santos2206
GForum VIP
- Entrou
- Jul 12, 2014
- Mensagens
- 2,454
- Gostos Recebidos
- 19
Dia Europeu da Proteção de Dados Pessoais - 28 de janeiro de 2018
Sandra Valéria Correia
Advogada. Docente Universitária
Pedro Nogueira Simões
Advogado. Psicólogo
JusJornal, Editora Wolters Kluwer
JusNet 23/2018
O interesse e as razões pela temática da proteção de dados já há muito que se vem manifestando, sendo que ao longo das últimas décadas se verificou uma grande evolução legislativa em torno desta questão.
Da relação entre os cidadãos e os seus dados pessoais …
É de crucial importância que os cidadãos compreendam como os seus dados pessoais são tratados pelas mais diversas entidades, sendo elas públicas ou privadas, bem como também por parte de outros cidadãos.
É igualmente importante que se tenha a perceção de como se procede à recolha desses dados, que, em bom abono da verdade, nem sempre é facultada pelo próprio visado, até à utilização dos mesmos, que também aqui, nem sempre é precedida de consentimento ou acordo esclarecido pelo seu titular.
Ainda que de uma forma simples, é um dever do cidadão conhecer os seus direitos, de modo a que possa reagir de forma rápida, adequada e eficaz, sempre que exista uma utilização abusiva dos seus dados pessoais.
Na verdade, quantos de nós já não fomos surpreendidos com atos publicitários a nós endereçados sem que para tal tivéssemos facultado tal informação ao respetivo remetente?
Estas situações, que aparentemente parecem ser inofensivas, são na realidade violadoras de direitos fundamentais e legalmente protegidos, e como tal deverão ser alvo de reação por parte daqueles que se sintam lesados, de modo a impedir a continuidade da ilicitude, bem como obstaculizar a repetição de tais comportamentos.
Na verdade, não são raras as vezes em que são os próprios cidadãos que de uma forma pouco diligente e cuidada, facultam os seus dados pessoais a terceiros, designadamente nas redes sociais, ficando desse modo à mercê de outros cidadãos por vezes mal-intencionados.
Sem prejuízo, é frequente o tratamento massivo da informação pessoal de modo pouco transparente e quase impercetível para os cidadãos.
… à compreensão dos diversos instrumentos jurídicos e medidas implementadas …
De forma a compreender o contexto e o atual quadro jurídico é razoável recordar os principais pontos de referência dos diversos instrumentos e medidas até ao momento implementadas, fazendo assim uma sumária alusão à evolução verificada.
No que ao ordenamento jurídico português diz respeito, muito nos orgulhamos de ter sido, na Constituição da República Portuguesa de 1976, o primeiro país do mundo a consagrar como direito fundamental a proteção de dados.
A Europa desde o ano de 1950 que procura privilegiar aspetos como o direito ao respeito pela vida privada, - observável nas medidas que implementa desde a Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais do Conselho da Europa -, reforçando a não possibilidade de ingerências pela autoridade pública senão quando tal situação estiver «prevista na lei» e constituir uma providência que, numa «sociedade democrática, seja necessária» para a proteção de interesses importantes.
De igual modo, também na Carta dos Direitos Fundamentais da União Europeia se encontra plasmado que «todas as pessoas têm direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações» (artigo 7.º), e à proteção de dados de caráter pessoal que lhe digam respeito, sendo objeto de «um tratamento leal, para fins específicos e com consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei» (artigo 8.º).
Abordando a questão específica do consentimento do titular dos dados, tal ato deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito – de forma escrita, em formato eletrónico ou por uma declaração oral, mas sempre de forma expressa e indubitável.
Também no artigo 16.º do Tratado sobre o Funcionamento da União Europeia (TFUE) se encontra firmado que «todas pessoas têm direito à proteção dos dados de caráter pessoal que lhe digam respeito» em que o Parlamento Europeu e o Conselho, deliberando de «acordo com o processo legislativo ordinário, estabelecem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, bem como pelos Estados-Membros no exercício de atividades relativas à aplicação do direito da União, e à livre circulação de dados» as quais compete a observância dessas normas às autoridades independentes.
