SEMINÁRIO
Cibersegurança: questões tecnológicas e implicações legais
FACULDADE DE DIREITO DA UNIVERSIDADE DE LISBOA, 02-07-2014
Cibersegurança
e a Protecção
dos Dados Pessoais
JOEL TIMÓTEO RAMOS PEREIRA
Juiz de Direito de Círculo
Juiz Secretário do Conselho Superior da Magistratura
PGR não limita acesso a registos de telefonemas
2
FILIPA AMBRÓSIO DE SOUSA | DIÁRIO DE NOTÍCIAS | 28-06-2014
Acórdão Digital Rights Ireland | 08-04-2014| Tribunal de Justiça da União Europeia
Decisão. Tribunal da União Europeia declarou ilegal a entrega de dados
telefónicos às autoridades por parte das operadoras. Polícias podem usar
como prova mas arriscam anulação de processos, enquanto lei nacional
não for alterada.
A procuradora-geral da República admitiu ao DN não saber ainda se
polícias e Ministério Público (MP) podem investigar telefonemas feitos
há um ano ou se estão proibidos de usar a informação dada pelas
operadoras como meio de prova. Embora nada a impeça de fazer uma
recomendação sobre o assunto, Joana Marques Vidal diz que não o
fará, porque "ainda é cedo e estamos a refletir". Por agora, a decisão de
utilizar registos telefónicos como prova caberá a cada um dos
magistrados, que poderão, inclusive, solicitar ao Tribunal de Justiça da
União Europeia (TJUE) que se pronuncie sobre casos concretos. O DN
questionou o Ministério da Justiça sobre se iria tomar uma decisão em
relação a este tema, mas até ao final do dia não obteve qualquer
resposta.
Desde 2008 que as operadoras de telecomunicações portuguesas,
cumprindo uma diretiva europeia, guardam os registos telefónicos de
todos os cidadãos nacionais, durante um ano, para o caso das
autoridades necessitarem destes no decorrer de uma investigação.
Porém, em abril deste ano, o Tribunal Europeu da União Europeia
(TJUE) declarou esta entrega ilegal.
Os dados permitem averiguar onde mora, com quem fala ou onde se
encontra qualquer cidadão. Em causa, dizem os juízes da instância
cujas decisões prevalecem sobre as legislações dos vários Estados
membros, estarão direitos fundamentais como o da privacidade e do
sigilo.
Os dados permitem averiguar onde mora, com quem fala ou onde se
encontra qualquer cidadão. Em causa, dizem os juízes da instância
cujas decisões prevalecem sobre as legislações dos vários Estados
membros, estarão direitos fundamentais como o da privacidade e do
sigilo.
Perante esta decisão, o MP, a PJ e juízes encontram-se num
'impasse' jurídico, sem saber como agir no terreno. "A lei
nacional foi feita com base numa diretiva europeia que agora é
posta em causa por este acórdão", explicou ontem Joana
Marques Vidal, na sede da PJ. A titular da investigação criminal
falava à margem de um encontro que juntou procuradores do
MP e elementos da PJ - "Prova Digital em Processo Penal: velhos
limites e novas necessidades" - com o objetivo de encontrar a
solução para esta questão. "Não temos nenhuma resolução nem
vou emitir nenhuma recomendação nesse sentido, estamos ainda
no início da reflexão", explicou.
Certo é que vários processos, já transitados em julgado (sem
mais nenhuma hipótese de recurso) podem vir a ser anulados
com base no argumento de prova proibida e, com isso levar a
uma revisão de sentença. Mais ainda quando esta decisão do
TJUE tem efeitos retroativos para todos os processos desde 2008
até ao momento. Ou seja: em 2009, numa das mais de 500
sessões de julgamento do processo Casa Pia, Ferreira Diniz
refutava a informação obtida pela PJ através da TMN que
revelava contactos telefónicos entre ele e Jorge Ritto. Os
telefonemas reportavam-se a 2001, quando ambos haviam
declarado só se terem conhecido em 2003, no início do processo.
Esta prova obtida pela polícia - que veio a revelar- se
fundamental para a condenação dos arguidos envolvidos - pode
vir a ser considerada inválida e pôr em causa a condenação,
devido à decisão do tribunal europeu.
David Silva Ramalho, advogado, presente na conferência, disse
ao DN que "a conservação de dados dos cidadãos enquadra-se
nos fundamentos deduzidos pelo TJUE para a declaração de
invalidade da diretiva e, como tal, impõe que os tribunais se
abstenham de aplicar as normas correspondentes, ou, em caso
de dúvida, devam suscitar a mesma questão junto das instâncias
europeias".
3
Os dados, disponibilizados ao PÚBLICO, incluem — ao contrário do que
fontes da PGDL haviam dito, sublinhando que os contactos acedidos eram
meramente profissionais — números de telemóveis privados dos magistrados,
os seus endereços de correio electrónico pessoal, as suas datas de nascimentos
e a referência à situação de actividade, reforma ou licença.
Em alguns casos, para além dos números locais de serviços, muitos
procuradores estão identificados com mais do que um número pessoal. O
PÚBLICO confirmou vários, ligando. A informação de que a vulnerabilidade
do sistema permitiu a fuga destes dados pessoais está a preocupar os
procuradores que criticam a fragilidade revelada pelo sistema.
Alguns admitem que vão trocar de número e outros alertam para o perigo
de virem a ser incomodados por pessoas com algum tipo de interesse. Nesse
caso, para além do crime de fraude informática poderá estar em causa um
crime de perturbação da vida privada que prevê uma pena de multa ou prisão
até um ano.
