Os Direitos Fundamentais dos Cidadãos no Ordenamento Jurídico Global: A Comissão Nacional de Proteção de Dados enquanto entidade administrativa

Sumário: 1. Explicação do Direito da Proteção de Dados – 1.1. Como é que o novo ordenamento jurídico global influenciou o surgimento deste direito – 2. RGPD enquanto pioneiro na resposta aos desafios causados pela revolução tecnológica – 3. Aparecimento da CNPD: a sua estrutura e funcionamento enquanto entidade administrativa – 3.1. Competências da CNPD – 3.2. Cooperação entre a CNPD e o RGPD bem como as suas sanções – 4. Conclusão


Resumo: O presente artigo tem por objeto a análise da Comissão Nacional de Proteção de Dados – Lei 59/2019 – enquanto entidade administrativa, como consequência ao aparecimento do Regime Geral de Proteção de Dados – diploma Europeu (EU 2016/ 679) – tendo como principal função garantir a fiscalização e a aplicação do RGPD no território português. 
Ao longo do artigo explicar-se-á o processo até à criação da CNPD e o que levou à necessidade da criação de entidades competentes para esta fiscalização.


Palavras-chave: Direito da Proteção de Dados; Regime Geral da Proteção de Dados; Comissão Nacional da Proteção de Dados; Entidade Administrativa. 

1. Explicação do Direito da Proteção de Dados

Numa primeira análise, importa distinguir o Direito ao Respeito pela Vida Privada (1) do Direito da Proteção de Dados (2).
O primeiro direito referido é um direito fundamental, uma vez que se encontra previsto na CRP, como foi especificado na nota de rodapé. Este, abrange por sua vez, a proteção da esfera íntima de determinado indivíduo, como forma de garantir que a sua vida privada não seja objeto de alguma interferência que não tenha sido autorizada. 
Por outro lado, o Direito da Proteção de Dados, também considerado direito fundamental, concentra-se na forma de tratamento dos dados pessoais dos cidadãos, de modo a assegurar a existência de um controlo/ fiscalização das informações pessoais de qualquer sujeito. 
O Professor A. Barreto Menezes Cordeiro define o direito abordado anteriormente como “um conjunto sistematizado de princípios, normas e institutos que regula os dados pessoais e o seu tratamento” (3)
É fundamental mencionar ainda que, A. Barreto Menezes Cordeiro defende uma posição de que esta definição não se adequa à realidade jurídica atual, uma vez que este direito não inclui o tratamento de dados das pessoas coletivas no seu campo de aplicação (4).

1.1. Como é que o novo ordenamento jurídico global influenciou o surgimento do Direito da Proteção de Dados

O novo ordenamento jurídico global teve um impacto significativo no surgimento do Direito da Proteção de Dados, no sentido em que se despertou uma necessidade de proteger os dados pessoais dos cidadãos com a ascensão do mundo digital e das tecnologias. Assim, consequentemente, começou-se a questionar a maneira como os dados pessoais de cada sujeito são recolhidos e para que fins.
Foi neste contexto que acabou por ser necessário a criação de regulamentação específica para este tipo de situações, uma vez que sem esta regulação, existiria uma violação contínua de direitos fundamentais e à ineficiência da própria administração pública (5).  
Deste modo, o Professor Vasco Pereira da Silva acredita que a reflexão sobre os direitos fundamentais no contexto digital é essencial para entender a evolução do estado constitucional. Ele argumenta que a digitalização traz novos desafios que exigem uma adaptação das normas e princípios constitucionais, enfatizando a necessidade de proteger a dignidade humana e os direitos individuais num ambiente cada vez mais influenciado pela tecnologia. A sua visão destaca a importância de integrar esses direitos na prática administrativa e na legislação para garantir uma resposta adequada às novas realidades sociais (6)
De um ponto de vista subjetivo, acredito que o impacto de legislações como o RGPD exemplificam como o mundo passou a valorizar mais a autonomia e a dignidade do cidadão, enfrentando o poder desmedido de corporações e governos na recolha de dados. Para mim, é um reflexo claro de um movimento global que prioriza a ética em relação à inovação.

