II SÉRIE-A — NÚMERO 107

96

tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados

pessoais, sanções equivalentes em todos os Estados-membros, bem como uma cooperação efetiva entre as

autoridades de controlo dos diferentes Estados-membros. (considerando 13).

Para efeitos do RGPD, bem como da nova lei de proteção de dados que a presente iniciativa cria, são

entendidos como «dados pessoais» toda “a informação relativa a uma pessoa singular identificada ou

identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada,

direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um

número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos

específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa

singular”, conforme previsto no n.º 1 do artigo 4.º do RGPD, definindo este, logo de seguida, que o «tratamento

de dados» corresponde a uma operação ou conjunto de operações efetuadas sobre os dados pessoas ou

sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o

registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a

utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação

ou interconexão, a limitação, o apagamento ou a destruição” (n.º 2 do artigo 4.º).

Este diploma comunitário contém inúmeras disposições abertas destinadas especificamente aos

legisladores nacionais, por exemplo, quanto aos requisitos para a nomeação do encarregado de proteção de

dados, a proteção de dados pessoais em contexto laboral ou a questão da idade mínima para o

consentimento.

Os Estados-membros devem estabelecer em uma ou mais autoridades públicas independentes a

responsabilidade pela fiscalização da aplicação do RGPD (n.º 1 do artigo 51.º), tendo a autoridade ou

autoridades de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo

tratamento ou subcontratante, a competência para agir como autoridade de controlo principal para o

tratamento transfronteiriço, trabalhando em cooperação com as autoridades dos restantes Estados-membros

(artigos 56.º a 62.º), contribuindo assim para o potenciamento do mercado único digital criando a possibilidade

de as empresas lidarem apenas com uma autoridade de supervisão e não com 28 autoridades diferentes.

A entidade administrativa independente, com poderes de autoridade, nacional é a Comissão Nacional de

Proteção de Dados (CNPD), cuja lei de organização e funcionamento foi aprovada pela Lei n.º 43/2004, de 18

de agosto, alterada pela Lei n.º 55-A/2010, de 31 de dezembro, tendo como atribuição controlar e fiscalizar o

cumprimento das disposições legais e regulamentares em matéria de proteção de dados pessoais, em

rigoroso respeito pelos direitos do homem e pelas liberdades e garantias consagradas na Constituição e na lei.

Sobre o RGPD, a CNPD emitiu o Parecer n.º 8/2017, a pedido do Ministério da Justiça.

Com a presente iniciativa assegura-se a execução, na ordem jurídica interna, do RGPD, revogando-se a

atual Lei de Proteção de Dados, aprovada pela Lei n.º 67/98, de 26 de outubro, com as alterações introduzidas

pela Lei n.º 103/2015, de 24 de agosto, apresentando-se na sua versão consolidada8.

No entanto, existem no ordenamento jurídico uma multiplicidade de atos normativos que, expressa ou

implicitamente, têm a Lei de Proteção de Dados como referência e em diversas áreas.

Diz-nos o artigo 9.º do RGPD que o tratamento de, entre outros, dados genéticos, dados biométricos para

identificar uma pessoa de forma inequívoca ou dados relativos à saúde, é proibido, categorizando estes dados

como “dados pessoais especiais”, prevendo seguidamente no n.º 2 quais as situações onde essa proibição

pode não se aplicar.

Incluídos nesta categorização especial de dados pessoais, o ordenamento jurídico nacional possui diversos

atos normativos, nomeadamente: a Lei n.º 12/2005, de 26 de janeiro, com as alterações introduzidas pela Lei

n.º 26/2016, de 22 de agosto, sobre a informação genética pessoal e informações de saúde; a Lei n.º 5/2012,

de 23 de janeiro, que regula os requisitos de tratamento de dados pessoais para constituição de ficheiros de

âmbito nacional, contendo dados de saúde, com recurso a tecnologias de informação e no quadro do Serviço

Nacional de Saúde; a Lei n.º 53/2017, de 14 de julho, que cria e regula o Registo Oncológico Nacional e a Lei

n.º 26/2016, de 22 de agosto, que aprova o regime de acesso à informação administrativa e ambiental e de

reutilização dos documentos administrativos, transpondo a Diretiva 2003/4/CE, do Parlamento Europeu e do

Conselho, de 28 de janeiro, e a Diretiva 2003/98/CE, do Parlamento Europeu e do Conselho, de 17 de

referida Diretiva. 8 Retirada do Portal da Internet do Diário da República Eletrónico.