A Procuradoria-Geral da República (PGR) já comunicou ter aberto um
inquérito-crime para apurar responsabilidades e autores e havido sido
adiantado que a PJ estaria já a investigar. Porém, fonte da Judiciária garantiu
ao PÚBLICO que ainda não recebeu qualquer pedido ou informação sobre este
caso e que nem tão pouco foram realizadas diligências.
Os piratas informáticas, que sexta-feira, atacaram o site da
Procuradoria-Geral Distrital de Lisboa (PGDL) conseguiram acesso a
dados pessoais de quase todos os procuradores portugueses. A operação
"Apagão Nacional" foi reivindicada pelos Anonymous Portugal.
Os hackers conseguiram ainda aceder às palavras-chave de dezenas
de magistrados para aceder ao Sistema de Informação do Ministério
Público (SIMP). O SIMP serve para comunicação interna no MP e envio
de ofícios hierárquicos. Não tem informação directa sobre os processos
judiciais, mas fonte do MP admitiu que em alguns ofícios pode constar
informação indirecta sobre os mesmos.
Esta segunda-feira, quer o site do SIMP quer o da PGDL continuam
inactivos. A procuradoria preferiu desligar preventivamente os sites para
fazer um rastreio da informação acedida e dos danos provocados. Deverá
também reforçar o sistema ainda antes deste voltar a estar acessível
durante esta semana.
Aliás, na página do SIMP, foi sexta-feira colocada uma mensagem
alusiva ao 25 de Abril. "Isto é o descontentamento pela vossa inércia e
cooperação com os marginais que têm levado Portugal a uma pobreza
maior que há 40 anos", lia-se num fundo preto.
Conforme o PÚBLICO confirmou, quer a lista de contactos quer a
lista de palavras-chave estão disponíveis em vários sites públicos.
Questionada sobre o prejuízo provocado na segurança dos sistemas do
MP, a Procuradoria-Geral da República preferiu não comentar.
Também a procuradora-geral distrital de Lisboa, Francisca Van
Dunem, esteve incontactável, mas já antes havia admitido que os
sistemas em causa "são débeis". Sublinhou ainda que a segurança do
sistema que gere os processos dos MP está garantida. "O sistema do site
e o sistema de processos estão separados. Não há qualquer elo entre eles.
Foi apenas a página de Internet", apontou.
1. Introdução
4
Cibercrime e Cibersegurança : súmula das previsões legais
Lei do Cibercrime (Lei n.º 109/2009, de 15-09)
Revogou a Lei de Criminalidade Informática (Lei n.º 109/91)
•
•
•
•
•
•
Art.º 3.º - Falsidade informática
Art.º 4.º - Dano relativo a programa ou outros dados informáticos
Art.º 5.º - Sabotagem informática
Art.º 6.º - Acesso ilegítimo
Art.º 7.º - Intercepção ilegítima
Art.º 8.º - Reprodução ilegítima de programa protegido
Subsidiariedade de aplicação do Código Penal (art.º 28.º)
Código Penal
Crimes relacionados
•
•
•
•
•
•
Burla informática e nas comunicações (art.º 221.º)
Abuso de cartão de garantia ou de crédito (art.º 225.º)
Difamação e injúria por via electrónica (art.º 180.º e 181.º)
Violação de correspondência ou de telecomunicações (art.º 194.º)
Pornografia de menores [cfr. al. b) e c), do n.º 1, do art.º 176.º]
Discriminação racial, religiosa ou sexual (n.º 2, do art.º 240.º)
Protecção de dados pessoais - art.º 30.º Lei 109/2009
Artigo 30.º
Protecção de dados pessoais
O tratamento de dados pessoais ao abrigo da
presente lei efectua-se de acordo com o disposto
na Lei n.º 67/98, de 26 de Outubro, sendo aplicável,
em caso de violação, o disposto no respectivo
capítulo VI.
Lei n.º 41/2004, de 18-08 (Transp.Directiva 2002/58/CE)
Artigo 1.º
Objecto e âmbito de aplicação
2 — A presente lei aplica-se ao tratamento de
dados pessoais no contexto das redes e serviços de
comunicações electrónicas acessíveis ao público,
especificando e complementando as disposições da
Lei n.º 67/98, de 26 de Outubro (Lei da Protecção
de Dados Pessoais).
Lei n.º 67/98
Crimes previstos
Código de Direitos de autor e direitos conexos
Crimes relacionados
• Usurpação;
• Contrafacção.
• Incumprimento de obrigações relativas a
protecção de dados (art.º 43.º);
• Acesso indevido (art.º 44.º);
• Viciação ou destruição de dados pessoais (art.º
45.º);
• Desobediência qualificada (art.º 46.º);
• Violação do dever de sigilo (art.º 47.º)
1. Introdução
Exemplificação
5
1. Introdução
Exemplificação
Actualmente, a falha de protecção de dados está suprida….
6
1. Introdução
Exemplificação
Mas anteriormente…
7
1. Introdução
1.2. Riscos de violação de dados pessoais
1. Comércio electrónico
2. Redes sociais
3. Cloud computing
Off site
Data Storage (armazenamento virtual), com gestão remota simplificada, onde se podem guardar e sincronizar documentos diversos. Apesar da sua
relevância, os documentos que sejam guardados em nuvem (cloud) não devem ter elementos pessoais e os mais sensíveis devem ser encriptados ou
protegidos (v.g., password com múltiplos caracteres).
Ex.: Skydrive (Microsoft), box.com, Dropbox, CloutPT, SugarSync, gDrive (google) etc..
