SEMINÁRIO Cibersegurança: questões tecnológicas e implicações legais FACULDADE DE DIREITO DA UNIVERSIDADE DE LISBOA, 02-07-2014 Cibersegurança e a Protecção dos Dados Pessoais JOEL TIMÓTEO RAMOS PEREIRA Juiz de Direito de Círculo Juiz Secretário do Conselho Superior da Magistratura PGR não limita acesso a registos de telefonemas 2 FILIPA AMBRÓSIO DE SOUSA | DIÁRIO DE NOTÍCIAS | 28-06-2014 Acórdão Digital Rights Ireland | 08-04-2014| Tribunal de Justiça da União Europeia Decisão. Tribunal da União Europeia declarou ilegal a entrega de dados telefónicos às autoridades por parte das operadoras. Polícias podem usar como prova mas arriscam anulação de processos, enquanto lei nacional não for alterada. A procuradora-geral da República admitiu ao DN não saber ainda se polícias e Ministério Público (MP) podem investigar telefonemas feitos há um ano ou se estão proibidos de usar a informação dada pelas operadoras como meio de prova. Embora nada a impeça de fazer uma recomendação sobre o assunto, Joana Marques Vidal diz que não o fará, porque "ainda é cedo e estamos a refletir". Por agora, a decisão de utilizar registos telefónicos como prova caberá a cada um dos magistrados, que poderão, inclusive, solicitar ao Tribunal de Justiça da União Europeia (TJUE) que se pronuncie sobre casos concretos. O DN questionou o Ministério da Justiça sobre se iria tomar uma decisão em relação a este tema, mas até ao final do dia não obteve qualquer resposta. Desde 2008 que as operadoras de telecomunicações portuguesas, cumprindo uma diretiva europeia, guardam os registos telefónicos de todos os cidadãos nacionais, durante um ano, para o caso das autoridades necessitarem destes no decorrer de uma investigação. Porém, em abril deste ano, o Tribunal Europeu da União Europeia (TJUE) declarou esta entrega ilegal. Os dados permitem averiguar onde mora, com quem fala ou onde se encontra qualquer cidadão. Em causa, dizem os juízes da instância cujas decisões prevalecem sobre as legislações dos vários Estados membros, estarão direitos fundamentais como o da privacidade e do sigilo. Os dados permitem averiguar onde mora, com quem fala ou onde se encontra qualquer cidadão. Em causa, dizem os juízes da instância cujas decisões prevalecem sobre as legislações dos vários Estados membros, estarão direitos fundamentais como o da privacidade e do sigilo. Perante esta decisão, o MP, a PJ e juízes encontram-se num 'impasse' jurídico, sem saber como agir no terreno. "A lei nacional foi feita com base numa diretiva europeia que agora é posta em causa por este acórdão", explicou ontem Joana Marques Vidal, na sede da PJ. A titular da investigação criminal falava à margem de um encontro que juntou procuradores do MP e elementos da PJ - "Prova Digital em Processo Penal: velhos limites e novas necessidades" - com o objetivo de encontrar a solução para esta questão. "Não temos nenhuma resolução nem vou emitir nenhuma recomendação nesse sentido, estamos ainda no início da reflexão", explicou. Certo é que vários processos, já transitados em julgado (sem mais nenhuma hipótese de recurso) podem vir a ser anulados com base no argumento de prova proibida e, com isso levar a uma revisão de sentença. Mais ainda quando esta decisão do TJUE tem efeitos retroativos para todos os processos desde 2008 até ao momento. Ou seja: em 2009, numa das mais de 500 sessões de julgamento do processo Casa Pia, Ferreira Diniz refutava a informação obtida pela PJ através da TMN que revelava contactos telefónicos entre ele e Jorge Ritto. Os telefonemas reportavam-se a 2001, quando ambos haviam declarado só se terem conhecido em 2003, no início do processo. Esta prova obtida pela polícia - que veio a revelar- se fundamental para a condenação dos arguidos envolvidos - pode vir a ser considerada inválida e pôr em causa a condenação, devido à decisão do tribunal europeu. David Silva Ramalho, advogado, presente na conferência, disse ao DN que "a conservação de dados dos cidadãos enquadra-se nos fundamentos deduzidos pelo TJUE para a declaração de invalidade da diretiva e, como tal, impõe que os tribunais se abstenham de aplicar as normas correspondentes, ou, em caso de dúvida, devam suscitar a mesma questão junto das instâncias europeias". 3 Os dados, disponibilizados ao PÚBLICO, incluem — ao contrário do que fontes da PGDL haviam dito, sublinhando que os contactos acedidos eram meramente profissionais — números de telemóveis privados dos magistrados, os seus endereços de correio electrónico pessoal, as suas datas de nascimentos e a referência à situação de actividade, reforma ou licença. Em alguns casos, para além dos números locais de serviços, muitos procuradores estão identificados com mais do que um número pessoal. O PÚBLICO confirmou vários, ligando. A informação de que a vulnerabilidade do sistema permitiu a fuga destes dados pessoais está a preocupar os procuradores que criticam a fragilidade revelada pelo sistema. Alguns admitem que vão trocar de número e outros alertam para o perigo de virem a ser incomodados por pessoas com algum tipo de interesse. Nesse caso, para além do crime de fraude informática poderá estar em causa um crime de perturbação da vida privada que prevê uma