15 · Proteção de Dados — Direito Nacional
De 8 de agosto de 2019 · Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 (RGPD) · Revoga a Lei n.º 67/98 · Complementada pelas orientações da CNPD
1. Objeto, Fundamento e Relação com o RGPD
O RGPD (Regulamento UE 2016/679) é diretamente aplicável em todos os Estados-Membros sem necessidade de transposição. Contudo, o próprio RGPD abre «margens de apreciação nacional» — permite que os EM complementem, especifiquem ou restrinjam certas disposições. A Lei 58/2019 exerce essas margens para o contexto português.
A Lei 58/2019 é lei nacional de complemento e execução — não transpõe o RGPD (desnecessário) mas concretiza as opções que o RGPD reservou aos Estados. Revogou a anterior Lei de Proteção de Dados Pessoais (Lei n.º 67/98), que transpôs a Diretiva 95/46/CE. A Lei 58/2019 não pode contrariar o RGPD — é subordinada a ele, apenas o especifica e complementa onde o RGPD o permite.
| Capítulo | Matéria |
|---|---|
| Cap. I (arts. 1.º–2.º) | Objeto e âmbito de aplicação |
| Cap. II (arts. 3.º–22.º) | A CNPD — composição, competências, independência, poderes |
| Cap. III (arts. 23.º–36.º) | Tratamento de dados em contextos específicos (autoridades públicas, emprego, arquivo, investigação) |
| Cap. IV (arts. 37.º–44.º) | Encarregado de Proteção de Dados (EPD) |
| Cap. V (arts. 45.º–49.º) | Transferências internacionais |
| Cap. VI (arts. 50.º–55.º) | Códigos de conduta e certificação |
| Cap. VII (arts. 56.º–70.º) | Regime sancionatório (contraordenações) |
| Cap. VIII (arts. 71.º–73.º) | Disposições finais e transitórias |
2. Margens de Apreciação Nacional Exercidas por Portugal
O RGPD prevê numerosas disposições abertas que permitem aos EM concretizar ou restringir regras. Portugal exerceu essas margens na Lei 58/2019 nas seguintes matérias fundamentais:
3. A CNPD como Autoridade de Controlo Nacional
A CNPD é uma autoridade administrativa independente, com personalidade jurídica própria e autonomia administrativa, financeira e patrimonial. A independência face ao Governo e à Administração Pública é condição essencial para o exercício das suas funções de controlo. Reporta diretamente à Assembleia da República, que aprecia os seus relatórios anuais.
A CNPD participa no Comité Europeu para a Proteção de Dados (CEPD/EDPB) e coopera com as autoridades de controlo dos outros EM através do mecanismo de balcão único (para tratamentos transfronteiriços) e do mecanismo de controlo da coerência (para decisões com impacto em vários EM).
4. Bases Legais do Tratamento — Especificidades Nacionais
O artigo 6.º do RGPD prevê seis bases legais para o tratamento de dados pessoais. Portugal especificou algumas dessas bases para o contexto nacional, em especial para o tratamento por autoridades públicas.
| Base legal (art. 6.º RGPD) | Aplicação na AT-RAM | Especificidade nacional (Lei 58/2019) |
|---|---|---|
| al. a) Consentimento | Não relevante para tratamentos fiscais obrigatórios | Portugal definiu requisitos de consentimento para serviços digitais (menores: 13 anos) |
| al. b) Contrato | Tratamento de dados de fornecedores e prestadores de serviços da AT-RAM | Aplicação direta do RGPD; sem especificidade nacional significativa |
| al. c) Obrigação jurídica | Principal base legal para tratamentos fiscais — LGT, CPPT, CIRCs impõem o tratamento | Portugal identificou as leis fiscais como fonte de obrigação jurídica |
| al. d) Interesses vitais | Residual; não típico na atividade tributária | — |
| al. e) Interesse público / autoridade pública | Base para tratamentos de investigação e inspeção sem obrigação jurídica específica | Portugal concretizou as condições; tratamento deve ser necessário e proporcional |
| al. f) Interesses legítimos | Não se aplica a organismos públicos no exercício das suas funções de autoridade | Excluída pela Lei 58/2019 para autoridades públicas quando atuam como tais |
Regra crucial para a AT-RAM: Os interesses legítimos (base f) não podem ser invocados pela AT-RAM enquanto exerce os seus poderes de autoridade pública (liquidação, inspeção, execução fiscal). Deve sempre identificar obrigação jurídica (al. c) ou interesse público (al. e) como base legal.
