Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Ley de protección de datos personales en Portugal. Diferencias con la LOPDGDD

De un tiempo a esta parte, el proceso de deslocalización de empresas gallegas hacia el norte de Portugal es una constante. Tanto es así que alguno de nuestros clientes se ha marchado al país vecino, pero seguimos asesorándoles en materia de protección de datos, al fin y al cabo el marco legal es prácticamente el mismo, salvo las pequeñas diferencias que marcan las legislaciones nacionales. 

En España está la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que entró en vigor el 7 de diciembre de 2018 y en Portugal la Lei nº 58/2019, de 8 de agosto, de Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Diário da República nº 151/2019) que entró en vigor el 9 de agosto de 2019. El 9 de agosto de 2019, también, entró en vigor en Portugal una ley específica sobre el procesamiento de datos personales con el fin de prevenir, detectar, investigar o enjuiciar delitos y para la ejecución de sanciones penales: la Lei 59/2019, de 8 de agosto que supone la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016. España transpusó dicha Directiva con la aprobación de Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, que entró en vigor el 16 de junio de 2021.

Veamos las principales diferencias entre la norma portuguesa y nuestra LOPDGDD. Advierto que no se trata de hacer un estudio en profundidad. Es una simple comparativa.

La primera diferencia es el ámbito de aplicación de una y otra norma. La ley portuguesa se aplica al tratamiento de datos personales que se realiza en territorio portugués, independientemente del carácter público o privado del responsable del tratamiento, con las exclusiones previstas en el artículo 2 del RGPD.

La ley portuguesa también se aplica al tratamiento que se realiza fuera del territorio nacional portugués cuando: a) Se realicen en el ámbito de la actividad de un establecimiento ubicado en el territorio nacional; b) Afecte a interesados ​​que se encuentren en el territorio nacional, cuando las actividades de tratamiento estén sujetas a lo dispuesto en el artículo 3.2 del RGPD; o c) afecta a datos registrados en las oficinas consulares en poder de residentes portugueses en el extranjero.

La segunda diferencia es la autoridad nacional de control. La nuestra es la Agencia Española de Protección de Datos, con las excepciones de Cataluña, País Vasco y Andalucía que cuentan con sus propias agencias de control. La autoridad portuguesa es única para todo el territorio nacional y se denomina Comissão Nacional de Proteção de Dados (www.cnpd.pt). 

La tercera diferencia es el nombre con el que se conoce en Portugal al Delegado de Protección de Datos. Allí se le conoce como encarregado de proteção de dados. La ley portuguesa habla también de responsável pelo tratamento y subcontratante, que se corresponden con lo que nuestra ley llama «responsable del tratamiento» y «encargado del tratamiento», respectivamente.

Más diferencias: Los datos personales de los menores de edad pueden tratarse sobre la base del consentimiento previsto en el artículo 6.1 letra a) del RGPD y en relación con la oferta directa de servicios de la sociedad de la información cuando el menor tienen más de 13 años. En España esa edad se eleva a los 14 años, pero no se acota o limita a la oferta directa de servicios de la sociedad de la información. A partir de los 14 años, en España los menores son responsables de las infracciones penales que hubieren cometido, de acuerdo con la Ley Orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores. Recuerden que los padres o tutores responden civilmente por los daños y perjuicios materiales y morales derivados de las conductas de sus hijos menores.

En la ley portuguesa se regulan las «relaciones laborales» en cuanto al tratamiento de datos personales de los trabajadores por parte del empleador (artículo 28), así como el tratamiento de datos de salud y datos genéticos (artículo 29) y las bases de datos o registros de salud centralizados (artículo 30). En nuestra ley no se regulan de forma específica.

En cuanto al régimen sancionador, la ley portuguesa guarda ciertas similitudes con la LOPDGDD, pero tiene sus particularidades, como el hecho de que se añada una lista de delitos específicos en materia de protección de datos: el «Uso de datos incompatibles con el propósito de la recopilación» (artículo 46), el «Acceso inadecuado» (artículo 47), la «Desviación de datos» (artículo 48), la «Adicción o destrucción de datos» (artículo 49), la «Introducción de datos falsos» (artículo 50), la «Violación del deber de secreto» (artículo 51) y la «Desobediencia» (artículo 52). Se advierte que, incluso, la tentativa resulta punible. En España es el Código Penal el que se encarga –en exclusiva– de regular los delitos en materia de protección de datos y seguridad de la información. Aquí les dejo una guía de la AEPD sobre protección de datos y prevención de delitos.