pena de multa ou prisão até um ano. A Procuradoria-Geral da República (PGR) já comunicou ter aberto um inquérito-crime para apurar responsabilidades e autores e havido sido adiantado que a PJ estaria já a investigar. Porém, fonte da Judiciária garantiu ao PÚBLICO que ainda não recebeu qualquer pedido ou informação sobre este caso e que nem tão pouco foram realizadas diligências. Os piratas informáticas, que sexta-feira, atacaram o site da Procuradoria-Geral Distrital de Lisboa (PGDL) conseguiram acesso a dados pessoais de quase todos os procuradores portugueses. A operação "Apagão Nacional" foi reivindicada pelos Anonymous Portugal. Os hackers conseguiram ainda aceder às palavras-chave de dezenas de magistrados para aceder ao Sistema de Informação do Ministério Público (SIMP). O SIMP serve para comunicação interna no MP e envio de ofícios hierárquicos. Não tem informação directa sobre os processos judiciais, mas fonte do MP admitiu que em alguns ofícios pode constar informação indirecta sobre os mesmos. Esta segunda-feira, quer o site do SIMP quer o da PGDL continuam inactivos. A procuradoria preferiu desligar preventivamente os sites para fazer um rastreio da informação acedida e dos danos provocados. Deverá também reforçar o sistema ainda antes deste voltar a estar acessível durante esta semana. Aliás, na página do SIMP, foi sexta-feira colocada uma mensagem alusiva ao 25 de Abril. "Isto é o descontentamento pela vossa inércia e cooperação com os marginais que têm levado Portugal a uma pobreza maior que há 40 anos", lia-se num fundo preto. Conforme o PÚBLICO confirmou, quer a lista de contactos quer a lista de palavras-chave estão disponíveis em vários sites públicos. Questionada sobre o prejuízo provocado na segurança dos sistemas do MP, a Procuradoria-Geral da República preferiu não comentar. Também a procuradora-geral distrital de Lisboa, Francisca Van Dunem, esteve incontactável, mas já antes havia admitido que os sistemas em causa "são débeis". Sublinhou ainda que a segurança do sistema que gere os processos dos MP está garantida. "O sistema do site e o sistema de processos estão separados. Não há qualquer elo entre eles. Foi apenas a página de Internet", apontou. 1. Introdução 4 Cibercrime e Cibersegurança : súmula das previsões legais Lei do Cibercrime (Lei n.º 109/2009, de 15-09) Revogou a Lei de Criminalidade Informática (Lei n.º 109/91) • • • • • • Art.º 3.º - Falsidade informática Art.º 4.º - Dano relativo a programa ou outros dados informáticos Art.º 5.º - Sabotagem informática Art.º 6.º - Acesso ilegítimo Art.º 7.º - Intercepção ilegítima Art.º 8.º - Reprodução ilegítima de programa protegido Subsidiariedade de aplicação do Código Penal (art.º 28.º) Código Penal Crimes relacionados • • • • • • Burla informática e nas comunicações (art.º 221.º) Abuso de cartão de garantia ou de crédito (art.º 225.º) Difamação e injúria por via electrónica (art.º 180.º e 181.º) Violação de correspondência ou de telecomunicações (art.º 194.º) Pornografia de menores [cfr. al. b) e c), do n.º 1, do art.º 176.º] Discriminação racial, religiosa ou sexual (n.º 2, do art.º 240.º) Protecção de dados pessoais - art.º 30.º Lei 109/2009 Artigo 30.º Protecção de dados pessoais O tratamento de dados pessoais ao abrigo da presente lei efectua-se de acordo com o disposto na Lei n.º 67/98, de 26 de Outubro, sendo aplicável, em caso de violação, o disposto no respectivo capítulo VI. Lei n.º 41/2004, de 18-08 (Transp.Directiva 2002/58/CE) Artigo 1.º Objecto e âmbito de aplicação 2 — A presente lei aplica-se ao tratamento de dados pessoais no contexto das redes e serviços de comunicações electrónicas acessíveis ao público, especificando e complementando as disposições da Lei n.º 67/98, de 26 de Outubro (Lei da Protecção de Dados Pessoais). Lei n.º 67/98 Crimes previstos Código de Direitos de autor e direitos conexos Crimes relacionados • Usurpação; • Contrafacção. • Incumprimento de obrigações relativas a protecção de dados (art.º 43.º); • Acesso indevido (art.º 44.º); • Viciação ou destruição de dados pessoais (art.º 45.º); • Desobediência qualificada (art.º 46.º); • Violação do dever de sigilo (art.º 47.º) 1. Introdução Exemplificação 5 1. Introdução Exemplificação Actualmente, a falha de protecção de dados está suprida…. 6 1. Introdução Exemplificação Mas anteriormente… 7 1. Introdução 1.2. Riscos de violação de dados pessoais 1. Comércio electrónico 2. Redes sociais 3. Cloud computing Off site Data Storage (armazenamento virtual), com gestão remota simplificada, onde se podem guardar e sincronizar documentos diversos. Apesar da sua relevância, os documentos que sejam guardados em nuvem (cloud) não devem ter elementos pessoais e os mais sensíveis devem ser encriptados ou protegidos (v.g., password com múltiplos caracteres). Ex.: Skydrive (Microsoft), box.com, Dropbox, CloutPT, SugarSync, gDrive (google) etc.. 4. Desenvolvimento das plataformas web 1. O aumento exponencial das plataformas web (comunicações móveis, internet, data storage), incluindo a oferta de serviços gratuitos e a maior confiança nas soluções tecnológicas tem por contraponto uma menor atenção à segurança. (v.g., Em Fevereiro de 2013 a iCloud da Apple sofreu um ataque que poderia ter colocado em perigo os elementos pessoais, contactos, agendas, n.