2. O RGPD enquanto pioneiro na resposta aos desafios causados pela revolução tecnológica

O Regulamento Geral da Proteção de Dados é um diploma que surgiu na ordem jurídica portuguesa em meados de 2018, através do Regulamento (UE) 679/2016, do Parlamento Europeu. Este regulamento visa responder aos desafios causados pela revolução tecnológica ocorrida nas últimas décadas, protegendo de um modo mais estruturado os dados pessoais dos cidadãos, bem como os seus direitos.
Assim, com o aumento exponencial de dados armazenados e transacionados, a recolha e utilização de dados pessoais é uma preocupação presente por parte dos titulares dos dados em si, fazendo, então, com que fosse imprescindível a criação de um enquadramento jurídico rigoroso. 
Deste modo, o RGPD considera-se relevante nos tratamentos de dados pela Administração Pública, uma vez que a tutela dos direitos e interesses dos titulares dos dados, bem como o seu equilíbrio entre estas posições jurídicas subjetivas e ainda os direitos/ poderes do responsável pelo tratamento, fica automaticamente a cargo desse mesmo responsável e, só numa segunda fase é que são assegurados os direitos consagrados no RGPD através do exercício ativo por cada um dos titulares que teve os seus dados afetados. Só numa terceira linha, surge a autoridade nacional de proteção de dados, com a função de supervisão/ fiscalização sucessiva, a qual dispõe de fortes poderes corretivos (7)
Interessa ainda destacar, de forma breve, que “os tratamentos de dados realizados pela Administração Pública não dependem da vontade do titular dos dados e, mesmo quando esta poderia ser relevante, ele surge numa posição de dependência ou vulnerabilidade na relação com a Administração Pública” (8)

3. O aparecimento da CNPD: a sua estrutura e funcionamento enquanto entidade administrativa

Numa primeira análise, importa definir o que é uma entidade administrativa bem como enquadrar o seu surgimento.
Foi a partir da década de 80 que começou a surgir o conceito de entidade administrativa independente – que tinha como principal função a regulação económica – a qual foi influenciada pelas agencies norte-americanas, fazendo com que, consequentemente, se disseminasse pelo continente europeu. 
Vários fatores têm sido considerados indispensáveis, sendo estes os pioneiros da origem desta nova entidade: (i) a influência do neoliberalismo económico, o qual se contrapunha com o intervencionismo estadual (9); noutro ponto de vista, (ii) um fator que também se destaca é o reconhecimento de que existia um evidente obstáculo relativamente ao Estado assegurar as necessidades que seriam essenciais prestar devido aos constrangimentos orçamentais; ainda se pode mencionar (iii) que a existência das falhas de mercados também influenciaram esta modalidade de entidade (10).  
Deste modo, as entidades administrativas independentes, surgem, então, “como entidades com função de regulação de mercado e de supervisão dos operadores económicos, cujo regime se caracteriza tipicamente por uma dupla independência” (11)
Neste contexto, cabe agora perceber em que medida é que a CNPD se enquadra nesta definição, ou, todavia, se é uma entidade independente que se caracteriza por ter um modelo próprio – exemplo: não se aplica a LQER. 
O professor António Barreto Menezes Cordeiro define a Comissão Nacional de Proteção de Dados como “uma entidade administrativa independente (12), com personalidade jurídica de Direito Público e poderes de autoridade, dotada de autonomia administrativa e financeira e que funciona junto da Assembleia da República”(13)
A CNPD é regulada, atualmente, pela Lei nº58/ 2018, a qual, por sua vez, teve uma notória influência por parte do surgimento do RGPD, tal como abordado anteriormente.
Portugal, com a CNPD, assumiu uma posição de destaque, ao esclarecer a priori que só seria possível requerer-se a dispensa “após ter sido emitida uma notificação por violação de disposições” (14)
Deste modo, após esta breve apresentação inicial, interessa entender o seu funcionamento enquanto entidade administrativa.
A CNPD é um órgão colegial, composto por sete membros de integridade e mérito reconhecidos, cujo estatuto garante a independência das suas funções. Os membros têm um mandato de cinco anos e tomam posse perante o Presidente da Assembleia da República.
Relativamente ao seu funcionamento em particular, a CNPD pode reunir e deliberar apenas, e só se, estiver perante a presença de quatro dos seus membros (15).  
Neste seguimento, as deliberações são tomadas por maioria dos membros que estiverem presentes naquele momento, onde o Presidente da Comissão possui voto de qualidade (16)
Para além do disposto, as autoridades de controlo têm como princípio substancial a ação com “total independência” (17), ou seja, a CNPD deve manter uma total independência em relação à Assembleia da República.