Aliás, retomando à Carta dos Direitos Fundamentais da União Europeia, é evidente no artigo 52.º que «qualquer restrição ao exercício dos direitos e liberdades» aqui recolhidos no presente diploma «deve ser prevista por lei e respeitar o conteúdo essencial desses direitos e liberdades», regendo-se sempre pela observância do princípio da proporcionalidade das medidas, da qualidade da base jurídica e da necessidade de salvaguardar adequadamente comportamento abusivos, quando se pretende in casu o interesse geral reconhecidos pela União ou à necessidade de proteção dos direitos e liberdades de terceiros.
Todavia, não obstante esta apreciação não nos podemos olvidar de outro marco importante na proteção dos cidadãos no tratamento informatizado de dados de caráter pessoal, isto é, da conhecida «Convenção 108» - Convenção do Conselho da Europa – que desenvolveu princípios básicos da proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.
E diga-se de passagem, que a data instituída em 2006 no Conselho da Europa para celebrar o «Dia Europeu da Proteção de Dados Pessoais» faz referência à data de abertura à assinatura da referida Convenção 108 em 1981. Ou seja, todos os anos assinala-se este dia 28 de janeiro em homenagem ao primeiro instrumento legal internacional de proteção das pessoas singulares relativamente ao tratamento automatizado de dados de caráter pessoal.
Traços gerais, procura-se aumentar a consciência das pessoas face à importância da privacidade e promover a proteção dos dados pessoais, sensibilizando os cidadãos e as entidades públicas e proporcionando informação sobre os seus direitos e sobre as boas práticas existentes neste domínio.
De acordo com a Lei n.º 67/98, de 26 de outubro, que transpôs para a ordem jurídica interna a Diretiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, o tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva ao tratamento de dados pessoais e à livre circulação desses dados.
Quanto ao seu âmbito de aplicação, a presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados.
Especificamente aplica-se à videovigilância e outras formas de captação, tratamento e difusão de sons e imagens que permitam identificar pessoas, devendo o responsável pelo tratamento comunicar tal situação à Comissão Nacional de Proteção de Dados - CNPD (artigo 4.º da Lei n.º 67/98, de 26 de outubro).
Quanto aos dados propriamente dito, estes devem ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades.
Mais uma vez aqui a atuação se pauta pela proporcionalidade, e adequando a mesma às finalidades pretendidas, inclusive, após tomadas as medidas adequadas para assegurar que sejam apagados ou retificados os dados inexatos ou incompletos, e conservados para permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior (artigo 5.º).
Aliás, mesmo nas situações de pessoas suspeitas de atividades ilícitas, infrações penais, contraordenações e decisões que apliquem penas, medidas de segurança, coimas e sanções acessórias quanto à criação e manutenção de registos centrais, só podem ser mantidas por serviços públicos com competência específica prevista na lei e, com prévio parecer da CNPD.
No entanto, preserva a ideia de que é necessário assegurar que o prazo de conservação dos dados seja limitado ao mínimo, apenas estes deverão ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios, e a fim de assegurar que os dados pessoais sejam conservados apenas durante o período considerado necessário, o responsável pelo tratamento deverá fixar os prazos para o apagamento ou a revisão periódica, tomando medidas razoáveis para que os dados pessoais inexatos sejam retificados ou apagados.
Porém, é explícito na lei o respeito por todos os direitos fundamentais, reconhecidos e observados na Carta, consagrados nos tratados, nomeadamente as formas de tratamento de dados pessoais referentes a convicções filosóficas ou políticas, liberdade de pensamento, de consciência e de religião, liberdade de expressão e de informação, o direito à ação e a um tribunal imparcial, e à diversidade cultural, religiosa e fé, linguística, filiação partidária ou sindical, vida privada e familiar, pelo domicílio e pelas comunicações, origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos.
E, mesmo nas específicas situações em que a lei permite ultrapassar este marco, contínua a assistir ao titular dos dados uma série de direitos inerentes: direito de informação, direito de acesso e direito de oposição do titular dos dados.
Contudo convém referir que o direito à proteção de dados pessoais não é absoluto, isto é, deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o tão falado princípio da proporcionalidade.