5. Dados de Categorias Especiais — Condições Nacionais
O artigo 9.º RGPD proíbe o tratamento de dados sensíveis salvo exceções taxativas. São dados sensíveis: saúde, biometria, genética, origem étnica ou racial, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, vida sexual e orientação sexual, e infrações penais (estas últimas no artigo 10.º RGPD).
6. Tratamento no Contexto Laboral (Artigo 28.º Lei 58/2019)
A Lei 58/2019, ao abrigo da margem de apreciação do artigo 88.º RGPD, estabelece regras específicas para o tratamento de dados dos trabalhadores pela entidade empregadora. Estas regras aplicam-se à AT-RAM como empregadora dos seus trabalhadores (incluindo inspetores tributários).
A instalação de sistemas de videovigilância nas instalações da AT-RAM está sujeita a regras rigorosas:
Monitorização de emails e de atividade no computador institucional dos trabalhadores da AT-RAM: admissível apenas para fins de segurança informática ou investigação disciplinar, com política prévia conhecida pelos trabalhadores.
7. Tratamento para Fins de Arquivo, Investigação e Estatística
O artigo 89.º RGPD permite derrogações a certos direitos dos titulares quando os dados são tratados para fins de arquivo de interesse público, investigação científica ou fins estatísticos. Portugal concretizou estas derrogações na Lei 58/2019:
Os dados fiscais conservados pela AT-RAM por prazos legais (para efeitos de caducidade e prescrição) constituem arquivo de interesse público. Após os prazos legais de conservação, os dados devem ser eliminados — salvo se existir valor histórico identificado pelo Arquivo Nacional/Regional, caso em que são transferidos para o arquivo histórico competente. O contribuinte não pode invocar o direito ao apagamento para os dados que a AT-RAM é obrigada a conservar por lei.
A AT-RAM pode facultar dados fiscais anonimizados ou pseudonimizados ao INE, à OCDE ou a investigadores académicos para fins estatísticos e de investigação, mas não pode fornecer dados identificados sem base legal específica. A agregação e análise de tendências (ex.: setores com maiores irregularidades fiscais para efeitos de planeamento da inspeção) não constitui tratamento de dados pessoais identificáveis se os resultados forem estatísticos.
8. Direitos dos Titulares e Restrições Nacionais
| Direito (artigo RGPD) | Conteúdo | Restrição nacional aplicável à AT-RAM |
|---|---|---|
| Informação (arts. 13.º-14.º) | Ser informado aquando da recolha (ou num prazo razoável se recolha indireta) sobre o responsável, finalidades, bases legais, destinatários e direitos | Limitação: não se aplica quando a informação possa comprometer investigações criminais ou fiscais em curso (artigo 23.º RGPD + Lei 58/2019) |
| Acesso (art. 15.º) | Obter confirmação de que os dados são tratados e receber cópia dos dados pessoais tratados | Restrição importante: A AT-RAM pode recusar ou limitar o acesso quando possa prejudicar investigação de fraude fiscal ou evasão fiscal em curso |
| Retificação (art. 16.º) | Exigir correção de dados incorretos ou incompletos | Em matéria fiscal, a retificação faz-se pelos meios próprios (reclamação graciosa, pedido de revisão), não directamente pelo RGPD |
| Apagamento — "ser esquecido" (art. 17.º) | Exigir a eliminação dos dados em certas circunstâncias | Não se aplica quando a AT-RAM tem obrigação legal de conservar os dados (prazos de caducidade, prescrição fiscal, arquivo histórico) |
| Limitação do tratamento (art. 18.º) | Restringir o uso dos dados em certas circunstâncias (ex.: enquanto contesta a exatidão) | Aplicação limitada em contexto fiscal — a AT-RAM pode tratar os dados enquanto a contestação está pendente nos processos tributários |
| Portabilidade (art. 20.º) | Receber os dados num formato estruturado e legível por máquina; transferir para outro responsável | Não se aplica quando o tratamento se baseia em obrigação jurídica ou em interesse público (caso típico da AT-RAM) |
| Oposição (art. 21.º) | Opor-se ao tratamento por razões relacionadas com a sua situação particular | Não se aplica ao tratamento necessário para o exercício de autoridade pública pela AT-RAM |
| Decisões automatizadas (art. 22.º) | Não ser sujeito a decisões baseadas unicamente em tratamento automatizado com efeitos significativos | A AT-RAM pode usar perfis de risco automatizados para seleção de contribuintes a inspecionar, desde que haja revisão humana antes de tomar qualquer decisão desfavorável |
9. Encarregado de Proteção de Dados — EPD/DPO
Todas as autoridades e organismos públicos devem designar obrigatoriamente um EPD. A AT-RAM, como organismo público, tem esta obrigação. O EPD pode ser interno (funcionário da AT-RAM) ou externo (entidade ou profissional independente contratado). Pode ser partilhado entre vários serviços da ARAM.