4. Desenvolvimento das plataformas web
1. O aumento exponencial das plataformas web (comunicações móveis, internet, data storage), incluindo a oferta de serviços gratuitos e a maior confiança
nas soluções tecnológicas tem por contraponto uma menor atenção à segurança.
(v.g., Em Fevereiro de 2013 a iCloud da Apple sofreu um ataque que poderia ter colocado em perigo os elementos pessoais, contactos, agendas, n.º de
cartões de crédito e documentos pessoais de milhões de utilizadores de iPhone e iPad.
8
1. Introdução
1.2. Riscos de violação de dados pessoais
4. Desenvolvimento das plataformas web
1. O aumento exponencial das plataformas web (comunicações móveis, internet, data storage), incluindo a oferta de serviços gratuitos e a maior
confiança nas soluções tecnológicas tem por contraponto uma menor atenção à segurança.
(v.g., Em Fevereiro de 2013 a iCloud da Apple sofreu um ataque que poderia ter colocado em perigo os elementos pessoais, contactos, agendas, n.º
de cartões de crédito e documentos pessoais de milhões de utilizadores de iPhone e iPad).
2.
Esse aumento de serviços web com mais qualidade são igualmente acessíveis a utilizadores sem escrúpulos em violar a lei e os direitos
fundamentais dos cidadãos:
a) Phishing - fraude electrónica, utilizando ferramentas ou aplicações para adquirir dados pessoais de
diversos tipos: senhas, dados financeiros como número de cartões de crédito e outros dados pessoais. O
acto consiste em o agente se fazer passar por uma pessoa ou empresa confiável remetendo uma
comunicação eletrónica que constitui um engodo para o fornecimento pelo próprio – a vítima – dos
seus dados pessoais;
b) Burla informática. Inclui «usurpação de identidade», pedidos / ofertas de empréstimos financeiros,
etc.
c)
Pedofilia na Internet – uso da cloud para armazenamento de fotografias (assim se substituindo aos
discos de computador), agravado com a funcionalidade de partilha de directórios com outros
utilizadores que pela mesma via podem fazer upload de fotografias / documentos / dados diversos.
d) Devassa da vida privada, com extorsão ou ameaças (cyberstalking, assédio), por se ter tido acesso a
informação, documentação ou fotos da vida íntima ou privada.
a) Espionagem empresarial ou comercial (patentes, segredos de negócio, etc.)
9
2. Âmbito dos dados pessoais
2.1. Direitos de personalidade
1. Direito à identidade pessoal
O direito à identidade pessoal visa garantir aquilo que identifica cada pessoa como indivíduo, singular e
irredutível. Este direito inclui o direito ao nome (art.º 72.º, do Código Civil) que consiste no direito a ter um
nome, de não ser privado dele, de o defender e de impedir que outrem o utilize, sem prejuízo dos casos de
homonímia.
Assume especial relevância no âmbito da Internet pela possibilidade real do uso indevido por terceiros quer
do nome pessoal (do cidadão individual) quer da firma ou marca (das pessoas colectivas), designadamente
mediante a configuração das contas dos leitores de correio electrónico.
2. Direito ao bom nome e reputação
Este direito consiste em não ser ofendido na honra, dignidade ou consideração social mediante imputação
feita por outrem, bem como no direito a defender-se dessa ofensa e a obter a respectiva reparação, quer esta
revista numa retractação pública do ofensor, quer numa indemnização por danos não patrimoniais.
1.2. Direito à imagem
O direito à imagem é, em primeiro lugar, o direito ao resguardo, isto é, ao direito de privacidade. É proibida
a exposição de fotos, imagens ou caricaturas de uma pessoa na Internet ou a circulação das mesmas em
mensagens de e-mail, mailing lists transferência em P2P (peer to peer) e redes sociais sem o consentimento
expresso do próprio. Trata-se do princípio fundamental do direito civil estatuído no art.º 79.º do Código
Civil, segundo o qual “o retrato de uma pessoa não pode ser exposto, reproduzido ou lançado no comércio
sem o consentimento dela” .
Este direito assume uma particular relevância pela faculdade de gravação da foto nos discos
rígidos com possibilidade posterior de criar montagens ou distorcê-la através de um programa
de edição de imagem. Os nossos Tribunais já se pronunciaram sobre um pedido de
indemnização por danos morais decorrentes da violação, pela exibição numa página da Internet
de uma fotomontagem, utilizando uma fotografia com o rosto de uma pessoa e o corpo nu de
uma outra mulher, afirmando tratar-se do verdadeiro corpo daquela.
Ac. STJ, 21-11-2012 (Cons. Ferreira Girão), proc. 02B2966, dgsi.pt
1
0
2. Âmbito dos dados pessoais
2.2. Princípios fundamentais
De acordo com a Recomendação da OCDE, de 23-09-1980, as linhas directrizes em
sede de protecção de dados pessoais são as seguintes:
1) Princípio da limitação da recolha. Todos os dados de carácter pessoal
devem ser obtidos de forma lícita e leal, devendo a pessoa sua titular ser
informada e dar o seu prévio consentimento.
2) Princípio da qualidade dos dados: Os dados recolhidos devem ser
pertinentes em relação às finalidades correspondentes à sua utilização,
devendo ser exactos, completos e actualizados.
3) Princípio da especificação das finalidades. As finalidades para as quais os
dados são recolhidos devem ser determinadas, no máximo, até ao momento
da recolha, não podendo os dados recolhidos ser utilizados posteriormente
para atingir outras finalidades incompatíveis.
4) Princípio da limitação da utilização. Os dados não devem ser divulgados,
fornecidos ou utilizados para finalidades diferentes das especificadas no
momento da recolha, salvo se for obtido o consentimento da pessoa a que
respeitam.
