La deslocalización de empresas gallegas hacia el norte de Portugal fue una constante durante años, impulsada por factores como una fiscalidad más favorable, menores costes laborales y un suelo industrial más asequible.
En materia de protección de datos personales, el marco normativo es prácticamente idéntico, con pequeñas diferencias derivadas de las legislaciones nacionales.
Marcos normativos
En España, las normas principales son:
- Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales
- Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
- Ley 11/2022, de 8 de junio, General de Telecomunicaciones
- Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos
En Portugal, las normas principales son:
- Lei nº 58/2019, de 8 de agosto, da proteçao de dados pessoais
- Lei nº 59/2019, de 8 de agosto, de dados pessoais para prevenção, deteção, investigação ou repressão de infrações penais
- Lei nº 41/2004, de 18 de agosto, de protecção de dados pessoais e privacidade nas telecomunicações
- DL nº 71/2021, de 11 de agosto, de cooperação entre as autoridades nacionais na aplicação da legislação de proteção dos consumidores
- Lei nº 43/2004, de 18 de agosto, de organização e funcionamento da Comissão Nacional de Protecção de Dados
Ámbito de aplicación
El artículo 2, apartado 1, de la Lei nº 58/2019 es aplicable al «tratamiento de datos personales realizado en territorio nacional (…) aplicando todas las exclusiones previstas en el artículo 2 del RGPD». El apartado 2 añade que se aplicará al tratamiento de datos personales realizado fuera del territorio nacional cuando: a) Se lleve a cabo en el ámbito de la actividad de un establecimiento en el territorio nacional; b) Afecte a los interesados que se encuentren en el territorio nacional, cuando las actividades de tratamiento estén sujetas a lo dispuesto en el apartado 2 del artículo 3 del RGPD; c) Afecte a los datos registrados en oficinas consulares en poder de interesados portugueses residentes en el extranjero.
Según la autoridad de control portuguesa, la Comissão Nacional de Protecção de Dados, aunque la definición del ámbito territorial sigue los criterios del artículo 3 del RGPD, los términos en que está expresada pueden socavar la aplicación de normas de procedimiento y el reparto de competencias entre autoridades nacionales en tratamientos transfronterizos, por lo que se debe actuar con precaución.
Autoridades de control
En Portugal, la autoridad competente en protección de datos es la Comissão Nacional de Proteção de Dados (www.cnpd.pt).
En España, la Agencia Española de Protección de Datos (www.aepd.es) es la autoridad competente, salvo en Cataluña, País Vasco y Andalucía, que cuentan con sus propias agencias para sus competencias autonómicas.
Denominaciones diferentes
Por la diferencia idiomática, las figuras equivalentes tienen nombres distintos:
- El delegado de protección de datos en España se denomina encarregado de proteção de dados en Portugal.
- Los responsables y encargados del tratamiento se llaman responsável y subcontratante pelo tratamento, respectivamente.
Esta distinción lingüística no afecta la aplicación práctica, pero es esencial para documentación transfronteriza.
Otra diferencia: el derecho de supresión (y al olvido), en Portugal se dice: Direito ao Apagamento.
Menores
En Portugal, el artículo 16 de la Lei nº 58/2019 establece que los menores de más de 13 años pueden consentir el tratamiento de sus datos personales para la oferta directa de servicios de la sociedad de la información, como plataformas digitales, redes sociales o juegos online, conforme al artículo 6.1.a) del RGPD. Para menores de 13 años, el tratamiento requiere el consentimiento de sus representantes legales, preferiblemente mediante métodos de autenticación seguros.
En España, según el artículo 7 de la LOPDGDD, el consentimiento para el tratamiento de datos personales de menores es válido a partir de los 14 años, sin restringirse a la oferta directa de servicios de la sociedad de la información. No obstante, el Proyecto de Ley Orgánica para la protección de menores en entornos digitales propone elevar esa edad a 16 años, con el objetivo de reforzar su protección frente a riesgos como la exposición a contenidos inapropiados, la explotación comercial de datos o el ciberacoso, e incluye la implementación de herramientas de verificación de edad.
La Lei nº 58/2019 no establece explícitamente una edad mínima para el consentimiento en otros supuestos al margen de los servicios de la sociedad de la información, lo que implica que el consentimiento deba ser concedido por sus representantes legales hasta la mayoría de edad.
Portugal adopta el umbral mínimo permitido por el RGPD, mostrando un enfoque relativamente permisivo. Sin embargo, en comparación con España, es más conservador o restrictivo al limitar el consentimiento válido, otorgado por mayores de 13 años, a la oferta directa de servicios de la sociedad de la información.