O EPD deve ter conhecimentos especializados em direito e práticas de proteção de dados, bem como capacidade para desempenhar as suas funções. Não é exigida certificação formal, mas a CNPD recomenda formação específica reconhecida.
10. Avaliação de Impacto de Proteção de Dados (AIPD)
A AIPD (artigo 35.º RGPD) é obrigatória antes de iniciar novos tratamentos de dados que possam implicar elevado risco para os direitos dos titulares. A CNPD publicou uma lista de tratamentos que obrigatoriamente exigem AIPD em Portugal.
Se a AIPD concluir que o tratamento implica riscos elevados que não podem ser mitigados, a AT-RAM deve submeter a AIPD à CNPD para consulta prévia antes de iniciar o tratamento. A CNPD tem 8 semanas para se pronunciar (prorrogável por mais 6 semanas).
11. Violações de Dados — Notificação e Comunicação
Em caso de violação de segurança dos dados pessoais (acesso não autorizado, perda, destruição, divulgação ou alteração de dados de contribuintes), a AT-RAM deve notificar a CNPD sem demora injustificada e, se possível, no prazo de 72 horas após o momento em que tiver conhecimento da violação. Se a notificação ocorrer após 72 horas, deve ser acompanhada de justificação do atraso. A notificação deve conter: natureza da violação, categorias e número de titulares e de registos afetados, consequências prováveis, medidas tomadas ou propostas.
Quando a violação for suscetível de implicar um elevado risco para os direitos e liberdades dos contribuintes afetados (ex.: divulgação de dados bancários, rendimentos ou situação fiscal a terceiros não autorizados), a AT-RAM deve comunicar a violação diretamente a esses contribuintes sem demora injustificada. A comunicação deve ser em linguagem clara e simples. Pode ser dispensada se os dados afetados estiverem encriptados, se tiverem sido tomadas medidas que eliminem o risco, ou se a comunicação individual implicar esforço desproporcionado (neste caso, comunicação pública).
12. Transferências Internacionais de Dados e Intercâmbio Fiscal
A AT-RAM, no âmbito da cooperação fiscal internacional, transfere dados pessoais de contribuintes para administrações tributárias estrangeiras e para organismos internacionais. Estas transferências devem cumprir o Capítulo V do RGPD (artigos 44.º–49.º).
Livres, sem restrições RGPD adicionais. Os países do EEE têm nível de proteção equivalente à UE por decisão da Comissão Europeia. O intercâmbio automático de informações financeiras no âmbito das DAC (Diretivas da UE de Cooperação Administrativa) é baseado em obrigação jurídica da UE — base legal sólida.
Sujeitas a condições mais rigorosas. O FATCA (Foreign Account Tax Compliance Act) implica transferências de dados de contas financeiras de cidadãos americanos na RAM para as autoridades fiscais americanas (IRS). Estas transferências têm base legal no acordo intergovernamental Portugal-EUA, que funciona como base jurídica adequada ao abrigo do artigo 49.º, n.º 1, al. d) RGPD (necessário por razões importantes de interesse público). A Lei 58/2019 concretizou este regime para as autoridades públicas portuguesas.
O CRS/DAC2 implica a troca automática de informações de contas financeiras de não-residentes com as autoridades fiscais dos países de residência dos titulares. A base legal é o interesse público fiscal e a obrigação jurídica decorrente do acordo multilateral OCDE e das diretivas da UE. Os dados transferidos devem ser limitados ao mínimo necessário (minimização) e os contribuintes devem ser informados — geralmente pela instituição financeira que reporta os dados.
A DAC6 obriga os intermediários e contribuintes a reportar à AT esquemas fiscais transfronteiriços potencialmente agressivos. O reporte contém dados pessoais dos contribuintes envolvidos. O tratamento desses dados pela AT-RAM tem base legal na Diretiva DAC6 (transposta para direito nacional). Os dados são partilhados com administrações fiscais de outros EM da UE.
