RGPD: e depois da aplicação da coima?

Em opinião, a advogada Catarina Costa Ramos responde à questão: se for aplicada uma coima à sua empresa, o que pode e o que deve ser feito?

Catarina Ramos, advogada na GPA Advogados

O Regulamento Geral sobre a Protecção de Dados (RGPD) foi a novidade legislativa mais falada no último ano e tal deveu-se, em primeiro lugar, às elevadas coimas aí previstas e ao quão fácil será estar à mercê das mesmas.

Urge perguntar – Então, se for aplicada uma coima à sua empresa, o que pode e o que deve ser feito?

Comecemos pelo que pode ser feito. A Comissão Nacional de Protecção de Dados (CNPD) é uma entidade administrativa pelo que as coimas por si aplicadas são passíveis de impugnação judicial.

Uma empresa alvo da aplicação de uma coima pode, assim, apresentar por escrito, no prazo de 20 dias úteis, um recurso de impugnação, o qual é apresentado à CNPD, devendo conter alegações e conclusões. Será a CNPD a enviar o processo para o tribunal, o qual decidirá através de simples despacho ou mediante audiência de julgamento.

O tribunal poderá arquivar o processo, absolver o arguido ou manter ou alterar a decisão da CNPD. Mas pode não acabar aqui – se a coima aplicada, afinal, for superior a 249,40 euros, poderá ainda haver recurso para o tribunal superior.

Não esqueçamos que a aplicação de toda e qualquer coima tem de ser “individual, efectiva, proporcionada e dissuasiva” e que a CNPD tem de atender às circunstâncias de cada caso, como seja a gravidade e duração da infração, o seu carácter intencional ou negligente, e até a forma como a CNPD tomou conhecimento da infracção.

Assim, será fundamental o respeito, no seio da empresa, de processos e procedimentos que permitam a fazer prova, junto do tribunal, de que a empresa acautelou o cumprimento do RGPD.

Assim, será fundamental o respeito, no seio da empresa, de processos e procedimentos que permitam a fazer prova, junto do tribunal, de que a empresa acautelou o cumprimento do RGPD.

Importa relembrar que basta a empresa não ter procedido a uma avaliação de impacto sobre a proteção de dados, ou não ter designado o Encarregado de Protecção de Dados (EPD) – não esquecer da necessidade de comunicação da designação à CNPD – ou a empresa não ter procedido ao registo de actividades, para estar sujeita a coimas de até 10 milhões de euros ou até 2% do seu volume de negócios a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Se a empresa, por outro lado, não respeitar os direitos dos titulares dos dados ou não respeitar os princípios relativos ao tratamento dos dados pessoais – imaginemos, simplesmente, que a empresa conservou os dados para além (e o “para além” pode ser um mês, uma semana ou mesmo um só dia!) do período necessário para as finalidades para as quais eram tratados -, está sujeita a coimas até 20 milhões de euros ou até 4% do seu volume de negócios a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Além de poder reagir judicialmente contra a aplicação da coima, há que atender ao que deve ser feito de forma a corrigir o que esteve na origem da coima. Para isso, há que rever procedimentos (onde eles falharam), há que instituir processos (onde eles eram inexistentes), há que alertar toda a empresa para a realidade do RGPD.

Catarina Costa Ramos

Advogada Coordenadora

GPA Advogados – Gouveia Pereira, Costa Freitas & Associados – Sociedade de Advogados, R.L.




Deixe um comentário

O seu email não será publicado