Ponto importante é a referência à coerência que se pretende assegurar e o evitar de divergências que constituem um obstáculo à livre circulação de dados pessoais no mercado interno, com garantia pela segurança jurídica e transparência pelos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares níveis idênticos de proteção judicial e obrigações e responsabilidades iguais as responsáveis pelo tratamento e aos seus subcontratantes, assim como assegurar o controlo coerente e sanções equivalentes em todos os Estados-Membros, e uma cooperação efetiva entre as autoridades
E por falarmos em empresas, os responsáveis pelo tratamento de dados que pertençam a um grupo empresarial ou a uma instituição associada a um organismo central poderão ter um interesse legítimo em transmitir os dados pessoais, contudo deverão também eles respeitar os princípios gerais que regem a transmissão de dados pessoais, quando utilizam tais informações para fins administrativos internos, nomeadamente no tratamento de dados pessoais de clientes ou funcionários.
Dito isto, um grupo empresarial deverá abranger uma empresa que exerce o controlo e as empresas que controla, devendo a primeira ser a que pode exercer uma influência dominante sobre as outras empresas, em virtude da propriedade, da participação financeira ou das regras que a regem ou da faculdade da fazer aplicar as ditas regras. Considera-se ainda grupo empresarial, uma empresa que controla o tratamento dos dados pessoais nas empresas a ela associadas.
Apesar dos objetivos e dos princípios da Diretiva 95/46/CE continuarem a ser válidos, principalmente ao nível tecnológico, não se conseguiu evitar a fragmentação da aplicação da proteção dos dados, nem a insegurança jurídica ou o sentimento generalizado da opinião pública de que subsistem riscos consideráveis para a proteção das pessoas singulares, impondo-se desse modo a evolução e adequação da legislação em causa.
Em consequência, foi recentemente, em 2016, o enquadramento jurídico da proteção de dados pessoais na União Europeia substancialmente alterado com a aprovação do Regulamento (EU) 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE, e da Diretiva (EU) 2016/680 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho, ambos de 27 de abril de 2016.
Sabe-se que esta necessidade de um quadro de proteção de dados sólido e mais coerente, apoiado por uma regulamentação mais específica e rigorosa das regras é fundamental para gerar a confiança necessária ao desenvolvimento da economia. E esta necessidade deve-se principalmente à rápida evolução tecnológica e à globalização que proporcionaram novos desafios em matéria de proteção de dados pessoais, permitindo tal evolução às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades, disponibilizando as pessoas cada vez mais as suas informações pessoais de uma forma pública e global.
… até à entrada em vigor do Regulamento Geral sobre a Proteção de Dados!
É já no próximo dia 25 de maio do corrente ano que o Regulamento Geral sobre a Proteção de Dados entra em vigor. Neste Diploma continua-se a pautar pela importância da proteção das pessoas singulares relativamente ao tratamento de dados pessoais como um direito fundamental.
Procurando evitar o sério risco de ser contornada tal proteção, esta deverá ser neutra em termos tecnológicos e independente das técnicas utilizadas, devendo a proteção de dados das pessoas singulares aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros.
É porém relevante salientar que, este regulamento não se aplicará ao tratamento de dados pessoais efetuado por pessoas singulares no exercício de atividades exclusivamente pessoais ou domésticas e, portanto, sem qualquer ligação com uma atividade profissional ou comercial.
No entanto, os princípios da proteção de dados não deverão aplicar-se às informações anónimas, isto é, às informações que não digam respeito a uma pessoa singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado, assim como não se aplica aos dados pessoais de pessoas falecidos.
Sem prejuízo, convém referir que este regulamento aplica-se igualmente aos responsáveis pelo tratamento e aos respetivos subcontratantes que forneçam os respetivos meios. Ou seja, também as normas em matéria de responsabilidade se aplicam aos prestadores intermediários de serviços, que podem ou não ser organismos privados.
Assim como, contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível de mercado interno e para o bem-estar das pessoas singulares, a nível interno e entre os Estados-Membros.
Face às medidas adotadas, a possibilidade de riscos é sempre um aspeto a ter em consideração, nomeadamente quanto à segurança dos dados tal como a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos que podem levar a casos particulares de danos físicos, materiais ou imateriais.
Nestas situações deve o responsável pelo seu tratamento encarregar-se de realizar uma avaliação de impacto da proteção de dados para determinação, nomeadamente, da origem, natureza, particularidade e gravidade desse risco. De seguida, devem ser tomadas medidas, consultando se necessário a autoridade de controlo – geralmente deve ser procedido de imediato, sem demora injustificada, no prazo de 72 horas após ter tido conhecimento do ocorrido.