13. Regime Sancionatório
| Tipo de infração | Coima máxima (privados) | Exemplos relevantes para a AT-RAM |
|---|---|---|
| Infrações mais graves (art. 83.º, n.º 5 RGPD) | 20 000 000 € ou 4% do VN anual global | Não ter base legal para o tratamento; violação dos princípios fundamentais; violação dos direitos dos titulares; transferências ilegais para países terceiros; inobservância de ordem da CNPD |
| Infrações menos graves (art. 83.º, n.º 4 RGPD) | 10 000 000 € ou 2% do VN anual global | Não nomear EPD; não realizar AIPD obrigatória; não notificar violação de dados à CNPD; não manter registo de atividades de tratamento; falhas na segurança técnica dos dados |
A Lei 58/2019 e o artigo 83.º, n.º 7 RGPD permitem que os EM estabeleçam regras especiais para a aplicação de coimas a organismos públicos. Em Portugal, a CNPD aplica coimas às entidades públicas mas com critérios adaptados — pondera o impacto orçamental sobre os serviços públicos e pode optar por medidas corretivas em vez de coimas em casos menos graves.
O titular de dados que tenha sofrido dano material ou imaterial em resultado de violação do RGPD pela AT-RAM tem direito a indemnização. A AT-RAM pode ser responsabilizada solidariamente com o subcontratante se ambos forem responsáveis pelo dano. A responsabilidade do Estado por atos ilícitos da AT-RAM no tratamento de dados é regulada pela lei da responsabilidade civil extracontratual do Estado.
O acesso ilegítimo a dados pessoais, a violação intencional do sigilo de dados e o tratamento intencional de dados sem base legal podem constituir crimes, punidos com pena de prisão até 2 anos ou multa. O inspetor tributário que aceda indevidamente a dados fiscais de contribuintes fora do âmbito da sua missão comete crime de acesso ilegítimo a dados pessoais, além de infração disciplinar.
14. Proteção de Dados Fiscais — Sigilo Fiscal vs. RGPD
O sigilo fiscal (artigo 64.º LGT) e o RGPD são regimes complementares e cumulativos — não se excluem. Os dados fiscais dos contribuintes tratados pela AT-RAM estão protegidos por ambos os regimes simultaneamente. O RGPD acrescenta proteção ao sigilo fiscal; o sigilo fiscal acrescenta proteção específica ao RGPD.
O inspetor tributário, no exercício das suas funções, acede a dados pessoais dos contribuintes inspecionados. Este acesso é lícito ao abrigo do artigo 6.º, n.º 1, al. c) e e) RGPD e do artigo 63.º LGT. Mas está sujeito a regras de proporcionalidade:
O acesso a dados bancários está sujeito a regime especial de sigilo bancário (artigo 63.º-B LGT). O RGPD não afasta o sigilo bancário — o inspetor só pode aceder aos dados bancários nas condições previstas na LGT (autorização do dirigente máximo ou do tribunal), que funcionam também como base legal ao abrigo do RGPD (obrigação jurídica). Os dados bancários obtidos no âmbito da inspeção são dados pessoais e ficam sujeitos ao sigilo fiscal.
15. Síntese — Lei 58/2019 e o Inspetor Tributário da AT-RAM
| Matéria da Lei 58/2019 | Relevância prática para o inspetor tributário |
|---|---|
| Base legal do tratamento de dados fiscais | O inspetor atua ao abrigo de obrigação jurídica (LGT, CPPT) — não precisa de consentimento do contribuinte |
| Restrição do direito de acesso | O contribuinte não tem direito de acesso a dados relativos a inspeção em curso quando isso possa comprometer a investigação |
| Direito ao apagamento inaplicável | A AT-RAM não pode apagar dados fiscais que é obrigada a conservar por lei (prazo de caducidade/prescrição) |
| Sigilo fiscal + RGPD | O inspetor está vinculado pelos dois regimes — a violação de dados fiscais é simultaneamente violação de sigilo fiscal e do RGPD |
| AIPD para perfilagem de risco | Qualquer sistema de scoring ou perfilagem de contribuintes para seleção de inspeções exige AIPD prévia |
| EPD da AT-RAM | Ponto de contacto para questões de proteção de dados; o inspetor deve reportar-lhe qualquer violação de dados que detete |
| Notificação de violação em 72h | Obrigação de reportar internamente qualquer acesso não autorizado ou perda de dados fiscais imediatamente ao superior e ao EPD |
| Transferências internacionais (FATCA, CRS, DAC) | Têm base legal sólida; o contribuinte é informado pela entidade reportante (instituição financeira), não diretamente pela AT-RAM |
| Regime sancionatório | Coimas e crime para acesso ilegítimo a dados; reforça o regime disciplinar de sigilo fiscal |
| Dados dos trabalhadores da AT-RAM | O inspetor é também titular de dados face à AT-RAM como empregadora; tem direitos RGPD sobre os seus dados de recursos humanos |