5) ** Princípio das garantias de segurança **. Quem recolhe, gere e utiliza
os dados deve dar garantias de segurança razoáveis contra riscos emergentes
da perda ou do acesso (não autorizado), bem como a destruição, utilização,
modificação ou divulgação não autorizadas.
6) Princípio da transparência. O titular dos dados deve poder aceder
facilmente sobre a existência, natureza e utilização dos dados.
1
1
2. Âmbito dos dados pessoais
12
2.2. Princípios fundamentais
7) Princípio da participação individual. Toda e qualquer pessoa tem o
direito de:
- Obter do responsável do ficheiro a confirmação do facto de que este
responsável detém ou não os dados que lhe dizem respeito;
- Obter a comunicação dos dados de que é titular, dentro de um prazo
razoável;
- Contestar os dados que lhe digam respeito;
- Requerer a sua alteração, rectificação ou eliminação.
8) Princípio da responsabilidade. Todos os responsáveis por ficheiros
devem ser responsabilizados pelo cumprimento das medidas que
permitem a concretização dos princípios supra enunciados.
Num quadro de
cibercriminalidade
que conflitua com
cibersegurança
nenhum destes
princípios é
respeitado
2. Âmbito dos dados pessoais
13
2.3. Dados pessoais susceptíveis de tratamento informático
1. Conceito
De acordo com o art.º 2.º, al. a) da Convenção n.º 108 do Conselho da Europa para a Protecção de Pessoas
relativamente ao tratamento automatizado de dados de carácter pessoal, dado pessoal é “qualquer informação
relativa a uma pessoa singular identificada ou susceptível de identificação”.
São pessoais porque relativos à esfera não pública da vida, cfr. art.º 181.º do Código Penal, com
excepção dos dados íntimos que estão interditos de tratamento informático.
É proibido o tratamento de dados pessoais referentes a :
a) Convicções filosóficas ou políticas;
b) Filiação partidária ou sindical;
c) Fé religiosa;
d) Vida privada;
e) Origem racial ou étnica;
f) Saúde;
g) Vida sexual, incluindo os dados genéticos.
(art.º 7.º da Lei n.º 67/98).
Excepção:
Mediante disposição legal ou autorização da CNPD, pode ser
permitido o tratamento dos dados referidos quando por motivos
de interesse público importante esse tratamento for
indispensável ao exercício das atribuições legais ou estatutárias
do seu responsável, ou quando o titular dos dados tiver dado o
seu consentimento expresso para esse tratamento.
2. Âmbito dos dados pessoais
2.3. Dados pessoais susceptíveis de tratamento informático
2. Admissibilidade de tratamento:
a) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa
e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;
b) Ser efectuado, com o consentimento do titular, por fundação, associação ou organismo
sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas
actividades legítimas, sob condição de o tratamento respeitar apenas aos membros desse
organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas
finalidades , e de os dados não serem comunicados a terceiros sem consentimento dos seus
titulares;
c) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se
possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos
mesmos;
d) Ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for
efectuado exclusivamente com essa finalidade.
e) O tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados genéticos,
é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico
médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de
saúde, desde que o tratamento desses dados seja efectuado por um profissional de saúde
obrigado a sigilo ou por outra pessoa sujeita igualmente a segredo profissional, seja
notificado à CNPD, nos termos do artigo 27.º da Lei 67/98, de 26.10 e sejam garantidas
medidas adequadas de segurança da informação.
14
2. Âmbito dos dados pessoais
2.3. Dados pessoais susceptíveis de tratamento informático
3. Dados relativos à prática de actividades ilícitas
3.1. A criação e manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas,
infracções penais, contra-ordenações e decisões que apliquem penas, medidas de segurança, coimas
e sanções acessórias só pode ser mantida por serviços públicos com competência específica
prevista na respectiva lei de organização e funcionamento, observando normas procedimentais e de
protecção de dados previstas em diploma legal , com prévio parecer da CNPD (art.º 8.º da Lei n.º
67/98).
3.2. Quando esteja em causa apenas suspeitas dessas actividades ilícitas ou infracções penais ou
contra-ordenacionais, a criação de uma base de dados e o tratamento desses dados pessoais apenas
é possível quando:
a) Seja expressamente autorizado pela CNPD;
b) Sejam observadas as normas de protecção de dados e de segurança da informação;
c) Tal tratamento seja necessário à execução de finalidades legítimas do seu responsável;
d) E desde que não ponham em causa os direitos, liberdades e garantias do titular dos
dados.
3.3. O tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário
para a prevenção de um perigo concreto ou repressão de uma infracção determinada e ainda nos
termos de acordo ou convenção internacional de que Portugal seja parte, quando esteja em causa
uma investigação transfronteiriça (cfr. artº 8.º, n.º 3 da Lei n.º 67/98).
15
2. Âmbito dos dados pessoais
16
2.3. Dados pessoais susceptíveis de tratamento informático
4. Ficheiros de informação patrimonial
4.1. A Lei n.º 67/98 não regula de forma específica o tratamento de informação
sobre a solvência patrimonial, do crédito ao consumo ou de empresas de
informações e negócios relativamente à situação patrimonial de pessoas singulares
ou colectivas. Existem empresas que se dedicam à prestação (paga) dessas
informações, que em regra não são obtidas do próprio titular mas de terceiros com os
quais o titular tenha relações jurídicas ou comerciais. Levantam-se assim as questões
da legitimidade e condições em que os dados são recolhidos e particularmente da
forma como são posteriormente tratados, designadamente se são actualizados com a
situação real do titular dos dados e se mantêm o seu “histórico” de “mau pagador”,
“sem crédito”, quais os seus bens e garantias que possa oferecer.
