1 Mercado em Comunicação, Media e Justiça Mestrado em Direito 2010/2011 (2.º semestre) Direito da Comunicação V – Protecção de dados pessoais Profa. Maria Eduarda Gonçalves 2 Reserva da intimidade da vida privada/ direito à protecção de dados pessoais • Natureza dos direitos: como direitos de personalidade e direitos sobre informação • Privacy - reserva de esferas privada, pessoal e de segredo • Direito à protecção de dados pessoais informatizados: um direito à autodeterminação informativa? Âmbito dos direitos: que “informação”? Dados pessoais como dados “nominativos” Que protecção? Duas noções coincidentes ou complementares? 3 A protecção jurídica de dados pessoais • No direito internacional A Convenção do Conselho da Europa para a Protecção dos Indivíduos face ao Tratamento Automático de Dados Pessoais (1981) • As Directrizes da OCDE sobre a Protecção da Vida Privada e os Fluxos Transfronteiras de Dados Pessoais (1981) • A directiva europeia sobre protecção de dados pessoais e livre circulação da informação (1995) • - No direito interno • A Constituição da República Portuguesa (art. 35º) • A Lei nº 10/91, de 29 de Abril • A Lei nº 67/98, de 25 de Outubro 4 A Convenção do Conselho da Europa (CCE) • “O objectivo desta Convenção é garantir, no território de cada uma das partes e para cada indivíduo o respeito dos seus direitos e liberdades fundamentais, particularmente do direito à intimidade da vida privada” (art. 1º) • Fundamento: o art. 8º da Convenção Europeia dos Direitos do Homem (reserva da intimidade da vida privada) 5 A protecção de dados pessoais – Quadro geral • O conceito de “dados pessoais” • O regime dos dados sensíveis • As garantias funcionais (ou princípios de tratamento de dados) • As garantias institucionais • Os direitos individuais • Os fluxos transfronteiras de dados 6 Artigo 5º (CCE) - Qualidade dos dados • Os dados de carácter pessoal que sejam objecto de um tratamento automatizado devem ser: • a) Obtidos e tratados de forma leal e lícita; • b) Registados para finalidades determinadas e legítimas, não podendo ser utilizados de modo incompatível com essas finalidades; • c) Adequados, pertinentes e não excessivos em relação às finalidades para as quais foram registados: • d) Exactos e, se necessário, actualizados; • e) Conservados de forma que permitam a identificação das pessoas a que respeitam por um período que não exceda o tempo necessário às finalidades determinantes do seu registo. 7 Artigo 6º (CCE) - Categorias especiais de dados (dados “sensíveis”) • Os dados de carácter pessoal que revelem a origem racial, as opiniões políticas, as convicções religiosas ou outras, bem como os dados de carácter pessoal relativos à saúde ou à vida sexual, só poderão ser objecto de tratamento automatizado desde que o direito interno preveja garantias adequadas. O mesmo vale para os dados de carácter pessoal relativos a condenações penais. 8 Artigo 8º (CCE) - Garantias adicionais para o titular dos dados Qualquer pessoa poderá: a) Tomar conhecimento da existência de um ficheiro automatizado de dados de carácter pessoal e das suas principais finalidades, bem como da identidade e da residência habitual ou principal estabelecimento do responsável pelo ficheiro; b) Obter, a intervalos razoáveis e sem demoras ou despesas excessivas, a confirmação da existência ou não no ficheiro automatizado de dados de carácter pessoal que lhe digam respeito, bem como a comunicação desses dados de forma inteligível; c) Obter, conforme o caso, a rectificação ou a supressão desses dados, quando tenham sido tratados com violação das disposições do direito interno que apliquem os princípios básicos definidos nos artigos 5º e 6º da presente Convenção; d) Dispor de uma via de recurso se não for dado seguimento a um pedido de confirmação ou conforme o caso, de comunicação, de rectificação ou de supressão, tal como previsto na alíneas b) e c) deste artigo. 9 Artigo 9º (CCE) - Excepções e restrições 1- Não é admitida qualquer excepção às disposições dos artigos 5º, 6º e 8º da presente Convenção salvo dentro dos limites estabelecidos neste artigo. 2- É possível derrogar as disposições dos artigos 5º, 6º e 8º da presente Convenção quando tal derrogação, prevista pela lei da Parte, constitua medida necessária numa sociedade democrática: a) Para protecção da segurança do Estado, da segurança pública, dos interesses monetários do Estado ou para repressão das infracções penais; b) Para protecção do titular dos dados e dos direitos e liberdades de outrem. 3- Podem ser previstas por lei restrições ao exercício dos direitos referidos nas alíneas b), c) e d) do artigo 8º relativamente aos ficheiros automatizados de dados de carácter pessoal utilizados para fins de estatística ou de pesquisa científica quando manifestamente não haja risco de atentado à vida privada dos seus titulares. 