Artículo escrito por José Díaz Pisano, del departamento de protección de datos y derecho tecnológico de SmartHC.
Este mes se está tramitando en el parlamento portugués la normativa de desarrollo del RGPD: la “Proposta de Lei 120/XIII”. Tras haber escuchado a los principales agentes involucrados en el sector, la propuesta previsiblemente se aprobará sin grandes cambios. Por ello, comentaremos en este post a “vuelapluma” algunas de sus principales curiosidades y las compararemos con la normativa española en vigor.
Terminología
Lo primero que debemos destacar –por muy obvio que pueda parecer– son las diferencias de nomenclatura en ambas normas. Y es que, la propuesta portuguesa, denomina ciertas figuras del RGPD de una forma muy parecida a como denomina la ley española a otras figuras diferentes. En estos casos un cuadro comparativo vale más que mil palabras.
Ley Española | Ley Portuguesa |
Interesado | Titular dos dados |
Responsable del tratamiento | Responsável pelo tratamento |
Encargado | Subcontratante |
Delegado de protección de datos | Encarregado de proteção de dados |
Agencia Española de Protección de Datos (AEPD) | Comissão Nacional de Proteção de Dados (CNPD) |
Enfoque de la normativa
La primera gran diferencia entre la normativa española y portuguesa la encontramos en la propia Exposición de Motivos. El legislador del país vecino entiende que el RGPD fue diseñado pensando en proteger a los interesados frente a las grandes multinacionales propietarias de redes sociales y de aplicaciones que, a escala global, recogen y tratan datos personales de forma masiva.
Por este motivo, en la Exposición de Motivos se destaca que “algunas de las soluciones jurídicas que se han plasmado para ese universo a veces se revelan desproporcionadas o incluso inadecuadas para la generalidad del tejido empresarial nacional y para la Administración Pública”. Así, se concluye que la aplicación del RGPD “resultará en cargas administrativas elevadas, que en muchos casos no están suficientemente justificadas por los beneficios obtenidos”.
La consecuencia lógica del referido planteamiento es que la norma portuguesa intenta mitigar (como veremos más adelante) estas cargas “garantizando un adecuado equilibrio entre la debida protección de los titulares de los datos personales, la libertad de iniciativa económica y la tarea estatal de promoción del bienestar social”.
Menores
Un cambio que, aunque parece pequeño es importante, es la edad mínima exigida para prestar consentimiento válido para el tratamiento de datos personales. Mientras que la ley española en su artículo 7 fija esta edad en 14 años, el legislador portugués opta por acogerse al mínimo permitido por el RGPD estableciendo en su artículo 16 que la edad mínima para prestar consentimiento son los 13 años.
Entidades públicas
Como ya hemos mencionado, la ley portuguesa es algo más permisiva (o menos exigente) que la normativa española.
En este sentido, destaca especialmente el artículo 23 de la propuesta de ley lusa, en virtud del cual se permite a las entidades públicas tratar datos personales para finalidades distintas a las determinadas en el momento de recabarlos, siempre que esto se haga persiguiendo el “interés público” (definido en el art. 9.2.g. del RGPD).
Tratamiento de categorías especiales de datos
Como ya sabemos, el artículo 9º de la LOPDGDD regula el tratamiento de las “categorías especiales de datos” y, entre otras cosas, establece que el simple consentimiento del interesado no será suficiente para legitimar su tratamiento.
Por su parte, el artículo 29 de la norma portuguesa se limita a exigir, para ciertos tratamientos relacionados con la salud, que sean realizados por un profesional obligado bajo el deber de secreto y confidencialidad garantizándose las medidas adecuadas de seguridad de la información.
Transferencias internacionales
Algo que destaca especialmente, al analizar la normativa portuguesa de desarrollo del RGPD, es la ausencia de mención alguna al régimen de transferencias internacionales de datos personales. Así como la normativa española en su título VI dedica los artículos 40 a 43 para pormenorizar, entre otras cuestiones, los supuestos sometidos a autorización o información previa; la norma portuguesa parece remitirse (por omisión) a la regulación marco recogida en el RGPD.
Videovigilancia
Aunque el artículo 19 de la Ley Portuguesa es relativamente escueto a la hora de regular los tratamientos derivados de la videovigilancia (sobre todo si se compara con la LOPDGDD) es interesante destacar la lista de ubicaciones en las que el legislador portugués quiere prohibir la colocación de cámaras de seguridad (localizaciones que en muchos casos coinciden con las señaladas por la norma española):
- La vía pública (salvo que resulte estrictamente necesario para cubrir los accesos al inmueble).
- La zona de digitación de códigos en cajeros automáticos.
- En los comercios: aseos, zonas de espera y probadores de ropa.
- Centros de trabajo: las áreas reservadas a los trabajadores; en particular vestuarios y aseos.
Sanciones administrativas
Otra cuestión interesante en la regulación portuguesa es el régimen sancionador previsto en sus artículos 37 y siguientes, en este caso una tabla vuelve a valer más que mil palabras.
Infracciones muy graves (art. 37). | |
Gran empresa | 5.000 € a 20.000.000 € (o 4% facturación anual) |
PYME | 2.000 € a 2.000.000 € (o 4% facturación anual) |
Persona física | 1.000 € a 500.000 € (o 4% facturación anual) |
Infracciones graves (art. 38). | |
Gran empresa | 2.500 € a 10.000.000 € (o 2% facturación anual) |
PYME | 1.000 € a 1.000.000 € (o 2% facturación anual) |
Persona física | 500 € a 250.000 € (o 2% facturación anual) |
Sanciones penales
La norma local portuguesa de protección de datos incluye penas de cárcel para determinados incumplimientos tanto de esta como del RGPD.
La ley portuguesa, en sus artículos 46 a 53 pormenoriza también el régimen penal relacionado con la protección de datos, castigando con penas de hasta 4 años y 480 días de multa acciones entre las que se encuentran las siguientes:
- La utilización de datos de forma incompatible con la finalidad de la recogida
- El acceso indebido (sin autorización) a datos personales
- Copiar, sustraer o trasmitir datos sin estar legitimado
- Modificar, ocultar, o suprimir datos sin estar legitimado
- Insertar datos falsos
- Vulnerar el deber de confidencialidad
- Incumplir ciertas exigencias del RGPD
En la mayoría de los casos, las penas se agravan al doble cuando:
- se traten categorías especiales de datos;
- se obtenga beneficio económico; o
- se vulneren medidas de seguridad
Para todos los casos mencionados la tentativa siempre es punible.
Relaciones laborales
La última curiosidad que vamos a mencionar (aunque quedan muchas en el tintero) está relacionada con los tratamientos de datos personales en el ámbito laboral, del artículo 28 de la norma portuguesa[11] . Y es que la ley portuguesa establece –salvo disposición legal en contrario– que el consentimiento del trabajador no es una base de legitimación del tratamiento válida en los siguientes supuestos:
- si del tratamiento se puede derivar una ventaja jurídica o económica para el trabajador; o
- si el tratamiento es necesario para la ejecución de un contrato en que el trabajador es parte.
Accede al documento completo con el cruce de la normativa local de protección de datos de España con la de Portugal.
SmartHC ofrece servicios jurídico-técnicos de adecuación a la normativa de protección de datos y secretos empresariales. Contacta con nuestro departamento jurídico.
José Díaz Pisano
Dpto. de Protección de datos