3.1 Competências da CNPD

A competência das autoridades de controlo é regulada pelo disposto nos artigos 55º e 56º (18)
Antes de se proceder à explicação das respetivas competências que se enquadram na mencionada autoridade independente, é pertinente abordar-se de forma breve o seu enquadramento histórico. 
Na sua proposta original, a Comissão adotou um modelo de one stop shop, o qual seria mais abrangente e menos flexível em comparação com o que foi positivado na versão final: “Sempre que o tratamento de dados pessoais ocorrer no contexto das atividades de um responsável pelo tratamento ou de um subcontratante estabelecido na União, e o responsável pelo tratamento ou o subcontratante estiver estabelecido em vários Estados-Membros, a autoridade de controlo do Estado-Membro onde se situar o estabelecimento principal do responsável pelo tratamento ou do subcontratante é competente para controlar as atividades de tratamento do responsável pelo tratamento ou do subcontratante em todos os Estados-Membros, sem prejuízo do disposto no Capítulo VII do presente regulamento”(19)
Num contexto nacional, a CNPD tem a responsabilidade de garantir a conformidade com as normas previstas no RGPD, bem como a sua fiscalização.
Para além disto, tem a competência de autorizar o tratamento de determinados dados pessoais que, por natureza, exigem um cuidado e análise prévia. Destaca-se também o facto de que a mesma deve orientar e garantir um aconselhamento tanto a entidades públicas, privadas e respetivos cidadãos no que diz respeito às práticas do tratamento de dados pessoais. 
Deste modo, deve igualmente promover a aprendizagem acerca do tema da proteção de dados, com a finalidade de aumentar a consciência pública sobre os direitos e deveres referentes ao tópico abordado.
No âmbito internacional, para além de garantir a aplicação e conformidade com o RGPD, como já foi referido anteriormente, deve também interagir com outras autoridades que visam a proteção de dados pessoais. 
Ainda interessa mencionar que a CNPD possui um papel de transferência, no sentido em que garante um controlo das transferências de dados pessoais para países fora da União Europeia, assegurando que as mesmas se realizam de acordo com as normas europeias, de modo que não exista qualquer tipo de violação durante o decorrer do processo. 
Assim, a CNPD atua no âmbito da legislação nacional, mas está também integrada no sistema jurídico europeu e internacional, colaborando com outras autoridades de proteção de dados para garantir uma proteção eficaz dos direitos dos cidadãos, tanto em Portugal como a nível global.