10 Artigo 12º (CCE) - Fluxos transfronteiras de dados de carácter pessoal e direito interno 1- … 2- Uma Parte não poderá, com a exclusiva finalidade de protecção da vida privada, proibir ou submeter a autorização especial os fluxos transfronteiras de dados de carácter pessoal com destino ao território de uma outra Parte. 3- Contudo, qualquer Parte terá a faculdade de introduzir derrogações às disposições do nº 2: a) Na medida em que a sua legislação preveja uma regulamentação específica para certas categorias de dados de carácter pessoal ou de ficheiros automatizados de dados de carácter pessoal, em virtude da natureza desses dados ou ficheiros, salvo se a regulamentação da outra Parte previr uma protecção equivalente; b) Quando a transferência for efectuada a partir do seu território para o território de um Estado não contratante, através do território de uma outra Parte, a fim de evitar que essas transferências se subtraiam à legislação da Parte referida no início deste número. 11 12 A directiva europeia • Fundamentos: • assegurar um quadro mínimo de princípios uniformes susceptível de facilitar os fluxos transfronteiras de dados no mercado interno. • Os Estados-Membros não podem restringir ou proibir a livre circulação de dados pessoais entre EM por razões relativas à protecção do direito à vida privada no que diz respeito ao tratamento de dados pessoais.” (art. 1º, nº 2). • “a directiva, embora tenha como objectivo principal garantir a livre circulação de dados pessoais, prevê... que os Estados Membros assegurarão... a protecção das liberdades e direitos ..” 13 O regime dos dados sensíveis • As categorias indicadas correspondem às da CCE, acrescidas dos dados sobre filiação sindical. • Mas, abre-se um vasto leque de excepções: • Dados tratados para os fins próprios das organizações; • Dados médicos; • Dados necessários a contrato de trabalho; • Razões de interesse público. 14 As garantias funcionais • Os princípios da lealdade e licitude, finalidade, qualidade (art. 6º CCE) • A Directiva esvazia em parte o princípio do consentimento prévio do sujeito ao admitir que esse consentimento pode ser efectuado de modo implícito em várias circunstâncias (art. 7º). 15 As garantias funcionais (cont.) • Os princípios da lealdade e licitude da recolha e tratamento dos dados – os dados devem ser recolhidos junto da pessoa a que respeitam, a qual deverá ser esclarecida sobre a eventual obrigatoriedade de fornecimento de dados e sobre a finalidade do ficheiro. • O princípio da qualidade dos dados – adequação, pertinência e proporcionalidade em relação aos fins; exactidão; actualização e conservação apenas durante o tempo necessário. • O princípio da finalidade – proibição da utilização de dados para fins diferentes dos que presidiram à sua recolha. 16 Os direitos individuais • O direito a ser informado, no acto de recolha, sobre a finalidade dos dados; o direito a conhecer a existência, fins, identidade e residência habitual ou principal estabelecimento do responsável pelo ficheiro (princípios da transparência e publicidade). • O direito de acesso aos dados. • O direito de rectificação ou apagamento. • O direito de oposição > uma cláusula de salvaguarda. 17 As garantias institucionais • Os Estados-Membros deverão instituir autoridades de controlo independentes com a missão de fiscalizarem a aplicação da directiva no território dos EM (art. 28º). • Os poderes das autoridades: inquérito; bloquear, apagar ou destruir os dados; intervir em processos judiciais; apreciar reclamações individuais; receber e apreciar notificações de responsáveis por ficheiros. 18 O regime dos fluxos transfronteiras de dados • “Os Estados-Membros estabelecerão que a transferência para um país terceiro de dados pessoais ... só pode realizar-se se ... o país terceiro em questão assegurar um nível de protecção adequado” (art. 25º) • A adequação será apreciada em função de todas as circunstâncias que rodeiem a transferência. Deverão ser tidas em conta a natureza dos dados, a finalidade, a duração do tratamento, os países envolvidos, as regras legais, bem como as regras profissionais e de segurança em vigor no país de destino. (art. 25º, nº 2). (“semelhança funcional”). 19 • A tensão entre a UE e os EUA • Os “Safe harbour principles” do Department of Commerce dos EUA • A decisão da Comissão de 15 de Junho de 2001 relativa a cláusulas-tipo aplicáveis à transferência de dados pessoais para países terceiros, nos termos da Directiva 95/46/CE 20 O Tratado de Lisboa • “Todas as pessoas têm direito à protecção de dados de carácter pessoal que lhes digam respeito”. Esses dados devem ser objecto de “um tratamento leal para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto na lei”. (art. 8º). • O regulamento (CE) nº 45/2001, visando proteger as pessoas físicas relativamente ao tratamento de dados de carácter pessoal pelas instituições e órgãos comunitários.