Zonas Mágicas

Règlement général sur la protection des données

Règlement général sur la protection des données

Loi n° 58/2019 du 8 août

Loi d’exécution du règlement (UE) 2016/679 au Portugal

Plus de trois ans après l’entrée en vigueur du règlement général sur la protection des données (mai 2016) et plus d’un an à la date de son application (mai 2018), la loi assurant l’application de la loi dans l’ordre juridique national du règlement (UE) 2016/679 (règlement général sur la protection des données) a finalement été publiée: Loi n° 58/2019 du 8 août.

Le diplôme entre en vigueur aujourd’hui, le 9 août.

Nous soulignons les principales nouveautés de cette loi :

A. DÉSIGNATION CNPD : AUTORITÉ NATIONALE DE SURVEILLANCE

La Commission nationale de protection des données (CNPD) est désignée comme une autorité de contrôle nationale aux fins du RGPD et de la loi.

La loi introduit des modifications au droit de l’organisation et du fonctionnement de la CNPD (et la republie) et prévoit de nouvelles tâches en plus de celles énoncées à l’article 57 du RGPD.

 

B. DÉLÉGUÉ À LA PROTECTION DES DONNÉES : OBLIGATOIRE POUR LES ENTITÉS PUBLIQUES

Afin de se conformer à l’article 37 du RGPD, la loi précise quelles entités publiques sont tenues de nommer un délégué à la protection des données :

  • État
  • Régions autonomes (Açores et Madère)
  • Autorités locales et entités supracommunales prévues par la loi
  • Entités administratives indépendantes
  • Banque du Portugal
  • Instituts publics
  • Établissements publics d’enseignement supérieur
  • Entreprises du secteur des entreprises d’État et des secteurs d’activité régionaux et locaux
  • Associations publiques.

 

C. DÉLÉGUÉ À LA PROTECTION DES DONNÉES : OBLIGATOIRE POUR CERTAINES ENTITÉS PRIVÉES

Il stipule qu’il est obligatoire de désigner un délégué à la protection des données lorsque l’activité privée exercée implique principalement un traitement nécessitant un contrôle régulier et systématique des personnes concernées à grande échelle ou un traitement à grande échelle de catégories particulières de données conformément à l’article 9 du RGPD, ou de données à caractère personnel relatives à des condamnations pénales et contre-nationales en vertu de l’article 10 dudit règlement.

 

D. DÉLÉGUÉ À LA PROTECTION DES DONNÉES : EXEMPTION  DE CERTIFICATION PROFESSIONNELLE

Elle précise que l’exercice des fonctions de délégué à la protection des données ne nécessite pas de certification professionnelle et souligne que, quelle que soit la nature de sa relation juridique avec le responsable du traitement, il conserve une autonomie technique.

 

E. CERTIFICATION : INSTITUT PORTUGAIS D’ACCRÉDITATION

Il est déterminé que l’Office portugais d’accréditation (IPAC, I.P.) est l’autorité compétente pour l’accréditation des organismes de certification de la protection des données, comme l’exige l’article 43 du RGPD.

L’accréditation des organismes de certification iPAC doit tenir compte des exigences énoncées dans le RGPD et des exigences supplémentaires fixées par la CNPD. Ces organismes certifieront les entités dont les procédures mises en œuvre sont conformes aux dispositions du RGPD et au diplôme juridique approuvé par les présentes.

 

F. CONSENTEMENT DES MINEURS : SERVICES DE LA SOCIÉTÉ DE L’INFORMATION

Le consentement donné par les mineurs en ce qui concerne la fourniture directe de services de la société de l’information est légal si les mineurs sont âgés d’au moins 13 ans.

Si le mineur est âgé de moins de 13 ans, le traitement n’est légal que si le consentement est donné par les titulaires de responsabilités parentales, en utilisant des moyens d’authentification sécurisée.

 

G. VIDÉOSURVEILLANCE : AUTORISATION PRÉALABLE DE LA CNPD POUR LA CAPTURE SONORE

Une interdiction de la capture sonore par les caméras de vidéosurveillance est déterminée, sauf pendant la période où les installations supervisées sont fermées ou autorisées par la CNPD.

 

H. DONNÉES POUR LA SÉCURITÉ SOCIALE : DURÉES DE CONSERVATION

La possibilité de conserver sans limitation dans le temps les données relatives aux déclarations de sécurité sociale de retraite ou de retraite est déterminée.

 

I. ENTITÉS PUBLIQUES : TRAITEMENT EXCEPTIONNEL DE DONNÉES À CARACTÈRE PERSONNEL À DES FINS DIFFÉRENTES

Il permet, exceptionnellement :

  • Le traitement des données personnelles par des entités publiques à des fins autres que celles déterminées par la collecte. La base du traitement doit résider dans la poursuite de l’intérêt public qui ne peut pas être pris en charge autrement; et
  • La transmission de données personnelles entre entités publiques à des fins autres que celles déterminées par la collecte. Le traitement fait l’objet d’un protocole établissant les responsabilités de chaque entité intervenante, soit dans l’acte de transmission, soit dans d’autres traitements à effectuer.