º de cartões de crédito e documentos pessoais de milhões de utilizadores de iPhone e iPad. 8 1. Introdução 1.2. Riscos de violação de dados pessoais 4. Desenvolvimento das plataformas web 1. O aumento exponencial das plataformas web (comunicações móveis, internet, data storage), incluindo a oferta de serviços gratuitos e a maior confiança nas soluções tecnológicas tem por contraponto uma menor atenção à segurança. (v.g., Em Fevereiro de 2013 a iCloud da Apple sofreu um ataque que poderia ter colocado em perigo os elementos pessoais, contactos, agendas, n.º de cartões de crédito e documentos pessoais de milhões de utilizadores de iPhone e iPad). 2. Esse aumento de serviços web com mais qualidade são igualmente acessíveis a utilizadores sem escrúpulos em violar a lei e os direitos fundamentais dos cidadãos: a) Phishing - fraude electrónica, utilizando ferramentas ou aplicações para adquirir dados pessoais de diversos tipos: senhas, dados financeiros como número de cartões de crédito e outros dados pessoais. O acto consiste em o agente se fazer passar por uma pessoa ou empresa confiável remetendo uma comunicação eletrónica que constitui um engodo para o fornecimento pelo próprio – a vítima – dos seus dados pessoais; b) Burla informática. Inclui «usurpação de identidade», pedidos / ofertas de empréstimos financeiros, etc. c) Pedofilia na Internet – uso da cloud para armazenamento de fotografias (assim se substituindo aos discos de computador), agravado com a funcionalidade de partilha de directórios com outros utilizadores que pela mesma via podem fazer upload de fotografias / documentos / dados diversos. d) Devassa da vida privada, com extorsão ou ameaças (cyberstalking, assédio), por se ter tido acesso a informação, documentação ou fotos da vida íntima ou privada. a) Espionagem empresarial ou comercial (patentes, segredos de negócio, etc.) 9 2. Âmbito dos dados pessoais 2.1. Direitos de personalidade 1. Direito à identidade pessoal O direito à identidade pessoal visa garantir aquilo que identifica cada pessoa como indivíduo, singular e irredutível. Este direito inclui o direito ao nome (art.º 72.º, do Código Civil) que consiste no direito a ter um nome, de não ser privado dele, de o defender e de impedir que outrem o utilize, sem prejuízo dos casos de homonímia. Assume especial relevância no âmbito da Internet pela possibilidade real do uso indevido por terceiros quer do nome pessoal (do cidadão individual) quer da firma ou marca (das pessoas colectivas), designadamente mediante a configuração das contas dos leitores de correio electrónico. 2. Direito ao bom nome e reputação Este direito consiste em não ser ofendido na honra, dignidade ou consideração social mediante imputação feita por outrem, bem como no direito a defender-se dessa ofensa e a obter a respectiva reparação, quer esta revista numa retractação pública do ofensor, quer numa indemnização por danos não patrimoniais. 1.2. Direito à imagem O direito à imagem é, em primeiro lugar, o direito ao resguardo, isto é, ao direito de privacidade. É proibida a exposição de fotos, imagens ou caricaturas de uma pessoa na Internet ou a circulação das mesmas em mensagens de e-mail, mailing lists transferência em P2P (peer to peer) e redes sociais sem o consentimento expresso do próprio. Trata-se do princípio fundamental do direito civil estatuído no art.º 79.º do Código Civil, segundo o qual “o retrato de uma pessoa não pode ser exposto, reproduzido ou lançado no comércio sem o consentimento dela” . Este direito assume uma particular relevância pela faculdade de gravação da foto nos discos rígidos com possibilidade posterior de criar montagens ou distorcê-la através de um programa de edição de imagem. Os nossos Tribunais já se pronunciaram sobre um pedido de indemnização por danos morais decorrentes da violação, pela exibição numa página da Internet de uma fotomontagem, utilizando uma fotografia com o rosto de uma pessoa e o corpo nu de uma outra mulher, afirmando tratar-se do verdadeiro corpo daquela. Ac. STJ, 21-11-2012 (Cons. Ferreira Girão), proc. 02B2966, dgsi.pt 1 0 2. Âmbito dos dados pessoais 2.2. Princípios fundamentais De acordo com a Recomendação da OCDE, de 23-09-1980, as linhas directrizes em sede de protecção de dados pessoais são as seguintes: 1) Princípio da limitação da recolha. Todos os dados de carácter pessoal devem ser obtidos de forma lícita e leal, devendo a pessoa sua titular ser informada e dar o seu prévio consentimento. 2) Princípio da qualidade dos dados: Os dados recolhidos devem ser pertinentes em relação às finalidades correspondentes à sua utilização, devendo ser exactos, completos e actualizados. 3) Princípio da especificação das finalidades. As finalidades para as quais os dados são recolhidos devem ser determinadas, no máximo, até ao momento da recolha, não podendo os dados recolhidos ser utilizados posteriormente para atingir outras finalidades incompatíveis. 4) Princípio da limitação da utilização. Os dados não devem ser divulgados, fornecidos ou utilizados para finalidades diferentes das especificadas no momento da recolha, salvo se for obtido o consentimento da pessoa a que respeitam. 