II SÉRIE-A — NÚMERO 107

90

forma jurídica de regulamento decorreu, pois, da «necessidade de “assegurar um nível coerente de proteção

das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre

circulação de dados pessoais no mercado interno».

Se esta opção comporta consequências práticas, ela comporta também consequências jurídicas: um

regulamento é um instrumento dotado de aplicabilidade direta no interior dos Estados-membros (artigo 288.º

do Tratado sobre o Funcionamento da União Europeia), não carecendo, por isso, de qualquer instrumento de

transposição para as ordens jurídicas nacionais. Ora, sendo a presente proposta de lei do Governo destinada

a «garantir a execução» do Regulamento, essa finalidade pode ser questionada à luz da natureza jurídica do

dispositivo comunitário.

A proposta de lei identifica a sua razão de ser diante de um ato jurídico comunitário com aplicabilidade

direta: «Apresar de se tratar de um regulamento da União Europeia, o RGDP apresenta um conjunto

significativo de normas que requerem ou permitem a intervenção do legislador nacional» (Exposição de

Motivos). E o próprio RGDP dispõe que «no que diz respeito ao tratamento de dados pessoais para

cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou o exercício da

autoridade pública de que está investido o responsável pelo tratamento, os Estados-membros deverão poder

manter ou aprovar disposições nacionais para especificar a aplicação das regras do presente regulamento»

(Considerando 10) e que «caso o presente regulamento preveja especificações ou restrições das suas regras

pelo direito de um Estado-membro, estes podem incorporar elementos dos presente regulamento no respetivo

direito nacional, na medida do necessário para manter a coerência e tornar as disposições nacionais

compreensíveis para as pessoas a quem e aplicam» (Considerando 8).

É, pois, neste espaço – e apenas nele – que está o direito nacional admitido a regular esta matéria. Não

pode o legislador nacional criar regulação nacional senão lá onde o RGDP explicitamente requer normas de

especificação do seu conteúdo. E não pode também o legislador nacional apropriar-se do conteúdo normativo

do RGDP apenas para o reiterar, tendo o Tribunal de Justiça da União Europeia já em diversas ocasiões

sublinhado que essa «nacionalização» do direito comunitário o degrada e constitui um inaceitável prejuízo

para eventuais recursos à sua jurisdição.

I c) Descrição sumária dos conteúdos da proposta de lei

A proposta de lei em apreço é composta por cinco blocos normativos principais.

O primeiro identifica a Comissão Nacional de Proteção de Dados como a autoridade de controlo nacional

para efeito do RGPD, define a sua composição, as suas atribuições e competências e estipula o dever de

competência de entidades públicas e privadas com a CNPD. Cumpre sublinhar que a delimitação de

competências resultante da conjugação do artigo 6.º da proposta com o artigo 58.º do RGPD, opera uma

alteração substancial do modelo de intervenção da CNPD como autoridade de controlo: de um modelo de

autorização prévia passa-se para um modelo de autorregulação (compliance) balizado (guidance) pela CNPD.

O segundo bloco normativo (artigos 9.º e seguintes) concretiza a figura do encarregado de proteção de

dados prevista no RGPD. Nele se estabelecem as funções do encarregado de proteção de dados (artigo 11.º),

sendo a sua designação obrigatória nas entidades públicas (artigo 12.º) e condicionada, nas entidades

privadas, à verificação de atividades com a natureza das previstas no artigo 13.º.

O terceiro bloco normativo (artigos 14.º e 15.º) regula a acreditação, a certificação e os códigos de conduta

em matéria de tratamento de dados, cabendo a elaboração destes à CNPD que, para o efeito, tomará em

atenção as necessidades específicas das micro, pequenas e médias empresas.

Segue-se, no quarto bloco de normas (artigos 16.º e seguintes) um conjunto de disposições sobre regimes

específicos atinentes ao consentimento de menores (artigo 16.º), à proteção de dados pessoais de pessoas

falecidas (artigo 17.º), aos sistemas de videovigilância (artigo 19.º), aos prazos de conservação de dados

pessoais (artigo 21.º), à compatibilidade entre a proteção de dados pessoais e o exercício da liberdade de

expressão e informação (artigo 24.º), ao tratamento de dados pessoais no âmbito de relações laborais (artigo

28.º), ao regime das bases de dados de saúde (artigo 30.º) ou ao tratamento de dados para fins de arquivo de

interesse público, investigação científica ou fins estatísticos (artigo 32.º).

Por fim, o quinto bloco normativo incide sobre o regime sancionatório. A proposta de lei opera uma