3.2. Cooperação entre a CNPD e o RGPD bem como as suas sanções

A cooperação entre a Comissão Nacional de Proteção de Dados é fundamental para garantir uma aplicação consistente e eficaz das normas de proteção de dados pessoais em Portugal e em toda a União Europeia. A CNPD, enquanto autoridade nacional de supervisão em território português, atua conforme o RGPD – tal como tem sido exposto ao longo do trabalho – e, por conseguinte, participa ativamente na cooperação internacional com outras autoridades de proteção de dados no contexto europeu (20).  
O Comité Europeu para a Proteção de Dados (21) é definido como “um organismo da União Europeia, independente e dotado de personalidade jurídica” (22).  Este Comité desempenha um papel fundamental na coordenação de decisões, na interpretação harmonizada das disposições do RGPD e na emissão de diretivas e orientações.
Outra área de cooperação importante é relacionada com a transferência de dados pessoais para fora da União Europeia. O RGPD estabelece condições rigorosas para garantir que os dados pessoais só sejam transferidos para países terceiros quando o nível de proteção de dados nesses países for adequado, ou quando existirem garantias legais apropriadas, como as cláusulas contratuais padrão.
Para além do disposto, a CNPD como parte do sistema de cooperação do RGPD, troca informações com outras autoridades de proteção de dados da União Europeia e colabora no desenvolvimento de orientações sobre a interpretação e aplicação de disposições do regulamento. A troca de informações entre as autoridades permite que as melhores práticas sejam compartilhadas e que se evite a duplicação de esforços na investigação de casos transnacionais.
Relativamente às sanções (23), o RGPD, aplicado desde 2018 em toda a União Europeia, estabelece um regime rigoroso de sanções, que pode ser implementado pela CNPD em Portugal.
O RGPD prevê um sistema de sanções que inclui desde advertências e repreensões até multas administrativas significativas, dependendo da gravidade da infração. As multas podem atingir valores elevados, com duas faixas principais: até 10 milhões de euros ou 2% do volume de negócios global anual da entidade, o que for maior, para infrações consideradas menos graves, como a falta de documentação adequada ou de registos de atividades de tratamento. Já as infrações mais graves, como o tratamento ilícito de dados ou a falha em cumprir ordens da CNPD, podem levar a multas de até 20 milhões de euros ou 4% do volume de negócios global anual, o que for maior. Esses valores demonstram a seriedade com que o RGPD trata a proteção dos dados pessoais e o impacto que a violação das normas pode ter para as entidades infratoras.
Antes de aplicar uma multa, a CNPD pode optar por medidas mais suaves, como advertências ou repreensões, especialmente quando a infração for de natureza leve ou quando a entidade infratora corrigir rapidamente o problema identificado. Essas advertências servem como uma forma de alertar as organizações para a necessidade de se ajustarem às normas, sem recorrer a penalidades financeiras imediatas. No entanto, mesmo quando não há uma multa direta, a CNPD pode impor medidas corretivas, como a suspensão temporária do tratamento de dados ou a proibição total do tratamento em casos mais graves.
Além das multas, outra possível consequência para as entidades infratoras é a obrigação de compensar os titulares dos dados por danos causados por uma violação de seus direitos. O RGPD prevê que os indivíduos afetados por um tratamento ilícito de dados podem exigir a compensação por danos materiais ou imateriais resultantes da infração. Assim, além da sanção imposta diretamente à organização infratora, ela também pode ser responsabilizada civilmente pelos danos causados a indivíduos.
Apesar do referido anteriormente, acredito que a eficácia das sanções depende não apenas da sua aplicação rigorosa, mas também da educação e prevenção. Penalizações severas são importantes para dissuadir infrações graves, mas uma abordagem equilibrada, que privilegie o esclarecimento e a cooperação com os agentes regulados, contribui para uma cultura mais sólida de respeito pela privacidade.

4. Conclusão

Em suma, o Direito da Proteção de Dados emergiu como uma resposta necessária às complexidades e desafios impostos pela revolução tecnológica e pela globalização da informação. O novo ordenamento jurídico global teve um papel central na sua consolidação, promovendo a uniformização e a robustez das normas, exemplificada pelo RGPD, que se destacou como um marco pioneiro na proteção de dados pessoais. Este regulamento não só estabeleceu padrões elevados de segurança e transparência, como também influenciou legislações em todo o mundo, destacando a importância de uma abordagem cooperativa e harmonizada.                     
A criação da CNPD em Portugal reforçou este compromisso, funcionando como uma entidade administrativa de supervisão que assegura o cumprimento das normas, exerce competências fiscalizadoras e sanciona eventuais infrações. A sua colaboração com o RGPD fortalece o sistema de proteção de dados, consolidando a confiança dos cidadãos na gestão da sua privacidade.
Neste segmento, considero que o RGPD e a CNPD representam avanços indispensáveis para o equilíbrio entre a inovação tecnológica e os direitos fundamentais. Não obstante, o desafio está em acompanhar a rapidez com que as novas tecnologias surgem e em assegurar que a legislação continua eficaz sem se tornar um entrave ao progresso. É essencial que as autoridades intercalem o rigor com flexibilidade para proteger os cidadãos e fomentar a inovação responsável.  