5) ** Princípio das garantias de segurança **. Quem recolhe, gere e utiliza os dados deve dar garantias de segurança razoáveis contra riscos emergentes da perda ou do acesso (não autorizado), bem como a destruição, utilização, modificação ou divulgação não autorizadas. 6) Princípio da transparência. O titular dos dados deve poder aceder facilmente sobre a existência, natureza e utilização dos dados. 1 1 2. Âmbito dos dados pessoais 12 2.2. Princípios fundamentais 7) Princípio da participação individual. Toda e qualquer pessoa tem o direito de: - Obter do responsável do ficheiro a confirmação do facto de que este responsável detém ou não os dados que lhe dizem respeito; - Obter a comunicação dos dados de que é titular, dentro de um prazo razoável; - Contestar os dados que lhe digam respeito; - Requerer a sua alteração, rectificação ou eliminação. 8) Princípio da responsabilidade. Todos os responsáveis por ficheiros devem ser responsabilizados pelo cumprimento das medidas que permitem a concretização dos princípios supra enunciados. Num quadro de cibercriminalidade que conflitua com cibersegurança nenhum destes princípios é respeitado 2. Âmbito dos dados pessoais 13 2.3. Dados pessoais susceptíveis de tratamento informático 1. Conceito De acordo com o art.º 2.º, al. a) da Convenção n.º 108 do Conselho da Europa para a Protecção de Pessoas relativamente ao tratamento automatizado de dados de carácter pessoal, dado pessoal é “qualquer informação relativa a uma pessoa singular identificada ou susceptível de identificação”. São pessoais porque relativos à esfera não pública da vida, cfr. art.º 181.º do Código Penal, com excepção dos dados íntimos que estão interditos de tratamento informático. É proibido o tratamento de dados pessoais referentes a : a) Convicções filosóficas ou políticas; b) Filiação partidária ou sindical; c) Fé religiosa; d) Vida privada; e) Origem racial ou étnica; f) Saúde; g) Vida sexual, incluindo os dados genéticos. (art.º 7.º da Lei n.º 67/98). Excepção: Mediante disposição legal ou autorização da CNPD, pode ser permitido o tratamento dos dados referidos quando por motivos de interesse público importante esse tratamento for indispensável ao exercício das atribuições legais ou estatutárias do seu responsável, ou quando o titular dos dados tiver dado o seu consentimento expresso para esse tratamento. 2. Âmbito dos dados pessoais 2.3. Dados pessoais susceptíveis de tratamento informático 2. Admissibilidade de tratamento: a) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento; b) Ser efectuado, com o consentimento do titular, por fundação, associação ou organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros desse organismo ou às pessoas que com ele mantenham contactos periódicos ligados às suas finalidades , e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares; c) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações o consentimento para o tratamento dos mesmos; d) Ser necessário à declaração, exercício ou defesa de um direito em processo judicial e for efectuado exclusivamente com essa finalidade. e) O tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efectuado por um profissional de saúde obrigado a sigilo ou por outra pessoa sujeita igualmente a segredo profissional, seja notificado à CNPD, nos termos do artigo 27.º da Lei 67/98, de 26.10 e sejam garantidas medidas adequadas de segurança da informação. 14 2. Âmbito dos dados pessoais 2.3. Dados pessoais susceptíveis de tratamento informático 3. Dados relativos à prática de actividades ilícitas 3.1. A criação e manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, infracções penais, contra-ordenações e decisões que apliquem penas, medidas de segurança, coimas e sanções acessórias só pode ser mantida por serviços públicos com competência específica prevista na respectiva lei de organização e funcionamento, observando normas procedimentais e de protecção de dados previstas em diploma legal , com prévio parecer da CNPD (art.º 8.º da Lei n.º 67/98). 3.2. Quando esteja em causa apenas suspeitas dessas actividades ilícitas ou infracções penais ou contra-ordenacionais, a criação de uma base de dados e o tratamento desses dados pessoais apenas é possível quando: a) Seja expressamente autorizado pela CNPD; b) Sejam observadas as normas de protecção de dados e de segurança da informação; c) Tal tratamento seja necessário à execução de finalidades legítimas do seu responsável; d) E desde que não ponham em causa os direitos, liberdades e garantias do titular dos dados. 3.3. O tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário para a prevenção de um perigo concreto ou repressão de uma infracção determinada e ainda nos termos de acordo ou convenção internacional de que Portugal seja parte, quando esteja em causa uma investigação transfronteiriça (cfr. artº 8.º, n.º 3 da Lei n.º 67/98). 15 2. Âmbito dos dados pessoais 16 2.3. Dados pessoais susceptíveis de tratamento informático 4. Ficheiros de informação patrimonial 4.1. A Lei n.