CATARINA SARMENTO E CASTRO, Os Ficheiros de Crédito e a
Protecção e Dados Pessoais, Boletim da Faculdade de Direito, Vol.
LXXVIII, Coimbra, 2002, p. 475 ss. enuncia que “a criação de
tratamento de dados relativos aos devedores numa relação creditícia
tem uma inegável importância para a vida económica. (…)
Enquanto instrumentos de prevenção, estes tratamentos reduzem o
risco da concessão e aplicação de crédito, e permitem uma maior
segurança e rapidez nas transacções subsequentes. Mas nem só o
credor deles retira vantagem: tanto o consumidor, como as
instituições de crédito, as sociedades financeiras e outras entidades
relacionadas com operações de crédito, beneficiam da sua
existência».
4.2. A informação sobre riscos de crédito encontra-se centralizada no Banco de
Portugal, mas é legalmente admissível a criação de sistemas privados de informação
recíproca, visando a garantia da segurança das operações.
4.3. Assiste aos titulares dos dados o “direito ao esquecimento” , nos termos do art.º
5.º, n.º 1, al. e) da Lei 67/98, ou seja “os dados respeitantes a um incidente de crédito
só devem ser conservados enquanto este incidente se verificar”. A partir do
momento em que o incidente seja regularizado, o responsável pelo tratamento dos
dados está obrigado a eliminá-lo, sendo por conseguinte ilícita a manutenção de um
«cadastro» de débitos posteriormente pagos.
4.4. Tem-se todavia considerado que o responsável pelo tratamento pode conservar
esses dados pelo período de 10 anos desde a data do pagamento (fim da situação de
débito), na decorrência do princípio geral da conservação escrituração comercial,
previsto no art.º 40.º do Código Comercial, porém essa informação não pode ser
acedida por terceiros, apenas sendo admissível o seu posterior tratamento para fins
científicos, de estatística ou de auditoria, sob a prévia autorização para o efeito da
Comissão Nacional de Protecção de Dados.
O mesmo prazo foi estipulado pelo Banco de Portugal (Instrução n.º
16/2001), ao abrigo do Dec.-Lei n.º 29/96, de 11.04, findo o qual todas essas
informações devem ser apagadas. No mesmo sentido cfr. Deliberação n.º
19/97, de 05.06.1997, da CNPD (www.cnpd.pt) – “I. O tempo de
conservação dos dados deve ser definido e limitado à finalidade do ficheiro;
II. Os dados respeitantes a um incidente de crédito só devem ser conservados
enquanto este se verificar; III. Logo que tenha cessado o incidente as
empresas participantes devem comunicar essa ocorrência à C... a qual,
imediatamente, procede à eliminação do incidente («informação negativa»);
IV. A C... poderá estabelecer mecanismos de auditoria tendentes à
verificação das condições e circunstâncias que determinaram a
alteração/eliminação nos registos; V. As empresas participantes nunca
poderão ter acesso a qualquer informação sobre incidentes de crédito
eliminados; VI. A C... não poderá conservar qualquer informação (sobre
identificação de clientes - administrativa ou contabilística) para além de 10
anos sobre a cessação da relação contratual (cf. artº 40º do Código
Comercial)”.
2. Âmbito dos dados pessoais
17
2.4. Dados pessoais vs dados de tráfego ou de localização
Dados Pessoais
«Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte,
incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é
considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por
referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica,
psíquica, económica, cultural ou social.
(art.º 3.º, al. a), da Lei n.º 67/98, de 26-10)
Dados de Tráfego
«Dados de tráfego» quaisquer dados tratados para efeitos do envio de uma comunicação
através de uma rede de comunicações electrónicas ou para efeitos da facturação da
mesma.
[art.º 2.º, n.º 1, al. d), da Lei n.º 41/2004, de 18-08]
Dados de
natureza
informática
Dados de Localização
«Dados de localização» quaisquer dados tratados numa rede de comunicações electrónicas
ou no âmbito de um serviço de comunicações electrónicas que indiquem a posição
geográfica do equipamento terminal de um assinante ou de qualquer utilizador de um
serviço de comunicações electrónicas acessível ao público [art.º 2.º, n.º 1, al. e), da Lei n.º
41/2004, de 18-08, alterado pela Lei 46/2012]
Mas susceptível de violar dados pessoais
«Violação de dados pessoais» uma violação da segurança que provoque, de modo
acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não
autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no
contexto da prestação de serviços de comunicações electrónicas acessíveis ao público
[art.º 2.º, n.º 1, al. g), da Lei n.º 41/2004, de 18-08, alterado pela Lei 46/2012]
1
8
2. Âmbito dos dados pessoais
19
2.5. Regime dos dados de localização
Lei n.º 41/2004, de 18 de Agosto
Artigo 7.º
Dados de localização
1 — Nos casos em que sejam processados dados de localização, para
além dos dados de tráfego, relativos a assinantes ou utilizadores das
redes públicas de comunicações ou de serviços de comunicações
electrónicas acessíveis ao público, o tratamento destes dados é permitido
apenas se os mesmos forem tornados anónimos.
2 — É permitido o registo, tratamento e transmissão de dados de
localização às organizações com competência legal para receber
chamadas de emergência para efeitos de resposta a essas chamadas.