Referências:
(1) Previsto no art. 80º/ 1 do Código Civil Português e art. 26º/1 da CRP

(2) Introduzido pelo art. 35º/1 da CRP, RGPD e Lei nº 58/ 2019

(3) A. BARRETO MENEZES CORDEIRO, Direito da Proteção de Dados, à luz do RGPD e da Lei nº 58/2019, Reimpressão, Almedina, Coimbra, 2022, p. 35

(4) A. BARRETO MENEZES CORDEIRO, Direito da Proteção de Dados, à luz do RGPD e da Lei nº 58/2019, Reimpressão, Almedina, Coimbra, 2022, p. 35

(5) VASCO PEREIRA DA SILVA, “Automatisierte Systeme”, C. H. Beck, 2022, p. 425-426

(6) VASCO PEREIRA DA SILVA, Automatisierte Systeme, C. H. Beck, 2022, p. 427-428

(7) DOMINGOS SOARES FARINHO/ FRANCISCO PAES MARQUES/ TIAGO FIDALGO DE FREITAS, Direito da Proteção de Dados: Perspetivas Públicas e Privadas, Almedina, 2023, p. 14

(8) PETER BLUME. «The public sector ant the forthcoming EU Data Protection Regulation». In
European Data Protection Law Review (EDPL) 1/2015, pp. 32-38 (33-34).

(9) De inspiração keynesiana

(10) MARCO CALDEIRA, “As entidades administrativas independentes”, in Organização Administrativa: Novos Actores, Novos Modelos, AAFDL Editora, Lisboa, 2018, p. 460

(11) MARCO CALDEIRA, “As entidades administrativas independentes”, in Organização Administrativa: Novos Actores, Novos Modelos, AAFDL Editora, Lisboa, 2018, p. 462

(12) Não se aplica a Lei-Quadro das entidades administrativas independentes

(13) A. BARRETO MENEZES CORDEIRO, Direito da Proteção de Dados, à luz do RGPD e da Lei nº 58/2019, Reimpressão, Almedina, Coimbra, 2022, p. 399

(14) DOMINGOS SOARES FARINHO/ FRANCISCO PAES MARQUES/ TIAGO FIDALGO DE FREITAS, Direito da Proteção de Dados: Perspetivas Públicas e Privadas, Almedina, 2023, p. 522

(15) Previsto no art. 15º/1 da Lei Orgânica da CNPD

(16) Introduzido pelo art. 15º/2 da Lei Orgânica da CNPD

(17) Estabelecido nos termos do art. 2º/4 da Lei Orgânica da CNPD

(18) Previstos no RGPD

(19) A. BARRETO MENEZES CORDEIRO, Direito da Proteção de Dados, à luz do RGPD e da Lei nº 58/2019, Reimpressão, Almedina, Coimbra, 2022, p. 406

(20) Previsto nos artigos 60º/ 61º e 62º do RGPD

(21) Previsto no artigo 68/1 do RGPD

(22) A. BARRETO MENEZES CORDEIRO, Direito da Proteção de Dados, à luz do RGPD e da Lei nº 58/2019, Reimpressão, Almedina, Coimbra, 2022, p. 421

(23) Previsto nos artigos 83º e 84º do RGPD


Bibliografia: 

A. BARRETO MENEZES CORDEIRO, Direito da Proteção de Dados, à luz do RGPD e da Lei nº 58/2019, Reimpressão, Almedina, Coimbra, 2022;