º 67/98 não regula de forma específica o tratamento de informação sobre a solvência patrimonial, do crédito ao consumo ou de empresas de informações e negócios relativamente à situação patrimonial de pessoas singulares ou colectivas. Existem empresas que se dedicam à prestação (paga) dessas informações, que em regra não são obtidas do próprio titular mas de terceiros com os quais o titular tenha relações jurídicas ou comerciais. Levantam-se assim as questões da legitimidade e condições em que os dados são recolhidos e particularmente da forma como são posteriormente tratados, designadamente se são actualizados com a situação real do titular dos dados e se mantêm o seu “histórico” de “mau pagador”, “sem crédito”, quais os seus bens e garantias que possa oferecer. CATARINA SARMENTO E CASTRO, Os Ficheiros de Crédito e a Protecção e Dados Pessoais, Boletim da Faculdade de Direito, Vol. LXXVIII, Coimbra, 2002, p. 475 ss. enuncia que “a criação de tratamento de dados relativos aos devedores numa relação creditícia tem uma inegável importância para a vida económica. (…) Enquanto instrumentos de prevenção, estes tratamentos reduzem o risco da concessão e aplicação de crédito, e permitem uma maior segurança e rapidez nas transacções subsequentes. Mas nem só o credor deles retira vantagem: tanto o consumidor, como as instituições de crédito, as sociedades financeiras e outras entidades relacionadas com operações de crédito, beneficiam da sua existência». 4.2. A informação sobre riscos de crédito encontra-se centralizada no Banco de Portugal, mas é legalmente admissível a criação de sistemas privados de informação recíproca, visando a garantia da segurança das operações. 4.3. Assiste aos titulares dos dados o “direito ao esquecimento” , nos termos do art.º 5.º, n.º 1, al. e) da Lei 67/98, ou seja “os dados respeitantes a um incidente de crédito só devem ser conservados enquanto este incidente se verificar”. A partir do momento em que o incidente seja regularizado, o responsável pelo tratamento dos dados está obrigado a eliminá-lo, sendo por conseguinte ilícita a manutenção de um «cadastro» de débitos posteriormente pagos. 4.4. Tem-se todavia considerado que o responsável pelo tratamento pode conservar esses dados pelo período de 10 anos desde a data do pagamento (fim da situação de débito), na decorrência do princípio geral da conservação escrituração comercial, previsto no art.º 40.º do Código Comercial, porém essa informação não pode ser acedida por terceiros, apenas sendo admissível o seu posterior tratamento para fins científicos, de estatística ou de auditoria, sob a prévia autorização para o efeito da Comissão Nacional de Protecção de Dados. O mesmo prazo foi estipulado pelo Banco de Portugal (Instrução n.º 16/2001), ao abrigo do Dec.-Lei n.º 29/96, de 11.04, findo o qual todas essas informações devem ser apagadas. No mesmo sentido cfr. Deliberação n.º 19/97, de 05.06.1997, da CNPD (www.cnpd.pt) – “I. O tempo de conservação dos dados deve ser definido e limitado à finalidade do ficheiro; II. Os dados respeitantes a um incidente de crédito só devem ser conservados enquanto este se verificar; III. Logo que tenha cessado o incidente as empresas participantes devem comunicar essa ocorrência à C... a qual, imediatamente, procede à eliminação do incidente («informação negativa»); IV. A C... poderá estabelecer mecanismos de auditoria tendentes à verificação das condições e circunstâncias que determinaram a alteração/eliminação nos registos; V. As empresas participantes nunca poderão ter acesso a qualquer informação sobre incidentes de crédito eliminados; VI. A C... não poderá conservar qualquer informação (sobre identificação de clientes - administrativa ou contabilística) para além de 10 anos sobre a cessação da relação contratual (cf. artº 40º do Código Comercial)”. 2. Âmbito dos dados pessoais 17 2.4. Dados pessoais vs dados de tráfego ou de localização Dados Pessoais «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social. (art.º 3.º, al. a), da Lei n.º 67/98, de 26-10) Dados de Tráfego «Dados de tráfego» quaisquer dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações electrónicas ou para efeitos da facturação da mesma. [art.º 2.º, n.º 1, al. d), da Lei n.º 41/2004, de 18-08] Dados de natureza informática Dados de Localização «Dados de localização» quaisquer dados tratados numa rede de comunicações electrónicas ou no âmbito de um serviço de comunicações electrónicas que indiquem a posição geográfica do equipamento terminal de um assinante ou de qualquer utilizador de um serviço de comunicações electrónicas acessível ao público [art.º 2.º, n.º 1, al. e), da Lei n.º 41/2004, de 18-08, alterado pela Lei 46/2012] Mas susceptível de violar dados pessoais «Violação de dados pessoais» uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações electrónicas acessíveis ao público [art.º 2.º, n.º 1, al. g), da Lei n.º 41/2004, de 18-08, alterado pela Lei 46/2012] 1 8 2. Âmbito dos dados pessoais 19 2.5. Regime dos dados de localização Lei n.º 41/2004, de 18 de Agosto Artigo 7.º Dados de localização 1 — Nos casos em que sejam processados dados de localização, para além dos dados de tráfego, relativos a assinantes ou utilizadores das redes públicas de comunicações ou de serviços de comunicações electrónicas acessíveis ao público, o tratamento destes dados é permitido apenas se os mesmos forem tornados anónimos. 