Comissão Nacional de Proteção de Dados (CNPD)
DELIBERAÇÃO/2019/494
https://www.cnpd.pt/bin/decisoes/Delib/DEL_2019_494.pdf
(..)
Considerando que o direito da União pressupõe que o RGPD seja aplicado de modo uniforme no território dos Estados-Membros, para garantir a livre circulação de dados, com mecanismos de cooperação e coerência cuja efetivação depende da unidade de regime jurídico no contexto dos tratamentos de dados com impacto no território de mais do que um Estado-Membro;
Considerando que a adoção nacional de normas jurídicas em contradição com o estatuído no RGPD não só viola o princípio do primado do direito da União (Acórdão TJUE, Simmenthal, Proc. 106/77, § 21), como prejudica seriamente o funcionamento adequado do mecanismo de coerência, colocando a respetiva autoridade nacional em risco de violar uma das normas em antinomia;
Considerando ainda que decorre do princípio do primado que, além dos tribunais nacionais, também as entidades administrativas estão obrigadas a desaplicar as normas nacionais que contrariam o direito da União Europeia, como o determinou expressamente o TJUE, no acórdão Fratelli Costanzo2, que veio vincular todos os órgãos da Administração Pública ao dever de aplicar integralmente o direito da União, afastando se necessário as disposições nacionais que constituam um obstáculo à plena eficácia das normas daquele direito;
Considerando igualmente que o n.º 4 do artigo 8.º da Constituição da República Portuguesa (CRP) determina que as disposições dos tratados que regem a União Europeia e as normas emanadas das suas instituições, no exercício das respetivas competências, são aplicáveis na ordem interna, nos termos definidos pelo direito da União, com respeito pelos princípios fundamentais do Estado de Direito Democrático;
Considerando que a CNPD chamou a atenção para estes aspetos no Parecer n.º 20/2018, de 2 de maio de 2018, que emitiu sobre a Proposta de Lei n.º 120/XIII/3.ª, que «[a]ssegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito aos tratamentos de dados pessoais e à livre circulação desses dados», tendo elencado, fundamentadamente, o conjunto de normas que considerava suscetíveis de violar o direito da União Europeia e, em especial, o RGPD;
Considerando, por fim, que a Lei n.º 58/2019, de 8 de agosto, mantém algumas das normas então assinaladas como violadoras do direito da União, e que de entre estas, existem normas cuja redação final não permite salvá-las de tal juízo através de uma interpretação corretiva conforme ao direito da União, por ser insuprível a antinomia com as normas do RGPD e com a Carta dos Direitos Fundamentais da União Europeia,
E sem prejuízo das demais observações vertidas no citado parecer sobre outros artigos da mesma proposta de lei,
A CNPD delibera:
a) Fixar o entendimento de que determinadas normas desta lei são manifestamente incompatíveis com o direito da União, centrando, por ora, a sua atenção sobre aquelas disposições que, pela sua relevância e frequência de aplicação, suscitam a premência da adoção formal de tal entendimento;
b) Que, com fundamento no princípio do primado do direito da União Europeia, e nos demais argumentos que a seguir expõe, desaplicará em casos futuros que venha a apreciar, relativos a tratamentos de dados e às condutas dos respetivos responsáveis ou subcontratantes, as seguintes disposições da Lei n.º 58/2019, de 8 de agosto5:
(…)
CONCLUSÃO
Com os fundamentos acima expostos, de forma a assegurar o primado do direito da União Europeia e a plena efetividade do RGPD, a CNPD delibera desaplicar, nas situações de tratamento de dados pessoais que venha a apreciar, as seguintes normas da Lei n.º 58/2019, de 8 de agosto:
i. Artigo 2.º, n.ºs 1 e 2
ii. Artigo 20.º, n.º 1
iii. Artigo 23.º
iv. Artigo 28.º, n.º 3, alínea a)
v. Artigo 37.º, n.º 1, alíneas a), h) e k), e n.º 2
vi. Artigo 38.º, n.º 1, alínea b), e n.º 2
vii. Artigo 39.º, n.ºs 1 e 3
viii. Artigo 61.º, n.º 2
ix. Artigo 62.º, n.º 2
A CNPD esclarece que torna pública esta sua deliberação, com o intuito de assegurar a transparência dos seus procedimentos decisórios futuros e nesta medida contribuir para a certeza e segurança jurídicas.
Esclarece ainda que a não aplicação, em futuros casos concretos, das disposições legais acima elencadas tem por consequência a aplicação direta das normas do RGPD que estavam a ser por aquelas manifestamente restringidas, contrariadas ou comprometidas no seu efeito útil.
Aprovada na reunião de 3 de setembro de 2019
