Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Ley de protección de datos personales en Portugal. Diferencias con la LOPDGDD

De un tiempo a esta parte, el proceso de deslocalización de empresas gallegas hacia el norte de Portugal es una constante. Tanto es así que alguno de nuestros clientes se ha marchado al país vecino, pero seguimos asesorándoles en materia de protección de datos, al fin y al cabo el marco normativo es prácticamente el mismo, salvo las pequeñas diferencias que marcan las legislaciones nacionales. 

He decidido dividir el artículo por apartados para mejor comprensión. Veamos:

Marcos normativos

En España está la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), que entró en vigor el 7 de diciembre de 2018.

En Portugal está la Lei nº 58/2019, de 8 de agosto, de Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Diário da República nº 151/2019), que entró en vigor el 9 de agosto de 2019.

El 9 de agosto de 2019, también, entró en vigor en Portugal una ley específica sobre el procesamiento de datos personales con el fin de prevenir, detectar, investigar o enjuiciar delitos y para la ejecución de sanciones penales: la Lei 59/2019, de 8 de agosto, que supone la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016.

España transpuso dicha Directiva con la aprobación de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, que entró en vigor el 16 de junio de 2021. Sepan que transponerla fuera de plazo nos salió muy caro (fuente aquí).

Ámbito de aplicación 

El artículo 2 apartado 1 de la ley portuguesa extiende su ámbito de aplicación a los «tratamientos de datos personales efectuados en territorio nacional (…) con las exclusiones previstas en el artículo 2 del RGPD», añadiendo en su apartado 2 que se aplicará a los tratamientos de datos efectuados fuera del territorio nacional cuando: a) Se realicen en el ámbito de la actividad de un establecimiento ubicado en el territorio nacional; b) Afecte a interesados ​​que se encuentren en el territorio nacional, cuando las actividades de tratamiento estén sujetas a lo dispuesto en el artículo 3.2 del RGPD; o c) afecta a datos registrados en las oficinas consulares en poder de residentes portugueses en el extranjero. 

Según la autoridad de control en materia de protección de datos de Portugal, incluso admitiendo que la definición del ámbito territorial de aplicación del Derecho nacional sigue los criterios del artículo 3 del RGPD, los términos en los que se expresa dicha definición socavan la aplicación de las normas de procedimiento y el reparto de competencias entre las autoridades nacionales de supervisión de los Estados miembros, cuando se trata de un tratamiento de datos transfronterizo, así que cuidado.

Autoridades de control

La autoridad de control competente en materia de protección de datos en Portugal, para todo el territorio nacional, es Comissão Nacional de Proteção de Dados (www.cnpd.pt). 

En España es competente la Agencia Española de Protección de Datos, con las excepciones de Cataluña, País Vasco y Andalucía, que cuentan con sus propias agencias de control.  

Denominaciones diferentes

Siendo idiomas diferentes, es obvio que los responsables y encargados del tratamiento y delegados de protección de datos tengan nombres diferentes, aún siendo la misma figura, así que familiarícense con las siguientes denominaciones:

A nuestro Delegado de Protección de Datos se le conoce como encarregado de proteção de dados y a los responsables y encargados del tratamiento como responsável pelo tratamento y subcontratante, respectivamente.

Menores

En Portugal los datos personales de los menores pueden tratarse sobre la base del consentimiento previsto en el artículo 6.1 letra a) del RGPD en relación con la oferta directa de servicios de la sociedad de la información si tienen más de 13 años. En España esa edad se eleva a los 14 años.

Relaciones laborales

La ley portuguesa regula las «relaciones laborales» en cuanto al tratamiento de datos personales de los trabajadores por parte del empleador (artículo 28), así como el tratamiento de datos de salud y datos genéticos (artículo 29) y las bases de datos o registros de salud centralizados (artículo 30). En nuestra ley no se regulan de forma específica.