Neste sentido, o responsável pelo tratamento deverá informar, o titular dos dados da violação de dados pessoais quando for provável que desta resulte um elevado risco para os direitos e liberdades da pessoa singular, tomando as devidas precauções e recomendações à pessoa singular em causa para atenuar potenciais efeitos adversos. É importante aqui, a cooperação da autoridade de controlo e de outras autoridades competentes, como as autoridades de polícia.
A aplicação de uma avaliação de impacto é outro ponto que deverá ser procedido pelo responsável do tratamento, a fim de avaliar a probabilidade ou gravidade particular do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes de risco.
Tal avaliação deverá aplicar-se em especiais contextos, tais como, nas operações de tratamento de grande escala que visem o tratamento de uma grande quantidade de dados pessoais a nível regional, nacional ou supranacional, ou de igual modo, nos casos em que os dados pessoais são tratados para tomar decisões relativas a determinadas pessoas singulares na sequência de qualquer avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares. Ainda neste caso, pode-se observar a exigência de uma avaliação de impacto sobre a proteção de dados para o controlo de zonas acessíveis ao público em grande escala.
Ao nível do setor privado, as atividades principais do responsável pelo tratamento dizem respeito às suas atividades primárias e não relacionadas com o tratamento de dados pessoais como atividade auxiliar, devendo o nível de conhecimentos especializados estar de acordo com as suas funções e atribuições desempenhadas. E tal exigência verifica-se da mesma forma para as associações ou outras entidades que representem categorias de responsáveis de tratamento ou de subcontratantes, sendo estas incentivadas a elaborar códigos de conduta para facilitar a sua aplicação efetiva.
De igual modo, procurando reforçar a transparência e o cumprimento deste Regulamento, deverá ser encorajada a criação de procedimentos de certificação e selos e marcas de proteção de dados, que possibilitem aos titulares avaliar rapidamente o nível de proteção de dados proporcionados pelos produtos e serviços em causa.
Aliás, toda esta preocupação com os dados pessoais deve ser um contínuo, mesmo para além da Europa, ou seja, situações em que estes dados são transferidos para responsáveis de tratamento, subcontratantes ou para outros destinatários em países terceiros ou para organizações internacionais, tal nível de proteção deve ser identicamente assegurado.
Aqui o problema surge porque, os dados pessoais ao atravessarem fronteiras fora do território da União, aumenta o risco das pessoas singulares não possam exercer os seus direitos à respetiva proteção, quer na questão da utilização ilegal ou da divulgação dessas informações. É igualmente relevante, a promoção de uma cooperação mais estreita entres as autoridades de controlo da proteção de dados.
Porém, independentemente da localização, assiste direito aos titulares dos dados a apresentação de uma reclamação a uma única autoridade de controlo única, particularmente no Estado-Membro da sua residência habitual, e direito a uma ação judicial efetiva, nos termos do artigo 47.º da Carta, quando se consideram que os direitos que lhes são conferidos pelo presente regulamento foram violados ou se a autoridade de controlo não respondeu a uma reclamação.
É de recordar que, mesmo nas situações em que a autoridade de controlo a que a reclamação é apresentada não seja a principal, existe sempre a esta autoridade o dever de cooperar estreitamente, devendo para tal tomar medidas destinadas a produzir efeitos jurídicos, incluindo a imposição de coimas – devidamente estipuladas -, de forma a proteger os direitos dos titulares.
Quando a infração considera-se de menor gravidade, ou se o montante da coima for suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode se feita uma repreensão em vez de ser aplicada a coima.
Contudo, será sempre tido em conta a natureza, gravidade e duração da infração, o seu caráter doloso, as medidas tomadas para atenuar os danos sofridos, o grau de responsabilidade ou eventuais infrações anteriores, a via pela qual a infração chegou ao conhecimento da autoridade de controlo, as medidas ordenadas pelo responsável de tratamento e o cumprimento de um código de conduta.
Aqui chegados, e não obstante todos os esforços encetados pelas mais diversas entidades, com vista à proteção dos dados pessoais, deverá cada vez mais o cidadão atuar de modo consciente e responsável na divulgação dos seus dados pessoais de modo a minimizar ou até mesmo impedir a utilização abusiva dos mesmos.
