em sentido negativo, levaria igualmente a que se admitisse a

existência de regime jurídico diferenciado, onde as entidades privadas que participam na
Administração Pública, muitas das vezes sob as vestes de “processor”, ficariam sujeitas à
aplicação das coimas previstas no RGPD, mas onde as entidades públicas, sendo
“controllers”, encontram-se isentas dessas mesmas coimas. Sendo que é o “controller” quem
determina as finalidades e os meios de tratamento de dados pessoais, pouco sentido fará
que se imponham coimas ao “processor”, quando este, sem poder terminar as finalidades e
os meios do tratamento, se limita a cumprir o contratualizado no Acordo de Protecção de
Dados (Data Protection Agreement) celebrado entre ambos. Em resultado deste cenário,
seríamos levados a aceitar a existência de um profundo desequilíbrio na relação negocial
entre o “controller” e o “processor”, sem que qualquer fundamento jurídico o justifique
(como seria, a título de exemplo, o fundamento do interesse público).

Ainda no âmbito do regime sancionatório, é um facto que a aplicação de coimas

pecuniárias ao Estado se constituiria simplesmente na transferência de verbas orçamentais,
tão necessárias ao funcionamento das instituições, para o aparelho central do Estado,
culminando provavelmente, no reforço do cumprimento das metas do déficit, e logo, sem
benefício prático no âmbito da garantia da Protecção de Dados Pessoais e com a
consequência agravada para os cidadãos, de uma maior incapacidade por parte dos serviços
do Estado no assumir das suas responsabilidades para com esses mesmos cidadãos.

Todavia, o Estado tem de demonstrar o seu empenho e constituir-se como exemplo

a seguir na observação da Lei (qualquer Lei).

Não sendo útil nem eficaz a penalização pecuniária do Estado, sobra ainda assim o
tema da responsabilização.

Tal como no caso das empresas, o Administrador, Gerente, Director Geral ou CEO
personificam a empresa, e por consequência assumem pessoalmente a responsabilidade
por qualquer infracção à Lei, também no sector publico há aqueles que estão “ao leme” das
organizações do Estado, com autoridade para definir prioridades e processos, bem como o
dever de auditar e agir para que essas mesmas entidades cumpram a sua função nos termos
da Lei.

Não seria assim um “factor motivacional” e um exemplo a dar à sociedade que os

quadros responsáveis do Estado fossem pessoalmente responsabilizados e daí derivassem
as devidas consequências práticas, caso os serviços sob sua tutela violem a Lei?

3
 Não se advogam aqui necessariamente consequências penais, nem tão pouco
pecuniárias ou administrativas, mas sim a intervenção reguladora e correctiva em caso de
não conformidade operativa, assim como a consequência prática em sede de avaliação de
desempenho desses quadros dirigentes.

A verdade é que quando não estão previstas consequências práticas sobre

comportamentos desalinhados para com o estabelecido na Lei, fica a cargo do livre arbítrio
de cada um encetar medidas que levem à observação cabal do preconizado por esta.

No mais, este não é um debate que não traz nada de verdadeiramente novo ou de
inédito. Também na Irlanda, onde foi apresentada uma proposta de lei que, igualmente,
isentava as entidades públicas da aplicação das coimas previstas no RGPD, se esgrimaram
argumentos quer a favor, quer contra essa mesma medida. Quis o bom senso do legislador
irlandês, que maior peso fosse concedido aos argumentos que se apresentaram contra a
isenção das entidades públicas, tendo sido alcançada uma solução intermédia. Foi assim
que, com base no disposto no n.º 7 do artigo 83.º do RGPD, o legislador irlandês fixou um
tecto máximo (de 1 milhão de euros) para as coimas a aplicar às entidades públicas. Não
optando pela absoluta isenção, que doutra forma transgride rapidamente para a potencial
desresponsabilização, o caso irlandês demonstra ser possível assegurar em simultâneo a
desejada uniformidade dentro da União Europeia e ter em devida consideração a situação
das entidades públicas dos Estados-membros.

Esperemos, que também o legislador português, tenha o bom senso de atender à

necessidade de consagrar um regime sancionatório eficaz, ainda que seja levado a impôr um
limite máximo ao valor das coimas para as entidades públicas.

Autoria:

Diogo Duarte
Jurista e Mestre em Direito Internacional

Rui Freitas Serrano

Consultoria RGPD