2 — É permitido o registo, tratamento e transmissão de dados de localização às organizações com competência legal para receber chamadas de emergência para efeitos de resposta a essas chamadas. 3 — Do mesmo modo, o tratamento de dados de localização é permitido na medida e pelo tempo necessários para a prestação de serviços de valor acrescentado, desde que seja obtido consentimento prévio e expresso dos assinantes ou utilizadores (Redacção Lei 46/2012) 4 — As empresas que oferecem serviços de comunicações electrónicas acessíveis ao público devem, designadamente, informar os utilizadores ou assinantes, antes de obterem o seu consentimento, sobre o tipo de dados de localização que serão tratados, a duração e os fins do tratamento e a eventual transmissão dos dados a terceiros para efeitos de fornecimento de serviços de valor acrescentado. 5 — As empresas que oferecem serviços de comunicações electrónicas acessíveis ao público devem garantir aos assinantes e utilizadores a possibilidade de, através de um meio simples e gratuito: a) Retirar a qualquer momento o consentimento anteriormente concedido para o tratamento dos dados de localização referidos nos números anteriores; b) Recusar temporariamente o tratamento desses dados para cada ligação à rede ou para cada transmissão de uma comunicação. 6 — O tratamento dos dados de localização deve ser limitado aos trabalhadores e colaboradores das empresas que oferecem redes e ou serviços de comunicações electrónicas acessíveis ao público ou de terceiros que forneçam o serviço de valor acrescentado, devendo restringir-se ao necessário para efeitos da referida actividade. O que está em causa Cada vez que uma pessoa acede a um meio de suporte virtual existe um conjunto de informação pessoal inequivocamente agregado que objectiva o direito à reserva da intimidade da vida privada relacionado com a máquina que utiliza (pc) ao tipo de ligação à internet e ao hábitos de navegação na mesma que podem ser recolhidas. O que está em causa são o conteúdo e milhões de computadores interligados e os seus potenciais destinatários… O circuito Quando o utilizador liga a internet ao seu computador comunica com outros a fim de aceder a web específicos (www). Essa comunicação, é denominada de chatter e através dela são transmitidos dados referentes ao programa de navegação na internet usado pelo utilizador e outros dados referentes a software. Se fizermos o registo do computador, será o logging para atingirmos o computador que aloja a informação que o utilizador pretende consultar, servindo-se de um anfitrião. 2. Âmbito dos dados pessoais 20 2.6. Regime dos dados de tráfego Factores de evasão de dados pessoais O Ladom pode ser utilizado para registar preferências de consumo dos utilizadores de lojas electrónicas . O Amazon serve também para preferências de escolha personalizada e mesmo íntima em determinados websites. Os Cookies são permitidos pelo utilizadores, revelam padrões de utilização do PC e o acesso Internet, bem como os hábitos de navegação e o consumo de sítios de Internet. Clickstream significa fluxo de acessos e representa uma cadeia de hiperligações (hiperlinks) que se constrói a medida que navegamos de página em página dentro do website. É o resultado conseguido entre o chatter, loggins e cookies através de software específico. Os dados conseguidos pelos meios de comunicação através desses mecanismos, integram uma esfera média de protecção da vida privada. Lei n.º 41/2004, de 18 de Agosto (alterada pela Lei 46/2012, de 29-08): Artigo 1.º, n.º 2 - A presente lei aplica -se ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público em redes de comunicações públicas, nomeadamente nas redes públicas de comunicações que sirvam de suporte a dispositivos de recolha de dados e de identificação, especificando e complementando as disposições da Lei n.º 67/98, de 26 de outubro (Lei da Proteção de Dados Pessoais). Artigo 16.º (Legislação subsidiária) - Em tudo o que não esteja previsto na presente lei, são aplicáveis as disposições sancionatórias que constam dos artigos 33.º a 39.º da Lei da Protecção de Dados Pessoais. 2. Âmbito dos dados pessoais 21 2.7. Violação de dados pessoais no âmbito do tratamento dos dados de tráfego ou localização A Directiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de Novembro de 2009, transposta pela Lei n.º 46/2012, de 29-08, que alterou a Lei 41/2004, de 18-08, consignava que: «As medidas nacionais relativas ao acesso ou à utilização de serviços e aplicações através de redes de comunicações electrónicas pelos utilizadores finais devem respeitar os direitos fundamentais dos cidadãos, nomeadamente em relação à privacidade e ao direito a um processo equitativo previsto no artigo 6.º da Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais.». “No caso de violação de dados pessoais, o prestador dos serviços de comunicações electrónicas acessíveis ao público comunica, sem atraso injustificado, a violação à autoridade nacional competente. Caso a violação de dados pessoais possa afectar negativamente os dados pessoais e a privacidade do assinante ou de um indivíduo, o prestador notifica essa violação ao assinante ou ao indivíduo sem atraso injustificado.” (art.