Sandra Valéria Correia
Advogada. Docente Universitária
Pedro Nogueira Simões
Advogado. Psicólogo
JusJornal, Editora Wolters Kluwer
JusNet 23/2018
O interesse e as razões pela temática da proteção de dados já há muito que se vem manifestando, sendo que ao longo das últimas décadas se verificou uma grande evolução legislativa em torno desta questão.
Da relação entre os cidadãos e os seus dados pessoais …
É de crucial importância que os cidadãos compreendam como os seus dados pessoais são tratados pelas mais diversas entidades, sendo elas públicas ou privadas, bem como também por parte de outros cidadãos.
É igualmente importante que se tenha a perceção de como se procede à recolha desses dados, que, em bom abono da verdade, nem sempre é facultada pelo próprio visado, até à utilização dos mesmos, que também aqui, nem sempre é precedida de consentimento ou acordo esclarecido pelo seu titular.
Ainda que de uma forma simples, é um dever do cidadão conhecer os seus direitos, de modo a que possa reagir de forma rápida, adequada e eficaz, sempre que exista uma utilização abusiva dos seus dados pessoais.
Na verdade, quantos de nós já não fomos surpreendidos com atos publicitários a nós endereçados sem que para tal tivéssemos facultado tal informação ao respetivo remetente?
Estas situações, que aparentemente parecem ser inofensivas, são na realidade violadoras de direitos fundamentais e legalmente protegidos, e como tal deverão ser alvo de reação por parte daqueles que se sintam lesados, de modo a impedir a continuidade da ilicitude, bem como obstaculizar a repetição de tais comportamentos.
Na verdade, não são raras as vezes em que são os próprios cidadãos que de uma forma pouco diligente e cuidada, facultam os seus dados pessoais a terceiros, designadamente nas redes sociais, ficando desse modo à mercê de outros cidadãos por vezes mal-intencionados.
Sem prejuízo, é frequente o tratamento massivo da informação pessoal de modo pouco transparente e quase impercetível para os cidadãos.
… à compreensão dos diversos instrumentos jurídicos e medidas implementadas …
De forma a compreender o contexto e o atual quadro jurídico é razoável recordar os principais pontos de referência dos diversos instrumentos e medidas até ao momento implementadas, fazendo assim uma sumária alusão à evolução verificada.
No que ao ordenamento jurídico português diz respeito, muito nos orgulhamos de ter sido, na Constituição da República Portuguesa de 1976, o primeiro país do mundo a consagrar como direito fundamental a proteção de dados.
A Europa desde o ano de 1950 que procura privilegiar aspetos como o direito ao respeito pela vida privada, - observável nas medidas que implementa desde a Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais do Conselho da Europa -, reforçando a não possibilidade de ingerências pela autoridade pública senão quando tal situação estiver «prevista na lei» e constituir uma providência que, numa «sociedade democrática, seja necessária» para a proteção de interesses importantes.
De igual modo, também na Carta dos Direitos Fundamentais da União Europeia se encontra plasmado que «todas as pessoas têm direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações» (artigo 7.º), e à proteção de dados de caráter pessoal que lhe digam respeito, sendo objeto de «um tratamento leal, para fins específicos e com consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei» (artigo 8.º).
Abordando a questão específica do consentimento do titular dos dados, tal ato deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito – de forma escrita, em formato eletrónico ou por uma declaração oral, mas sempre de forma expressa e indubitável.
Também no artigo 16.º do Tratado sobre o Funcionamento da União Europeia (TFUE) se encontra firmado que «todas pessoas têm direito à proteção dos dados de caráter pessoal que lhe digam respeito» em que o Parlamento Europeu e o Conselho, deliberando de «acordo com o processo legislativo ordinário, estabelecem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, bem como pelos Estados-Membros no exercício de atividades relativas à aplicação do direito da União, e à livre circulação de dados» as quais compete a observância dessas normas às autoridades independentes.