Relaciones laborales
La ley portuguesa regula específicamente el tratamiento de datos personales de trabajadores por parte del empleador (artículo 28), los datos sanitarios y genéticos (artículo 29), y las bases de datos o registros sanitarios centralizados (artículo 30). En España no existe regulación específica sobre estas materias.
Transferencias internacionales
La Lei nº 58/2019 aborda las transferencias internacionales en su artículo 22, estableciendo que las transferencias a terceros países fuera de la Unión Europea u organizaciones internacionales, realizadas por entidades públicas en cumplimiento de obligaciones legales y en el ejercicio de sus competencias, se consideran de interés público según el artículo 49.4 del RGPD.
La LOPDGDD regula las transferencias internacionales de forma más detallada en los artículos 40 a 43, incluyendo la obligación de autorización e información previa, conforme a lo exigido por el RGPD.
Régimen sancionador
El régimen sancionador portugués guarda similitudes con la LOPDGDD, pero incluye una lista específica de delitos en materia de protección de datos:
- Uso incompatible de los datos (artículo 46)
- Acceso indebido (artículo 47)
- Apropiación indebida (artículo 48)
- Alteración o destrucción de datos (artículo 49)
- Inserción de datos falsos (artículo 50)
- Incumplimiento del deber de confidencialidad (artículo 51)
- Desobediencia (artículo 52)
Además, regula la punibilidad de tentativas (artículo 53) y la responsabilidad de personas jurídicas (artículo 54).
En España, los delitos en protección de datos están regulados exclusivamente en el Código Penal. Aquí pueden consultar una guía de la AEPD sobre protección de datos y prevención de delitos.
Otra diferencia importante es que en España las Administraciones públicas no son sancionadas económicamente, mientras que en Portugal sí. Por ejemplo, la multa más elevada impuesta fue al Instituto Nacional de Estadística de Portugal, por 4.300.000 euros (resolución disponible aquí).
Garantía de los derechos digitales
En España, la ley regula la llamada «garantía de los derechos digitales», que incluye derechos como:
- Neutralidad y acceso universal a Internet
- Seguridad digital
- Educación digital
- Protección de los menores en Internet
- Derecho de rectificación en Internet
- Derecho a la actualización de informaciones en medios digitales
- Intimidad y uso de dispositivos digitales en el ámbito laboral
- Derecho a la desconexión digital laboral
- Intimidad frente al uso de videovigilancia y grabaciones en el trabajo
- Intimidad ante sistemas de geolocalización en el trabajo
- Derechos digitales en la negociación colectiva
- Derecho al olvido en búsquedas por Internet
- Derecho al olvido y a la portabilidad en redes sociales y servicios equivalentes
- Derecho al testamento digital
- Políticas para impulsar los derechos digitales
La mayoría de estos derechos están por desarrollarse. La única iniciativa hasta ahora es la Carta de Derechos Digitales, aprobada por el Gobierno de España dentro del Plan de Recuperación, Transformación y Resiliencia. Sobre ella hablé en el artículo que dejo enlazado aquí.
En Portugal se aprobó la Carta Portuguesa de Direitos Humanos na Era Digital, que fue promulgada como ley y, por tanto, es de obligado cumplimiento, a diferencia de la española, que es una declaración de intenciones sin fuerza legal.
Pronunciamiento de la CNPD sobre determinados artículos
La Comissão Nacional de Proteção de Dados anunció que algunos artículos de su ley de adaptación al RGPD no se aplicarán por considerarlos «manifiestamente incompatibles con el Derecho de la Unión».
Estos preceptos afectan al ámbito de aplicación de la ley, el deber de secreto de responsables y encargados, el tratamiento de datos por entidades públicas para finalidades distintas a las de recogida, la necesidad de consentimiento del trabajador en ciertos supuestos, la renovación del consentimiento en contratos, y la calificación y graduación de infracciones y sanciones (fuente aquí).
Conclusiones
Puestos a comparar, quizás se pregunten: ¿cuál de las dos leyes es mejor?
Es difícil responder con certeza, pero confieso que me inclino más por la LOPDGDD. Quizá porque estoy más familiarizado con ella, me parece mejor estructurada y más completa, aunque tiene carencias que espero se subsanen en un futuro. Esto no significa que el trabajo del legislador portugués sea inferior, ni mucho menos.
No se pierda nuestro podcast sobre el artículo