3 — Do mesmo modo, o tratamento de dados de localização é
permitido na medida e pelo tempo necessários para a prestação de
serviços de valor acrescentado, desde que seja obtido consentimento
prévio e expresso dos assinantes ou utilizadores (Redacção Lei 46/2012)
4 — As empresas que oferecem serviços de comunicações
electrónicas acessíveis ao público devem, designadamente, informar os
utilizadores ou assinantes, antes de obterem o seu consentimento, sobre o
tipo de dados de localização que serão tratados, a duração e os fins do
tratamento e a eventual transmissão dos dados a terceiros para efeitos de
fornecimento de serviços de valor acrescentado.
5 — As empresas que oferecem serviços de comunicações
electrónicas acessíveis ao público devem garantir aos assinantes e
utilizadores a possibilidade de, através de um meio simples e gratuito:
a) Retirar a qualquer momento o consentimento anteriormente
concedido para o tratamento dos dados de localização referidos nos
números anteriores;
b) Recusar temporariamente o tratamento desses dados para cada
ligação à rede ou para cada transmissão de uma comunicação.
6 — O tratamento dos dados de localização deve ser limitado aos
trabalhadores e colaboradores das empresas que oferecem redes e ou
serviços de comunicações electrónicas acessíveis ao público ou de
terceiros que forneçam o serviço de valor acrescentado, devendo
restringir-se ao necessário para efeitos da referida actividade.
O que está em causa
Cada vez que uma pessoa acede a um meio de suporte virtual
existe um conjunto de informação pessoal inequivocamente
agregado que objectiva o direito à reserva da intimidade da
vida privada relacionado com a máquina que utiliza (pc) ao
tipo de ligação à internet e ao hábitos de navegação na
mesma que podem ser recolhidas.
O que está em causa são o conteúdo e milhões de
computadores interligados e os seus potenciais
destinatários…
O circuito
Quando o utilizador liga a internet ao seu computador
comunica com outros a fim de aceder a web específicos
(www).
Essa comunicação, é denominada de chatter e através dela
são transmitidos dados referentes ao programa de navegação
na internet usado pelo utilizador e outros dados referentes a
software.
Se fizermos o registo do computador, será o logging para
atingirmos o computador que aloja a informação que o
utilizador pretende consultar, servindo-se de um anfitrião.
2. Âmbito dos dados pessoais
20
2.6. Regime dos dados de tráfego
 Factores de evasão de dados pessoais
O Ladom pode ser utilizado para registar preferências de consumo dos utilizadores de lojas
electrónicas .
 O Amazon serve também para preferências de escolha personalizada e mesmo íntima em
determinados websites.
Os Cookies são permitidos pelo utilizadores, revelam padrões de utilização do PC e o acesso
Internet, bem como os hábitos de navegação e o consumo de sítios de Internet.
Clickstream significa fluxo de acessos e representa uma cadeia de hiperligações (hiperlinks) que se
constrói a medida que navegamos de página em página dentro do website. É o resultado conseguido
entre o chatter, loggins e cookies através de software específico.
 Os dados conseguidos pelos meios de comunicação através desses mecanismos, integram uma esfera
média de protecção da vida privada.
Lei n.º 41/2004, de 18 de Agosto (alterada pela Lei 46/2012, de 29-08):
Artigo 1.º, n.º 2 - A presente lei aplica -se ao tratamento de dados pessoais no contexto
da prestação de serviços de comunicações eletrónicas acessíveis ao público em redes de
comunicações públicas, nomeadamente nas redes públicas de comunicações que sirvam
de suporte a dispositivos de recolha de dados e de identificação, especificando e
complementando as disposições da Lei n.º 67/98, de 26 de outubro (Lei da Proteção de
Dados Pessoais).
Artigo 16.º (Legislação subsidiária) - Em tudo o que não esteja previsto na presente lei,
são aplicáveis as disposições sancionatórias que constam dos artigos 33.º a 39.º da Lei da
Protecção de Dados Pessoais.
2. Âmbito dos dados pessoais
21
2.7. Violação de dados pessoais no âmbito do tratamento dos dados de tráfego ou localização
A Directiva 2009/136/CE do Parlamento Europeu e do Conselho,
de 25 de Novembro de 2009, transposta pela Lei n.º 46/2012, de
29-08, que alterou a Lei 41/2004, de 18-08, consignava que:
«As medidas nacionais relativas ao acesso ou à utilização de
serviços e aplicações através de redes de comunicações
electrónicas pelos utilizadores finais devem respeitar os direitos
fundamentais dos cidadãos, nomeadamente em relação à
privacidade e ao direito a um processo equitativo previsto no
artigo 6.º da Convenção Europeia para a Protecção dos Direitos
do Homem e das Liberdades Fundamentais.».
“No caso de violação de dados pessoais, o prestador dos serviços
de comunicações electrónicas acessíveis ao público comunica,
sem atraso injustificado, a violação à autoridade nacional
competente. Caso a violação de dados pessoais possa afectar
negativamente os dados pessoais e a privacidade do assinante ou
de um indivíduo, o prestador notifica essa violação ao assinante
ou ao indivíduo sem atraso injustificado.” (art.º 4.º n.º 3)
Os Estados Membros asseguram que o armazenamento de
informações ou a possibilidade de acesso a informações já
armazenadas no equipamento terminal de um assinante ou
utilizador só sejam permitidos se este tiver dado o seu
consentimento prévio com base em informações claras e
completas, nos termos da Directiva 95/46/CE, nomeadamente
sobre os objectivos do processamento”, (art.º 5.º n.º 3
Lei n.º 41/2004, de 18 de Agosto: aditado art.º 3.º-A pela Lei 46/2012:
Artigo 3.º -A
Notificação de violação de dados pessoais
1 — As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao
público devem, sem de violação de dados pessoais.