Aliás, retomando à Carta dos Direitos Fundamentais da União Europeia, é evidente no artigo 52.º que «qualquer restrição ao exercício dos direitos e liberdades» aqui recolhidos no presente diploma «deve ser prevista por lei e respeitar o conteúdo essencial desses direitos e liberdades», regendo-se sempre pela observância do princípio da proporcionalidade das medidas, da qualidade da base jurídica e da necessidade de salvaguardar adequadamente comportamento abusivos, quando se pretende in casu o interesse geral reconhecidos pela União ou à necessidade de proteção dos direitos e liberdades de terceiros.
Todavia, não obstante esta apreciação não nos podemos olvidar de outro marco importante na proteção dos cidadãos no tratamento informatizado de dados de caráter pessoal, isto é, da conhecida «Convenção 108» - Convenção do Conselho da Europa – que desenvolveu princípios básicos da proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.
E diga-se de passagem, que a data instituída em 2006 no Conselho da Europa para celebrar o «Dia Europeu da Proteção de Dados Pessoais» faz referência à data de abertura à assinatura da referida Convenção 108 em 1981. Ou seja, todos os anos assinala-se este dia 28 de janeiro em homenagem ao primeiro instrumento legal internacional de proteção das pessoas singulares relativamente ao tratamento automatizado de dados de caráter pessoal.
Traços gerais, procura-se aumentar a consciência das pessoas face à importância da privacidade e promover a proteção dos dados pessoais, sensibilizando os cidadãos e as entidades públicas e proporcionando informação sobre os seus direitos e sobre as boas práticas existentes neste domínio.
De acordo com a Lei n.º 67/98, de 26 de outubro, que transpôs para a ordem jurídica interna a Diretiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, o tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva ao tratamento de dados pessoais e à livre circulação desses dados.
Quanto ao seu âmbito de aplicação, a presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados.
Especificamente aplica-se à videovigilância e outras formas de captação, tratamento e difusão de sons e imagens que permitam identificar pessoas, devendo o responsável pelo tratamento comunicar tal situação à Comissão Nacional de Proteção de Dados - CNPD (artigo 4.º da Lei n.º 67/98, de 26 de outubro).
Quanto aos dados propriamente dito, estes devem ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades.
Mais uma vez aqui a atuação se pauta pela proporcionalidade, e adequando a mesma às finalidades pretendidas, inclusive, após tomadas as medidas adequadas para assegurar que sejam apagados ou retificados os dados inexatos ou incompletos, e conservados para permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior (artigo 5.º).
Aliás, mesmo nas situações de pessoas suspeitas de atividades ilícitas, infrações penais, contraordenações e decisões que apliquem penas, medidas de segurança, coimas e sanções acessórias quanto à criação e manutenção de registos centrais, só podem ser mantidas por serviços públicos com competência específica prevista na lei e, com prévio parecer da CNPD.
No entanto, preserva a ideia de que é necessário assegurar que o prazo de conservação dos dados seja limitado ao mínimo, apenas estes deverão ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios, e a fim de assegurar que os dados pessoais sejam conservados apenas durante o período considerado necessário, o responsável pelo tratamento deverá fixar os prazos para o apagamento ou a revisão periódica, tomando medidas razoáveis para que os dados pessoais inexatos sejam retificados ou apagados.
Porém, é explícito na lei o respeito por todos os direitos fundamentais, reconhecidos e observados na Carta, consagrados nos tratados, nomeadamente as formas de tratamento de dados pessoais referentes a convicções filosóficas ou políticas, liberdade de pensamento, de consciência e de religião, liberdade de expressão e de informação, o direito à ação e a um tribunal imparcial, e à diversidade cultural, religiosa e fé, linguística, filiação partidária ou sindical, vida privada e familiar, pelo domicílio e pelas comunicações, origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos.
E, mesmo nas específicas situações em que a lei permite ultrapassar este marco, contínua a assistir ao titular dos dados uma série de direitos inerentes: direito de informação, direito de acesso e direito de oposição do titular dos dados.
Contudo convém referir que o direito à proteção de dados pessoais não é absoluto, isto é, deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o tão falado princípio da proporcionalidade.
