Proteção de Dados

Decreto-Lei n.º 2/2025, de 23 de janeiro

Presidência do Conselho de Ministros

Executa o Regulamento (UE) 2022/868, relativo à governação europeia de dados

O Regulamento (UE) 2022/868, do Parlamento Europeu e do Conselho, de 30 de maio de 2022, relativo à governação europeia de dados, e que altera o Regulamento (UE) 2018/1724 (Regulamento Governação de Dados), visa regulamentar a reutilização, na União Europeia, de determinadas categorias de dados detidos por organismos do setor público, estabelecendo um regime de notificação e supervisão para a prestação de serviços de intermediação de dados, bem como um regime para o registo voluntário das entidades que recolhem e tratam os dados disponibilizados para fins altruístas, e um regime para a criação de um Comité Europeu de Inovação em Dados.

O principal objetivo é fomentar a inovação e a partilha segura de dados na economia digital europeia, respeitando simultaneamente os direitos dos titulares dos dados, quer do ponto de vista de dados pessoais como os não pessoais.

Assim, do Regulamento da Governação de Dados resulta a obrigação de cada Estado-Membro designar um ou vários organismos competentes, em determinados setores, para apoiar os organismos do setor público que, nesse quadro jurídico, concedem ou recusam acesso, para fins de reutilização, a determinadas categorias de dados protegidos.

Em conformidade com tal desígnio, foi publicado o Decreto-Lei n.º 2/2025, de 23 de janeiro no Diário da República, 1.ª série, n.º 16 que executa o referido Regulamento (EU) 2022/868, relativo à governação europeia de dados e que prescreve o Regime Jurídico das Contraordenações Económicas como mecanismo de aplicação subsidiário em tudo o que não estiver expressamente estabelecido no diploma legal aqui em apreço.

Neste sentido, nos termos do artigo 2.º do presente Decreto-Lei o Estado Português definiu como entidades competentes para assegurar a supervisão e a conformidade com as disposições do regulamento:

  • Agência para a Modernização Administrativa (AMA, I.P.) – cuja matéria de competência tem o seu elenco previsto no disposto do artigo 3.º do presente diploma legal;
    Secretaria-Geral do Ministério das Finanças,
    ANACOM,
    Inspeção-Geral da Agricultura, do Mar, do Ambiente e do Ordenamento do Território,
  • Autoridade de Segurança Alimentar e Económica,
  • Secretaria-Geral do Ministério do Ambiente,
  • Serviços Partilhados do Ministério da Saúde (SPMS) e a
  • Secretaria-Geral do Governo.

Com especial relevância, o artigo 34.º do Regulamento Governação de Dados determina que compete aos Estados‑Membros definir as regras relativas às sanções aplicáveis em caso de violação das obrigações referentes às transferências de dados não pessoais para países terceiros, bem como quando se verifique o incumprimento das condições para a prestação de serviços de intermediação de dados e das condições para o registo como organização de altruísmo de dados reconhecida, estas obrigações encontram-se reguladas nos artigos 7.º, 8.º e 9.º do presente Decreto-lei.

Assim, o presente Decreto-Lei, nos termos do artigo 10.º, veio classificar as contraordenações como sendo leves, graves e muito graves, ficando o quadro sancionatório exposto da seguinte forma:

  • Contraordenações muito graves – prevê-se a aplicação de coimas de 2.500,00€ a 3.740,00€ para pessoas singulares e de coimas de 20.000,00€ a 44.890,00€ para pessoas coletivas, prevendo-se ainda a possibilidade de aplicação de sanções acessórias, consoante a gravidade da infração e a culpa do agente.
  • Contraordenações graves – serão aplicadas coimas de 500,00€ a 2.500,00€ para pessoas singulares e de 5.000,00€ a 20.000,00€ para pessoas coletivas.
  • Contraordenações leves – preveem-se a aplicação de coimas de 100,00€ a 1.000,00€ para pessoas singulares e de 1.000,00€ a 5.000,00€ para pessoas coletivas.

Por último, neste quadro sancionatório, o legislador não esqueceu a punição a título de negligência, contemplada no n.º 4 do artigo 10.º, onde se prevê que os limites mínimos e máximos das coimas aplicáveis possam ser reduzidos a metade.

 

ACÓRDÃO DO TRIBUNAL DA JUSTIÇA DA UNIÃO EUROPEIA, processo C‑768/21, de 26 de setembro de 2024

(Publicado na Euro-Lex)

O pedido de decisão prejudicial tem por objeto a interpretação dos artigos 57.°, n.° 1, alíneas a) e f), 58.°, n.° 2, e 77.°, n.° 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). 

Este pedido foi apresentado no âmbito de um litígio que opõe TR ao Land Hessen (Land de Hesse, Alemanha) a respeito da abstenção de o Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Responsável pela proteção de dados e pela liberdade de informação no Land de Hesse, Alemanha) («HBDI») tomar medidas de correção em relação à Sparkasse.