O tratamento de dados por entidades públicas beneficia de um regime excepcional e diferenciado, a começar pela não sujeição ao regime sancionatório, o mesmo que originou algum alarme por causa dos valores das coimas poder atingir 20 milhões de euros. Contudo, e apesar do valor da coima ser a dividir entre Estado e CNPD, elas não se aplicam às entidades públicas. Não sei se o mesmo acontece noutros países, pois a verdade é que o texto do Regulamento admite que os Estados-Membros definam se as autoridades públicas ficam sujeitas a coimas e em que medida.
O que importa não esquecer é que os tratamentos de dados realizados pelas entidades públicas são tão ou mais intensamente intrusivos da privacidade e da liberdade dos cidadãos do que os levados a cabo por entidades privadas, pelo que os riscos para a protecção e segurança dos dados pessoais são tão ou mais sérios e intensos do que no âmbito de actividades de entidades privadas. Por assim ser, a aplicação de uma sanção ou, pelo menos, a possibilidade de aplicação de uma sanção teria sempre uma função dissuasora e deixava menos fragilizados os titulares dos dados em relação aos tratamentos de dados pessoais realizados pelo Estado e demais entidades públicas, constituindo esta discriminação entre público e privado uma possível violação do princípio da igualdade.
Outra das singularidades do tratamento de dados pelas entidades públicas prende-se com a admissão desse tratamento ser realizado para finalidades diferentes das que justificaram a recolha dos dados, desde que esteja em causa a prossecução do interesse público, como se tal constituísse uma garantia suficiente da tutela dos direitos dos cidadãos ou como se todas as finalidades de tratamentos de dados não fossem destinadas à prossecução de interesses públicos. Melhor seria se ficasse previsto que as entidades públicas só podem prosseguir os interesses públicos que coincidam com as respectivas atribuições legalmente definidas, e não todo e qualquer interesse público.
Por outro lado, os dados pessoais são recolhidos para a prossecução de finalidades específicas e só podem ser utilizados para finalidades diferentes na medida em que estas não sejam incompatíveis com a finalidade originária. É bom de ver que seria a negação do princípio admitir a possibilidade de todo e qualquer tratamento de dados para uma finalidade distinta da originária, desde que realizado por entidades públicas.
Concluindo, a Proposta de Lei que assegura a execução, entre nós, do Regulamento geral de Protecção de Dados do governo arrisca-se a violar, entre outros, o princípio da finalidade, consagrado na alínea b) do n.º 1 do artigo 5.º do RGPD.

Paulo Almeida