 

J. ACCÈS AUX DOCUMENTS ADMINISTRATIFS : APPLICATION DE SON PROPRE DIPLÔME

L’accès aux documents administratifs contenant des données personnelles est régi par les dispositions de la loi n° 26/2016 du 22 août, qui approuve le régime d’accès aux informations administratives et environnementales et de réutilisation des documents administratifs, qui a été, ponctuellement, modifié par cette nouvelle loi.

 

K. SANTÉ ET GÉNÉTIQUE : TRAITEMENT DES DONNÉES

Il est établi que le traitement des données de santé et des données génétiques doit être régi par le principe de la nécessité de connaître les informations, et le responsable du traitement est tenu d’informer la personne concernée de tout accès à ses données à caractère personnel, ce qui signifie qu’elle devra nécessairement mettre en œuvre un mécanisme de traçabilité et de notification.

 

L. PERSONNES DÉCÉDÉES : PROTECTION DES DONNÉES PERSONNELLES

Il est établi que les données personnelles des personnes décédées qui font partie des catégories particulières de données personnelles, conformément à l’article 9 du RGPD, seront également protégées.

 

M. RELATIONS DE TRAVAIL : DONNÉES DES TRAVAILLEURS 

Des règles spécifiques sont prévues pour le traitement des données des travailleurs dans le cadre des relations professionnelles, notamment en ce qui concerne les questions suivantes:

  • Consentement du travailleur : il n’est pas licite si le traitement entraîne un avantage juridique ou économique pour le travailleur.
  • Systèmes de vidéosurveillance: les images de télésurveillance ne peuvent être utilisées dans le cadre de procédures disciplinaires que si elles ont déjà été utilisées dans le cadre de procédures pénales.
  • Données biométriques: le traitement n’est considéré comme licite que pour le contrôle de la présence et le contrôle de l’accès aux locaux.

 

N. PROTECTION JURIDICTIONNELLE : TRIBUNAUX ADMINISTRATIFS

Elle stipule que ce sont les tribunaux administratifs qui sont compétents pour statuer sur les recours proposés contre la CNPD.

 

O. ENTITÉS PUBLIQUES : EXONÉRATION DE L’IMPOSITION D’AMENDES

La possibilité d’une dispense d’amende pour une période de trois ans à compter de l’entrée en vigueur de la loi est déterminée sur demande motivée adressée à la CNPD. La disposition légale de cette prérogative devrait être réévaluée trois ans après la date du 9 août.

Toutes les autres règles, y compris les pouvoirs de correction prévus par le RGPD, s’appliqueront aux entités publiques.

 

P. MÉFAITS : AVERTISSEMENT PRÉALABLE POUR LA CONFORMITÉ

Dans le cas d’une procédure d’infraction, il est établi que, sauf en cas d’intention, l’ouverture d’une procédure d’infraction dépend toujours de l’avertissement préalable de la CNPD au contrevenant afin que, dans un délai raisonnable, il puisse se conformer à l’obligation omise ou rétablir l’interdiction violée.

Il prévoit des orretions supplémentaires à celles prévues par le RGPD.

Les limites minimale et maximale des amendes pour la commission d’infractions graves et très graves varient selon le type d’infraction:

  • Grandes entreprises (le plafond correspond au montant stipulé dans le RGPD) ;
  • Petites et moyennes entreprises (le plafond correspond à la valeur stipulée dans le RGPD) ;
  • Personnes physiques.

  Il stipule en tant que subsionrégime les dispositions du régime général de l’illicite de la simple ordination sociale.

 

Q. CRIMES PEU DE CHANGEMENTS

Caractérise les crimes liés aux données à caractère personnel: l’utilisation de données incompatibles avec la finalité de la collecte; l’accès indu; le détournement des données; la dépendance ou la destruction des données; insertion de fausses données; violation de l’obligation de secret; désobéissance.

Les cadres pénaux, ainsi que les types de crimes, sont similaires à ceux prévus par la loi n° 67/98 du 26 octobre (LPDP), à l’exception du crime de violation du secret professionnel, dont la limite maximale est réduite de moitié.

Essayer est toujours punissable.

 

A. RÉVOCATION : LOI N° 67/98, DU 26 OCTOBRE (LPDP)

Loi n° 67/98 du 26 octobre (LPDP) qui a transposé dans l’ordre juridique portugais la directive 95/45/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dans l’ordre juridique portugais du 24 octobre 1995.