VASCO PEREIRA DA SILVA, “Automatisierte Systeme”, C. H. Beck, 2022;

DOMINGOS SOARES FARINHO/ FRANCISCO PAES MARQUES/ TIAGO FIDALGO DE FREITAS, Direito da Proteção de Dados: Perspetivas Públicas e Privadas, Almedina, 2023;

PETER BLUME. «The public sector ant the forthcoming EU Data Protection Regulation». In European Data Protection Law Review (EDPL) 1/2015;

MARCO CALDEIRA, “As entidades administrativas independentes”, in Organização Administrativa: Novos Actores, Novos Modelos, AAFDL Editora, Lisboa, 2018.


Carolina Teixeira, 69535














Comentários

Enviar um comentário

Mensagens populares deste blogue

Simulação Escrita - Advogados de Sandokan da Ultrapassagem de prazos

  Direito Administrativo II – 2024/25 Parecer Jurídico – Prazos Ultrapassados pela Administração Pública Na sequência de uma omissão administrativa de resposta, o seguinte parecer tem por objeto a apreciação jurídico-contenciosa da ação da Administração Pública face ao pedido de autorização de residência apresentado por Sandokan da Silva, em 5 de maio de 2020. Tal omissão ocorre no contexto do procedimento previsto no art. 88º/2 da Lei n.º 23/2007, de 4 de julho, com a redação introduzida pela Lei nº 102/ 2017, de 28 de agosto, à luz do incumprimento dos deveres legais de decisão dentro dos prazos estipulados por parte da Administração Pública. Ao abrigo do referido preceito legal, o legislador consagra os direitos do cidadão estrangeiro que se encontre em território nacional. Assim, ao exercer atividade profissional e detendo vínculo laboral válido, o cidadão deve solicitar a regularização da sua situação por via da obtenção de autorização de residência. Esta prerrogativa vi...
Ler mais

Simulação escrita - Grupo I dos Advogados da Administração Pública

                                Simulação Direito Administrativo II 2025/2026 Subturma 10 Declaração dos Grupo I de Advogados da Administração Pública Exmos. Meritíssimos Senhores Juízes, vimos por este meio apresentar a posição da Administração Pública face ao requerimento do Sr. Sandokan da Silva contra a mesma. Argui o Sr. Sandokan a omissão administrativa de concessão de autorização de residência, após ter apresentado um pedido a tal destinado, visando condenar a Administração à prática do ato. Contudo, por força da falta de apresentação, por parte do requerente, dos documentos exigidos dentro dos prazos legais, da mudança das entidades competentes (na medida da extinção do SEF e posterior criação da AIMA) e a consequente alteração das regras procedimentais, vem a Administração contestar a referida condenação. Relativamente à  matéria de direito , quanto, primeiramente, à ausência de ...
Ler mais

GRUPO 6 - Privatização integral do serviço público a entidade privada sujeita a controlo de uma “agência reguladora das migrações

Catarina Gomes (1), Carolina Teixeira (2), Evelina Sleahtitchi (3), Rafael de Jesus (4), Duarte Rodrigues (5), Mª Margarida Cabral (6) CONSIDERAÇÕES INICIAIS  A Agência para a Integração, Migrações e Asilo (AIMA, I.P. (7)), criada pelo Decreto-Lei n.º 41/2023, de 2 de junho, constitui um instituto público (8) integrado na administração indireta do Estado, dotado de autonomia administrativa e financeira, com jurisdição e serviços desconcentrados sobre todo o território nacional, estando sujeito à superintendência e tutela do membro do Governo (9) responsável pelas áreas da igualdade e das migrações. Este instituto público tem como missão fundamental a concretização das políticas públicas nacionais e europeias em matéria de migração e asilo relativas à entrada, permanência, acolhimento e integração de cidadãos estrangeiros em território nacional (10).  Desta agência, criada há pouco mais de um ano, posteriormente à extinção do SEF, já constam mais de 1.500 reclamações (11). Dada...
Ler mais