Transferencias Internacionales

La ley portuguesa no dispone nada respecto a las transferencias internacionales. Nos remitiremos, por omisión, al RGPD.

La LOPDGDD dedica sus artículos 40 a 43 a pormenorizar, entre otras cuestiones, el sometimiento a autorización e información previa en casos de transferencias internacionales.

Régimen sancionador

El régimen sancionador previsto en la ley portuguesa guarda ciertas similitudes con la LOPDGDD, pero tiene sus particularidades, como el hecho de que se añada una lista de delitos específicos en materia de protección de datos:

  • Uso de datos incompatibles con el propósito de la recopilación (artículo 46)
  • Acceso inadecuado (artículo 47)
  • Desviación de datos (artículo 48)
  • Adicción o destrucción de datos (artículo 49)
  • Introducción de datos falsos (artículo 50)
  • Violación del deber de secreto (artículo 51)
  • Desobediencia (artículo 52)

En España es el Código Penal el que se encarga, en exclusiva, de regular los delitos en materia de protección de datos y seguridad de la información. Aquí les dejo una guía de la AEPD sobre protección de datos y prevención de delitos.

Otra diferencia sustancial con Portugal es que en España a las Administraciones públicas no se les sanciona económicamente. En Portugal, sí, de hecho la mayor multa impuesta hasta la fecha fue al Instituto Nacional de Estadística de Portugal con 4.300.00 euros (pueden consultar la resolución aquí).

Garantía de los derechos digitales

Una gran diferencia es que nuestra ley regula lo que se ha dado en llamar la «garantía de los derechos digitales», a saber:

  • Derecho a la neutralidad y al acceso universal a Internet.
  • Derecho a la seguridad digital.
  • Derecho a la educación digital.
  • Derecho a la protección de los menores en Internet.
  • Derecho de rectificación en Internet.
  • Derecho a la actualización de informaciones en medios de comunicación digitales.
  • Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
  • Derecho a la desconexión digital en el ámbito laboral.
  • Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
  • Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
  • Derechos digitales en la negociación colectiva.
  • Derecho al olvido en búsquedas de Internet.
  • Derecho al olvido y a la portabilidad en servicios de redes sociales y servicios equivalentes.
  • Derecho al testamento digital.
  • Políticas de impulso de los derechos digitales.

La mayor parte de dichos derechos están por desarrollar. La única iniciativa, al respecto, es la llamada Carta de Derechos Digitales, que aprobó el Gobierno de España dentro de su Plan de Recuperación, Transformación y Resiliencia. Sobre dicha Carta les hablé en el artículo que dejo enlazada aquí

Conclusiones

Quizás se pregunten, ¿cuál de las dos leyes es mejor?. 

Es muy difícil responder a esa pregunta, pero me gusta más la LOPDGDD. Quizá sea porque estoy más familiarizado con ella, pero me parece que está mejor ordenada y es más completa, aunque tiene muchas carencias, que espero sean enmendadas, en el futuro, con un reglamento de desarrollo. Con esto no estoy afirmando que el trabajo del legislador portugués sea malo, ni mucho menos.  

La legislación portuguesa en materia de protección de datos se completa con las siguientes leyes:

Como apunte final, decir que la Comissão Nacional de Proteção de Dados anunció que determinados artículos de su ley de adaptación al RGPD no se aplicarán, pues entiende que son «manifiestamente incompatibles con el Derecho de la Unión».

Los preceptos discutidos son los relativos al ámbito de aplicación de la ley, al deber de secreto de los responsables y encargados de tratamiento, al tratamiento de datos personales por entidades públicas para finalidades diferentes de las que determinaron su recogida, a la necesidad de consentimiento del trabajador para el tratamiento de sus datos personales en determinados supuestos, a la renovación del consentimiento en determinados contratos, a la calificación de las infracciones y los criterios de graduación de las correspondientes sanciones (fuente aquí).

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).