La Ley portuguesa no dice nada respecto a las transferencias internacionales. La LOPDGDD dedica sus artículos 40 a 43 a pormenorizar, entre otras cuestiones, los supuestos sometidos a autorización o información previa en casos de transferencias internacionales; la norma portuguesa parece remitirse, por omisión, al RGPD.

Hay más diferencias, pero no vamos a entrar en los pequeños detalles, pues ese no es el objetivo, pero una gran diferencia es que nuestra ley regula lo que se ha dado en llamar la «garantía de los derechos digitales», a saber:

  • Derecho a la neutralidad y al acceso universal a Internet.
  • Derecho a la seguridad digital.
  • Derecho a la educación digital.
  • Derecho a la protección de los menores en Internet.
  • Derecho de rectificación en Internet.
  • Derecho a la actualización de informaciones en medios de comunicación digitales.
  • Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
  • Derecho a la desconexión digital en el ámbito laboral.
  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
  • Derechos digitales en la negociación colectiva.
  • Derecho al olvido en búsquedas de Internet.
  • Derecho al olvido y a la portabilidad en servicios de redes sociales y servicios equivalentes.
  • Derecho al testamento digital.
  • Políticas de impulso de los derechos digitales.

La mayor parte de dichos derechos están por desarrollar. La única iniciativa, al respecto, es la llamada Carta de Derechos Digitales, que aprobó el Gobierno de España dentro de su Plan de Recuperación, Transformación y Resiliencia. sobre dicha Carta les hable en el artículo que dejo enlazada aquí

Así lo expuesto, la pregunta que quizá se hagan es: ¿cuál de las dos leyes es mejor?. 

Es difícil responder a esa pregunta, pero me gusta más la LOPDGDD. Quizá sea porque estoy familiarizado con ella, pero me parece más completa y mejor ordenada, aunque tiene muchas carencias, que espero sean enmendadas en el futuro con un reglamento de desarrollo. Con esto no estoy afirmando que el trabajo del legislador portugués sea malo, ni muchísimo menos.  

La legislación portuguesa en materia de protección de datos se completa con las siguientes leyes:

Como apunte final, decir que la Comissão Nacional de Proteção de Dados anunció que no aplicará determinados artículos de su ley de adaptación al RGPD, pues entiende que son “manifiestamente incompatibles con el Derecho de la Unión”. 

Los preceptos discutidos por la Comissão Nacional de Proteção de Dados son los relativos al ámbito de aplicación de la ley, al deber de secreto de los responsables y encargados de tratamiento, al tratamiento de datos personales por entidades públicas para finalidades diferentes de las que determinaron su recogida, a la necesidad de consentimiento del trabajador para el tratamiento de sus datos en determinados supuestos, a la renovación del consentimiento en determinados contratos, a la calificación de las infracciones muy graves y graves de la ley y los criterios de graduación de las correspondientes sanciones.

Pueden consultar la fuente en:

https://diariolaley.laleynext.es/dll/2019/10/16/la-agencia-portuguesa-de-proteccion-de-datos-decide-no-aplicar-determinados-articulos-de-su-ley-de-adaptacion-al-rgpd

* El TJUE sanciona a España con 15 millones de euros por el retraso en la transposición de la Directiva 2016/680/UE. El TJUE advierte al Gobierno de que si el incumplimiento persiste  se impondrá, además, otra multa coercitiva diaria de 89.000 € hasta que se haya puesto fin al incumplimiento declarado.

https://www.eleconomista.es/legislacion/noticias/11070298/02/21/El-TJUE-condena-a-Espana-a-pagar-15-millones-de-euros-por-el-retraso-en-la-transposicion-de-la-Directiva-de-Proteccion-de-Datos.html

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).