Ponto importante é a referência à coerência que se pretende assegurar e o evitar de divergências que constituem um obstáculo à livre circulação de dados pessoais no mercado interno, com garantia pela segurança jurídica e transparência pelos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares níveis idênticos de proteção judicial e obrigações e responsabilidades iguais as responsáveis pelo tratamento e aos seus subcontratantes, assim como assegurar o controlo coerente e sanções equivalentes em todos os Estados-Membros, e uma cooperação efetiva entre as autoridades
E por falarmos em empresas, os responsáveis pelo tratamento de dados que pertençam a um grupo empresarial ou a uma instituição associada a um organismo central poderão ter um interesse legítimo em transmitir os dados pessoais, contudo deverão também eles respeitar os princípios gerais que regem a transmissão de dados pessoais, quando utilizam tais informações para fins administrativos internos, nomeadamente no tratamento de dados pessoais de clientes ou funcionários.
Dito isto, um grupo empresarial deverá abranger uma empresa que exerce o controlo e as empresas que controla, devendo a primeira ser a que pode exercer uma influência dominante sobre as outras empresas, em virtude da propriedade, da participação financeira ou das regras que a regem ou da faculdade da fazer aplicar as ditas regras. Considera-se ainda grupo empresarial, uma empresa que controla o tratamento dos dados pessoais nas empresas a ela associadas.
Apesar dos objetivos e dos princípios da Diretiva 95/46/CE continuarem a ser válidos, principalmente ao nível tecnológico, não se conseguiu evitar a fragmentação da aplicação da proteção dos dados, nem a insegurança jurídica ou o sentimento generalizado da opinião pública de que subsistem riscos consideráveis para a proteção das pessoas singulares, impondo-se desse modo a evolução e adequação da legislação em causa.
Em consequência, foi recentemente, em 2016, o enquadramento jurídico da proteção de dados pessoais na União Europeia substancialmente alterado com a aprovação do Regulamento (EU) 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE, e da Diretiva (EU) 2016/680 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho, ambos de 27 de abril de 2016.
Sabe-se que esta necessidade de um quadro de proteção de dados sólido e mais coerente, apoiado por uma regulamentação mais específica e rigorosa das regras é fundamental para gerar a confiança necessária ao desenvolvimento da economia. E esta necessidade deve-se principalmente à rápida evolução tecnológica e à globalização que proporcionaram novos desafios em matéria de proteção de dados pessoais, permitindo tal evolução às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades, disponibilizando as pessoas cada vez mais as suas informações pessoais de uma forma pública e global.
… até à entrada em vigor do Regulamento Geral sobre a Proteção de Dados!
É já no próximo dia 25 de maio do corrente ano que o Regulamento Geral sobre a Proteção de Dados entra em vigor. Neste Diploma continua-se a pautar pela importância da proteção das pessoas singulares relativamente ao tratamento de dados pessoais como um direito fundamental.
Procurando evitar o sério risco de ser contornada tal proteção, esta deverá ser neutra em termos tecnológicos e independente das técnicas utilizadas, devendo a proteção de dados das pessoas singulares aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros.
É porém relevante salientar que, este regulamento não se aplicará ao tratamento de dados pessoais efetuado por pessoas singulares no exercício de atividades exclusivamente pessoais ou domésticas e, portanto, sem qualquer ligação com uma atividade profissional ou comercial.
No entanto, os princípios da proteção de dados não deverão aplicar-se às informações anónimas, isto é, às informações que não digam respeito a uma pessoa singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado, assim como não se aplica aos dados pessoais de pessoas falecidos.
Sem prejuízo, convém referir que este regulamento aplica-se igualmente aos responsáveis pelo tratamento e aos respetivos subcontratantes que forneçam os respetivos meios. Ou seja, também as normas em matéria de responsabilidade se aplicam aos prestadores intermediários de serviços, que podem ou não ser organismos privados.
Assim como, contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível de mercado interno e para o bem-estar das pessoas singulares, a nível interno e entre os Estados-Membros.
Face às medidas adotadas, a possibilidade de riscos é sempre um aspeto a ter em consideração, nomeadamente quanto à segurança dos dados tal como a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos que podem levar a casos particulares de danos físicos, materiais ou imateriais.
Nestas situações deve o responsável pelo seu tratamento encarregar-se de realizar uma avaliação de impacto da proteção de dados para determinação, nomeadamente, da origem, natureza, particularidade e gravidade desse risco. De seguida, devem ser tomadas medidas, consultando se necessário a autoridade de controlo – geralmente deve ser procedido de imediato, sem demora injustificada, no prazo de 72 horas após ter tido conhecimento do ocorrido.
