O regime sancionatório da proteção de dados pessoais: paradigma ou paradoxo?

Abstract

O presente estudo tem a intenção de repensar o conceito de proteção de dados e as sanções aplicáveis à sua violação num mundo complexo caracterizado por avanços tecnológicos e alterações legislativas. A fim de compreender se a nossa «era digital» pode ser a razão para criar outros conceitos e viver sob diferentes princípios, é crucial estar ciente do quadro internacional, europeu e nacional em matéria de proteção de dados pessoais. Com o propósito de demonstrar as diversas questões emergentes da legislação aplicável em matéria de proteção de dados pessoais, este estudo culmina com a apresentação de um «novo» direito, já reconhecido pela jurisprudência europeia e constitucionalmente consagrado no art. 35.º da C.R.P., e com uma análise do regime sancionatório a que está sujeita a sua violação. Esta «nova» dimensão da intervenção contraordenacional e penal, em matéria de proteção de dados, traz novos (ou, talvez, não tão novos) problemas de delimitação entre o direito de mera ordenação social e o direito penal após a entrada em vigor do Regulamento Geral sobre a Proteção de Dados no ordenamento jurídico português. Até que ponto o Regulamento Geral altera os quadros constitucionais da ordem jurídica nacional portuguesa, ou até esvazia o próprio direito sancionatório vigente? Será a Proposta de Lei de Proteção de Dados Pessoais, em discussão parlamentar, o melhor meio de execução do Regulamento Geral na ordem jurídica portuguesa? O presente estudo analisa as questões inerentes a esta interpelação, posicionando-se criticamente sobre as contraordenações e os crimes previstos, em matéria de proteção de dados, na legislação em vigor e em discussão parlamentar. A questão central subjacente é efetivamente o confronto do direito de mera ordenação social vigente e do direito penal clássico com uma espécie de ordem preventiva infra-criminalizadora, resultante da inflação legislativa em matéria de proteção de dados pessoais.

The current study has the intent of rethinking the concept of data protection and the sanctions applicable to its violation in a complex world characterized by technological advances and legal changes. In order to understand if our «digital era» can be the reason to craft new concepts and to live under different principles it is crucial to be aware of the international, European and national personal data protection framework. In order to demonstrate the various issues arising from the personal data protection legislation, this study culminates in the presentation of a «new» right, already recognized in European case law and constitutionally enshrined in art. 35.º of C.R.P., and in the analysis of the sanctioning framework to which it is subject its violation. This «new» dimension of administrative and criminal intervention, concerning data protection, brings new (or, perhaps, not so new) problems of delimitation between the law of mere social order and criminal law after the entry into force in the Portuguese legal order of the General Regulation on Data Protection. To what extent does the General Regulation change the constitutional frameworks of the Portuguese national legal order, or even extinguishes the sanctioning right in force itself? Is Proposed Legislative Amendment on Personal Data Protection, in parliamentary discussion, the best way to execute the General Regulation in the Portuguese legal order? The present study analyzes the issues inherent to this interpellation, positioning itself critically about misconductions and crimes regarding data protection, in the legislation in force and in parliamentary discussion. The underlying central question is effectively the confrontation of the law of mere social order in force and the traditional criminal law with a sort of undercriminalizing social preventive order, resulting from legislative inflation in terms of personal data protection.