A Comissão Nacional de Proteção de Dados (CNPD) emitiu um parecer à Proposta de Lei do OE2024, alertando para possíveis inconstitucionalidades no que refere, nomeadamente, à interconexão entre bases de dados do Estado e a consulta da “lista negra” da Segurança Social.

Em primeiro lugar, a CNPD considera que a consulta da “lista negra” deveria ser condicionada, uma vez que a disponibilização ou a divulgação online de dados pessoais, tornando os mesmos públicos e incontrolavelmente acessíveis, não parece respeitar o princípio da proporcionalidade.

Isto porque as informações divulgadas online podem permanecer na Internet muito para além do necessário ao respetivo cumprimento da finalidade da sua divulgação. Tal facilita a agregação de dados pessoais com o intuito de estabelecer perfis suscetíveis de serem utilizados como meio de discriminação, estigmatizando os cidadãos como devedores.

Adicionalmente, a Comissão salienta que não está prevista uma caracterização precisa do tratamento de dados pessoais no âmbito da consulta direta em processo executivo, não sendo determinados os dados concretos que se pretendem recolher ou tratar.

Desta forma, a norma do OE2024 que incide sobre esta matéria colide com os princípios da limitação das finalidades de tratamento de dados e da minimização, visto que os dados devem ser recolhidos para finalidades determinadas e limitados ao necessário, não podendo ser tratados posteriormente de forma incompatível com as respetivas finalidades.

A CNPD considera, também, que a interconexão de dados prevista no OE2024 implica um risco considerável para os cidadãos, tendo em conta que não é definido o âmbito do tratamento de dados pessoais neste contexto, nem são estabelecidas garantias adequadas à proteção dos direitos fundamentais dos cidadãos a quem os dados se referem.

Para além disso, o parecer sublinha que, ao deixar-se a definição do objeto e âmbito deste tratamento de dados para um plano protocolar futuro, a ser realizado entre entidades administrativas e/ou privadas, está em causa uma atribuição mais ou menos discricionária que implica que estas entidades operem restrições de direitos fundamentais dos cidadãos.

Deste modo, a Comissão critica a opção por normas legislativas abertas que delegam nos órgãos administrativos amplos poderes decisórios em matéria de tratamento de dados.

Importa salientar que a necessidade de implementação de uma política de proteção de dados decorre do Regulamento Geral sobre a Proteção de Dados (RGPD), que prevê a responsabilização e aplicação de sanções às entidades que não cumprirem com as obrigações do respetivo regulamento.

Neste sentido, as violações do RGPD podem ser puníveis com: 

• Coimas até €10 000 000 ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial, consoante o montante que for mais elevado, tratando-se de contraordenações graves;
• Coimas até €20 000 000 ou, no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial, consoante o montante que for mais elevado, tratando-se de contraordenações muito graves; 
• Proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados.

As entidades públicas estão sujeitas aos poderes de correção da CNPD, sendo as coimas previstas aplicáveis, de igual modo, às entidades públicas e privadas, conforme a Lei nº 58/2019.