Neste sentido, o responsável pelo tratamento deverá informar, o titular dos dados da violação de dados pessoais quando for provável que desta resulte um elevado risco para os direitos e liberdades da pessoa singular, tomando as devidas precauções e recomendações à pessoa singular em causa para atenuar potenciais efeitos adversos. É importante aqui, a cooperação da autoridade de controlo e de outras autoridades competentes, como as autoridades de polícia.
A aplicação de uma avaliação de impacto é outro ponto que deverá ser procedido pelo responsável do tratamento, a fim de avaliar a probabilidade ou gravidade particular do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes de risco.
Tal avaliação deverá aplicar-se em especiais contextos, tais como, nas operações de tratamento de grande escala que visem o tratamento de uma grande quantidade de dados pessoais a nível regional, nacional ou supranacional, ou de igual modo, nos casos em que os dados pessoais são tratados para tomar decisões relativas a determinadas pessoas singulares na sequência de qualquer avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares. Ainda neste caso, pode-se observar a exigência de uma avaliação de impacto sobre a proteção de dados para o controlo de zonas acessíveis ao público em grande escala.
Ao nível do setor privado, as atividades principais do responsável pelo tratamento dizem respeito às suas atividades primárias e não relacionadas com o tratamento de dados pessoais como atividade auxiliar, devendo o nível de conhecimentos especializados estar de acordo com as suas funções e atribuições desempenhadas. E tal exigência verifica-se da mesma forma para as associações ou outras entidades que representem categorias de responsáveis de tratamento ou de subcontratantes, sendo estas incentivadas a elaborar códigos de conduta para facilitar a sua aplicação efetiva.
De igual modo, procurando reforçar a transparência e o cumprimento deste Regulamento, deverá ser encorajada a criação de procedimentos de certificação e selos e marcas de proteção de dados, que possibilitem aos titulares avaliar rapidamente o nível de proteção de dados proporcionados pelos produtos e serviços em causa.
Aliás, toda esta preocupação com os dados pessoais deve ser um contínuo, mesmo para além da Europa, ou seja, situações em que estes dados são transferidos para responsáveis de tratamento, subcontratantes ou para outros destinatários em países terceiros ou para organizações internacionais, tal nível de proteção deve ser identicamente assegurado.
Aqui o problema surge porque, os dados pessoais ao atravessarem fronteiras fora do território da União, aumenta o risco das pessoas singulares não possam exercer os seus direitos à respetiva proteção, quer na questão da utilização ilegal ou da divulgação dessas informações. É igualmente relevante, a promoção de uma cooperação mais estreita entres as autoridades de controlo da proteção de dados.
Porém, independentemente da localização, assiste direito aos titulares dos dados a apresentação de uma reclamação a uma única autoridade de controlo única, particularmente no Estado-Membro da sua residência habitual, e direito a uma ação judicial efetiva, nos termos do artigo 47.º da Carta, quando se consideram que os direitos que lhes são conferidos pelo presente regulamento foram violados ou se a autoridade de controlo não respondeu a uma reclamação.
É de recordar que, mesmo nas situações em que a autoridade de controlo a que a reclamação é apresentada não seja a principal, existe sempre a esta autoridade o dever de cooperar estreitamente, devendo para tal tomar medidas destinadas a produzir efeitos jurídicos, incluindo a imposição de coimas – devidamente estipuladas -, de forma a proteger os direitos dos titulares.
Quando a infração considera-se de menor gravidade, ou se o montante da coima for suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode se feita uma repreensão em vez de ser aplicada a coima.
Contudo, será sempre tido em conta a natureza, gravidade e duração da infração, o seu caráter doloso, as medidas tomadas para atenuar os danos sofridos, o grau de responsabilidade ou eventuais infrações anteriores, a via pela qual a infração chegou ao conhecimento da autoridade de controlo, as medidas ordenadas pelo responsável de tratamento e o cumprimento de um código de conduta.
Aqui chegados, e não obstante todos os esforços encetados pelas mais diversas entidades, com vista à proteção dos dados pessoais, deverá cada vez mais o cidadão atuar de modo consciente e responsável na divulgação dos seus dados pessoais de modo a minimizar ou até mesmo impedir a utilização abusiva dos mesmos.