2 — Quando a violação de dados pessoais referida no número anterior possa afetar
negativamente os dados pessoais do assinante ou utilizador, as empresas que oferecem
serviços de comunicações eletrónicas acessíveis ao público devem ainda, sem demora
injustificada, notificar a violação ao assinante ou ao utilizador, para que estes possam
tomar as precauções necessárias.
3 — Uma violação de dados pessoais afeta negativamente os dados ou a privacidade do
assinante ou utilizador sempre que possa resultar, designadamente, em usurpação ou
fraude de identidade, danos físicos, humilhação significativa ou danos para a reputação,
quando associados à prestação e utilização de serviços de comunicações eletrónicas
acessíveis ao público.
4 — O regime previsto no n.º 2 não se aplica nos casos em que as empresas que
oferecem serviços de comunicações eletrónicas acessíveis ao público comprovem perante
a CNPD, e esta reconheça, que adotaram as medidas tecnológicas de proteção adequadas
e que essas medidas foram aplicadas aos dados a que a violação diz respeito.
5 — As medidas a que se refere o número anterior devem tornar os dados
incompreensíveis para todas as pessoas não autorizadas a aceder -lhes.
6 — Sem prejuízo da obrigação de notificação a que se refere o n.º 2, quando a empresa
que oferece serviços de comunicações eletrónicas acessíveis ao público não tiver ainda
notificado a violação de dados pessoais ao assinante ou ao utilizador, a CNPD pode
exigir a realização da mesma notificação, tendo em conta a probabilidade de efeitos
adversos decorrentes da violação.
7 — Constituem elementos mínimos da notificação a que se refere o n.º 2 a
identificação da natureza da violação dos dados pessoais e dos pontos de contato onde
possam ser obtidas informações complementares, bem como a recomendação de medidas
destinadas a limitar eventuais efeitos adversos da referida violação.
8 — Na notificação à CNPD prevista no n.º 1, a empresa que oferece serviços de
comunicações eletrónicas acessíveis ao público deve, além dos elementos constantes
do número anterior, indicar as consequências da violação de dados pessoais e as
medidas por si propostas ou tomadas para fazer face à violação.
2. Âmbito dos dados pessoais
22
2.8. Tratamento de dados de tráfego e localização para fins de prevenção criminal
Lei n.º 32/2008, de 17 de Julho, relativa conservação de
dados gerados ou tratados no contexto da oferta de serviços
de comunicações electrónicas publicamente disponíveis ou
de redes públicas de comunicações.
Cfr. Art.º 1.º, n.º 1:
«A presente lei regula a conservação e a transmissão dos
dados de tráfego e de localização relativos a pessoas
singulares e a pessoas colectivas, bem como dos dados
conexos necessários para identificar o assinante ou o
utilizador registado, para fins de investigação, detecção e
repressão de crimes graves por parte das autoridades
competentes (…)»
‘Crime grave’: crimes de terrorismo, criminalidade violenta,
criminalidade altamente organizada, sequestro, rapto e
tomada de reféns, crimes contra a identidade cultural e
integridade pessoal, contra a segurança do Estado,
falsificação de moeda ou títulos equiparados a moeda e
crimes abrangidos por convenção sobre segurança da
navegação aérea ou marítima.”, [art.º 2.º n.º 2 alínea g)].
«As entidades referidas no n.º 1 do artigo 4.º devem
conservar os dados previstos no mesmo artigo pelo período
de um ano a contar da data da conclusão da comunicação.»,
(art.º 6.º)
Lei n.º 32/2008:
Artigo 3.º
Finalidade do tratamento
1 — A conservação e a transmissão dos dados têm por finalidade exclusiva a
investigação, detecção e repressão de crimes graves por parte das autoridades
competentes.
2 — A transmissão dos dados às autoridades competentes só pode ser ordenada ou
autorizada por despacho fundamentado do juiz, nos termos do artigo 9.º
3 — Os ficheiros destinados à conservação de dados no âmbito da presente lei têm que,
obrigatoriamente, estar separados de quaisquer outros ficheiros para outros fins.
4 — O titular dos dados não pode opor-se à respectiva conservação e transmissão.
Sobre o procedimento, cfr. Artigo 9.º
Transmissão de dados
1 - A transmissão dos dados referentes às categorias previstas no artigo 4.º só pode ser
autorizada, por despacho fundamentado do juiz de instrução, se houver razões para crer
que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de
outra forma, impossível ou muito difícil de obter no âmbito da investigação, detecção e
repressão de crimes graves.
2 - A autorização prevista no número anterior só pode ser requerida pelo Ministério
Público ou pela autoridade de polícia criminal competente.