º 4.º n.º 3) Os Estados Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Directiva 95/46/CE, nomeadamente sobre os objectivos do processamento”, (art.º 5.º n.º 3 Lei n.º 41/2004, de 18 de Agosto: aditado art.º 3.º-A pela Lei 46/2012: Artigo 3.º -A Notificação de violação de dados pessoais 1 — As empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem, sem de violação de dados pessoais. 2 — Quando a violação de dados pessoais referida no número anterior possa afetar negativamente os dados pessoais do assinante ou utilizador, as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público devem ainda, sem demora injustificada, notificar a violação ao assinante ou ao utilizador, para que estes possam tomar as precauções necessárias. 3 — Uma violação de dados pessoais afeta negativamente os dados ou a privacidade do assinante ou utilizador sempre que possa resultar, designadamente, em usurpação ou fraude de identidade, danos físicos, humilhação significativa ou danos para a reputação, quando associados à prestação e utilização de serviços de comunicações eletrónicas acessíveis ao público. 4 — O regime previsto no n.º 2 não se aplica nos casos em que as empresas que oferecem serviços de comunicações eletrónicas acessíveis ao público comprovem perante a CNPD, e esta reconheça, que adotaram as medidas tecnológicas de proteção adequadas e que essas medidas foram aplicadas aos dados a que a violação diz respeito. 5 — As medidas a que se refere o número anterior devem tornar os dados incompreensíveis para todas as pessoas não autorizadas a aceder -lhes. 6 — Sem prejuízo da obrigação de notificação a que se refere o n.º 2, quando a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público não tiver ainda notificado a violação de dados pessoais ao assinante ou ao utilizador, a CNPD pode exigir a realização da mesma notificação, tendo em conta a probabilidade de efeitos adversos decorrentes da violação. 7 — Constituem elementos mínimos da notificação a que se refere o n.º 2 a identificação da natureza da violação dos dados pessoais e dos pontos de contato onde possam ser obtidas informações complementares, bem como a recomendação de medidas destinadas a limitar eventuais efeitos adversos da referida violação. 8 — Na notificação à CNPD prevista no n.º 1, a empresa que oferece serviços de comunicações eletrónicas acessíveis ao público deve, além dos elementos constantes do número anterior, indicar as consequências da violação de dados pessoais e as medidas por si propostas ou tomadas para fazer face à violação. 2. Âmbito dos dados pessoais 22 2.8. Tratamento de dados de tráfego e localização para fins de prevenção criminal Lei n.º 32/2008, de 17 de Julho, relativa conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações. Cfr. Art.º 1.º, n.º 1: «A presente lei regula a conservação e a transmissão dos dados de tráfego e de localização relativos a pessoas singulares e a pessoas colectivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado, para fins de investigação, detecção e repressão de crimes graves por parte das autoridades competentes (…)» ‘Crime grave’: crimes de terrorismo, criminalidade violenta, criminalidade altamente organizada, sequestro, rapto e tomada de reféns, crimes contra a identidade cultural e integridade pessoal, contra a segurança do Estado, falsificação de moeda ou títulos equiparados a moeda e crimes abrangidos por convenção sobre segurança da navegação aérea ou marítima.”, [art.º 2.º n.º 2 alínea g)]. «As entidades referidas no n.º 1 do artigo 4.º devem conservar os dados previstos no mesmo artigo pelo período de um ano a contar da data da conclusão da comunicação.», (art.º 6.º) Lei n.º 32/2008: Artigo 3.º Finalidade do tratamento 1 — A conservação e a transmissão dos dados têm por finalidade exclusiva a investigação, detecção e repressão de crimes graves por parte das autoridades competentes. 2 — A transmissão dos dados às autoridades competentes só pode ser ordenada ou autorizada por despacho fundamentado do juiz, nos termos do artigo 9.º 3 — Os ficheiros destinados à conservação de dados no âmbito da presente lei têm que, obrigatoriamente, estar separados de quaisquer outros ficheiros para outros fins. 4 — O titular dos dados não pode opor-se à respectiva conservação e transmissão. Sobre o procedimento, cfr. Artigo 9.º Transmissão de dados 1 - A transmissão dos dados referentes às categorias previstas no artigo 4.º só pode ser autorizada, por despacho fundamentado do juiz de instrução, se houver razões para crer que a diligência é indispensável para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito difícil de obter no âmbito da investigação, detecção e repressão de crimes graves. 2 - A autorização prevista no número anterior só pode ser requerida pelo Ministério Público ou pela autoridade de polícia criminal competente. 