3 - Só pode ser autorizada a transmissão de dados relativos:
a) Ao suspeito ou arguido;
b) A pessoa que sirva de intermediário, relativamente à qual haja fundadas
razões para crer que recebe ou transmite mensagens destinadas ou provenientes
de suspeito ou arguido; ou
c) A vítima de crime, mediante o respectivo consentimento, efectivo ou
presumido
4 - A decisão judicial de transmitir os dados deve respeitar os princípios da adequação,
necessidade e proporcionalidade, designadamente no que se refere à definição das
categorias de dados a transmitir e das autoridades competentes com acesso aos dados e à
protecção do segredo profissional, nos termos legalmente previstos
(…)
2. Âmbito dos dados pessoais
23
2.9. Relevância no âmbito da Lei do Cibercrime (Lei 109/2009)
“As disposições processuais previstas no presente
capítulo não prejudicam o regime da Lei n.º 32/2008,
de 17 de Julho”, (art.º 11.º n.º 2)
Embora seja viável ordenar a preservação expedita de
dados (art.º 12.º), a revelação expedita de dados de
tráfego (art.º 13.º) bem como a apreensão de dados
(art.º 16.º) e de registos de comunicações (art.º 17.º) e
a interceção de comunicações (art.º 18.º) para tipos de
crime mais amplos do que os crimes «graves» a que se
refere a Lei 32/2008
Disposições em sede de produção de prova:
- Preservação expedita de dados (Art.º 12.º);
- Revelação expedita de dados de tráfego (Art.º 13.º);
- Injunção para apresentação ou concessão do acesso a dados
(Art.º 14.º);
- Pesquisa de dados informáticos (Art.º 15.º);
- Apreensão de dados informáticos (Art.º 16.º);
- Apreensão de correio electrónico e registos de comunicações de
natureza semelhante (Art.º 17.º
- Intercepção de comunicações (Art.º 18.º);
- Acções encobertas (art.º 19.º)
Evitada a evolução para um Direito Penal
do Risco (Risikostrafrecht), mediante a
admissão de alguma compressão das
liberdades fundamentais, a partir de
preocupações securitárias (evitar acções de
terrorismo).
3. Violação do tratamento de dados pessoais
24
3.1. Tipos instrumentais
Não cumprimento de obrigações relativas a protecção de dados
Desobediência qualificada (art.º 46.º Lei 67/98)
Artigo 43.º
Não cumprimento de obrigações relativas a protecção de dados
1 — É punido com prisão até um ano ou multa até 120 dias
quem intencionalmente:
a) Omitir a notificação ou o pedido de autorização a que se
referem os artigos 27.º e 28.º;
b) Fornecer falsas informações na notificação ou nos pedidos de
autorização para o tratamento de dados pessoais ou neste proceder
a modificações não consentidas pelo instrumento de legalização;
c) Desviar ou utilizar dados pessoais, de forma incompatível
com a finalidade determinante da recolha ou com o instrumento de
legalização;
d) Promover ou efectuar uma interconexão ilegal de dados
pessoais;
e) Depois de ultrapassado o prazo que lhes tiver sido fixado pela
CNPD para cumprimento das obrigações previstas na presente lei
ou em outra legislação de protecção de dados, as não cumprir;
f) Depois de notificado pela CNPD para o não fazer, mantiver o
acesso a redes abertas de transmissão de dados a responsáveis pelo
tratamento de dados pessoais que não cumpram as disposições da
presente lei.
2 — A pena é agravada para o dobro dos seus limites quando se
tratar de dados pessoais a que se referem os artigos 7.º e 8.º
Artigo 46.º
Desobediência qualificada
1 — Quem, depois de notificado para o efeito, não interromper,
cessar ou bloquear o tratamento de dados pessoais é punido com a
pena correspondente ao crime de desobediência qualificada.
2 — Na mesma pena incorre quem, depois de notificado:
a) Recusar, sem justa causa, a colaboração que
concretamente lhe for exigida nos termos do artigo 24.º;
b) Não proceder ao apagamento, destruição total ou parcial
de dados pessoais;
c) Não proceder à destruição de dados pessoais, findo o
prazo de conservação previsto no artigo 5.º
Violação do dever de sigilo (art.º 47.º)
Artigo 47.º
Violação do dever de sigilo
1 — Quem, obrigado a sigilo profissional, nos termos da lei, sem justa
causa e sem o devido consentimento, revelar ou divulgar no todo ou em
parte dados pessoais é punido com prisão até dois anos ou multa até 240
dias.
2 — A pena é agravada de metade dos seus limites se o agente:
a) For funcionário público ou equiparado, nos termos da lei penal;
b) For determinado pela intenção de obter qualquer vantagem patrimonial
ou outro benefício ilegítimo;
c) Puser em perigo a reputação, a honra e consideração ou a intimidade
da vida privada de outrem.
3 — A negligência é punível com prisão até seis meses ou multa até 120
dias.
4 — Fora dos casos previstos no n.º 2, o procedimento criminal depende
de queixa.
3. Violação do tratamento de dados pessoais
3.2. Tipos de execução
Acesso indevido
Artigo 44.º
Acesso indevido
1 — Quem, sem a devida autorização, por qualquer modo,
aceder a dados pessoais cujo acesso lhe está vedado é punido
com prisão até um ano ou multa até 120 dias.
2 — A pena é agravada para o dobro dos seus limites quando
o acesso:
a) For conseguido através de violação de regras técnicas de
segurança;
b) Tiver possibilitado ao agente ou a terceiros o conhecimento
de dados pessoais;
c) Tiver proporcionado ao agente ou a terceiros benefício ou
vantagem patrimonial.
3 — No caso do n.º 1 o procedimento criminal depende de
queixa.
Viciação ou destruição de dados pessoais
Artigo 45.º
Viciação ou destruição de dados pessoais
1 — Quem, sem a devida autorização, apagar, destruir,
danificar, suprimir ou modificar dados pessoais, tornando-os
inutilizáveis ou afectando a sua capacidade de uso, é punido com
prisão até dois anos ou multa até 240 dias.
2 — A pena é agravada para o dobro nos seus limites se o dano
produzido for particularmente grave.
3 — Se o agente actuar com negligência, a pena é, em ambos os
casos, de prisão até um ano ou multa até 120 dias
25
Grato pela atenção dispensada
JOEL TIMÓTEO RAMOS PEREIRA
Juiz Secretário do Conselho Superior da Magistratura
Juiz de Direito de Círculo | Mestre em Direito
CONTACTO
correio@joelpereira.pt
Download

Cibersegurança e a Proteção de Dados Pessoais