3 - Só pode ser autorizada a transmissão de dados relativos: a) Ao suspeito ou arguido; b) A pessoa que sirva de intermediário, relativamente à qual haja fundadas razões para crer que recebe ou transmite mensagens destinadas ou provenientes de suspeito ou arguido; ou c) A vítima de crime, mediante o respectivo consentimento, efectivo ou presumido 4 - A decisão judicial de transmitir os dados deve respeitar os princípios da adequação, necessidade e proporcionalidade, designadamente no que se refere à definição das categorias de dados a transmitir e das autoridades competentes com acesso aos dados e à protecção do segredo profissional, nos termos legalmente previstos (…) 2. Âmbito dos dados pessoais 23 2.9. Relevância no âmbito da Lei do Cibercrime (Lei 109/2009) “As disposições processuais previstas no presente capítulo não prejudicam o regime da Lei n.º 32/2008, de 17 de Julho”, (art.º 11.º n.º 2) Embora seja viável ordenar a preservação expedita de dados (art.º 12.º), a revelação expedita de dados de tráfego (art.º 13.º) bem como a apreensão de dados (art.º 16.º) e de registos de comunicações (art.º 17.º) e a interceção de comunicações (art.º 18.º) para tipos de crime mais amplos do que os crimes «graves» a que se refere a Lei 32/2008 Disposições em sede de produção de prova: - Preservação expedita de dados (Art.º 12.º); - Revelação expedita de dados de tráfego (Art.º 13.º); - Injunção para apresentação ou concessão do acesso a dados (Art.º 14.º); - Pesquisa de dados informáticos (Art.º 15.º); - Apreensão de dados informáticos (Art.º 16.º); - Apreensão de correio electrónico e registos de comunicações de natureza semelhante (Art.º 17.º - Intercepção de comunicações (Art.º 18.º); - Acções encobertas (art.º 19.º) Evitada a evolução para um Direito Penal do Risco (Risikostrafrecht), mediante a admissão de alguma compressão das liberdades fundamentais, a partir de preocupações securitárias (evitar acções de terrorismo). 3. Violação do tratamento de dados pessoais 24 3.1. Tipos instrumentais Não cumprimento de obrigações relativas a protecção de dados Desobediência qualificada (art.º 46.º Lei 67/98) Artigo 43.º Não cumprimento de obrigações relativas a protecção de dados 1 — É punido com prisão até um ano ou multa até 120 dias quem intencionalmente: a) Omitir a notificação ou o pedido de autorização a que se referem os artigos 27.º e 28.º; b) Fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais ou neste proceder a modificações não consentidas pelo instrumento de legalização; c) Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade determinante da recolha ou com o instrumento de legalização; d) Promover ou efectuar uma interconexão ilegal de dados pessoais; e) Depois de ultrapassado o prazo que lhes tiver sido fixado pela CNPD para cumprimento das obrigações previstas na presente lei ou em outra legislação de protecção de dados, as não cumprir; f) Depois de notificado pela CNPD para o não fazer, mantiver o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados pessoais que não cumpram as disposições da presente lei. 2 — A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 7.º e 8.º Artigo 46.º Desobediência qualificada 1 — Quem, depois de notificado para o efeito, não interromper, cessar ou bloquear o tratamento de dados pessoais é punido com a pena correspondente ao crime de desobediência qualificada. 2 — Na mesma pena incorre quem, depois de notificado: a) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida nos termos do artigo 24.º; b) Não proceder ao apagamento, destruição total ou parcial de dados pessoais; c) Não proceder à destruição de dados pessoais, findo o prazo de conservação previsto no artigo 5.º Violação do dever de sigilo (art.º 47.º) Artigo 47.º Violação do dever de sigilo 1 — Quem, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com prisão até dois anos ou multa até 240 dias. 2 — A pena é agravada de metade dos seus limites se o agente: a) For funcionário público ou equiparado, nos termos da lei penal; b) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo; c) Puser em perigo a reputação, a honra e consideração ou a intimidade da vida privada de outrem. 3 — A negligência é punível com prisão até seis meses ou multa até 120 dias. 4 — Fora dos casos previstos no n.º 2, o procedimento criminal depende de queixa. 3. Violação do tratamento de dados pessoais 3.2. Tipos de execução Acesso indevido Artigo 44.º Acesso indevido 1 — Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado é punido com prisão até um ano ou multa até 120 dias. 2 — A pena é agravada para o dobro dos seus limites quando o acesso: a) For conseguido através de violação de regras técnicas de segurança; b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais; c) Tiver proporcionado ao agente ou a terceiros benefício ou vantagem patrimonial. 3 — No caso do n.º 1 o procedimento criminal depende de queixa. Viciação ou destruição de dados pessoais Artigo 45.º Viciação ou destruição de dados pessoais 1 — Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, é punido com prisão até dois anos ou multa até 240 dias. 2 — A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave. 3 — Se o agente actuar com negligência, a pena é, em ambos os casos, de prisão até um ano ou multa até 120 dias 25 Grato pela atenção dispensada JOEL TIMÓTEO RAMOS PEREIRA Juiz Secretário do Conselho Superior da Magistratura Juiz de Direito de Círculo | Mestre em Direito CONTACTO [email protected]