2012/2013
Políticas de segurança e protecção
de dados pessoais na União
Europeia
A sociedade da informação e
os dados pessoais
• A protecção dos dados pessoais constitui hoje uma
questão-chave na “sociedade da informação” ou
“sociedade em rede”
 Aumento exponencial da quantidade e da diversidade dos dados
coligidos, processados e comunicados pelas empresas,
administrações públicas, polícias e serviços de segurança.
 Internet e expansão das redes sociais com exposição pública de
informação pessoal.
Os riscos para a defesa de direitos humanos
fundamentais: a reserva da vida privada; a protecção de
dados pessoais; as liberdades …
1
A questão em análise
• As preocupações em matéria de direitos fundamentais
acentuam-se perante a aparente inadequação do quadro
legal europeu no que respeita à utilização de dados
pessoais no domínio das políticas de segurança e de
combate ao crime.
– Assiste-se ao reforço das políticas de segurança na Europa (e
no mundo): expansão dos sistemas de informação e bases de
dados pessoais; métodos sofisticados de pesquisa e tratamento
de dados (‘data mining’; ‘individual risk assessment’).
– Como está a ser realizado o “balancing” dos valores e
interesses em conflito?
– Que efeitos poderá/deverá ter a consagração do direito
fundamental à protecção de dados pela Carta dos Direitos
Fundamentais? As propostas da CE de Janeiro de 2012.
2
Os interesses e valores em conflito
• Das organizações públicas e privadas numa maior
eficiência das suas actividades e serviços por meio
do tratamento electrónico de dados, tão livre
quanto possível.
• Dos indivíduos na protecção dos dados que lhes
dizem respeito, da reserva da intimidade da sua
vida privada e de um modo geral das suas
liberdades.
3
A protecção de dados pessoais
na UE: uma protecção adequada?
Principais instrumentos
• Directiva 95/46/EC relativa à protecção dos indivíduos
no que respeita ao tratamento de dados pessoais e à
livre circulação desses dados (DPD).
– Fundamento: o direito do Mercado Interno
– Artigo 3: tratamento de dados no domínio da política externa
e de segurança comum e da cooperação policial e judiciária,
segurança pública, defesa e direito criminal foram excluídos
do âmbito de aplicação da DPD.
• Decisão-quadro do Conselho 2008/977/JAI sobre a
protecção de dados pessoais processados no quadro
da cooperação policial e judiciária.
• Fundamento: o Espaço de Liberdade, Segurança
e Justiça.
4
Os princípios de protecção de dados
(DPD)
•
•
•
•
•
Limitação do fim
Consentimento
Minimização e proporcionalidade
Controlo
Direitos do titular dos dados: acesso,
rectificação; oposição
• Transferência para países terceiros
5
“in practice, the Directive has by now
become the international data protection
metric against which data protection
adequacy is measured.” (De Hert and
Papakonstantinou, 2012).
6
Políticas de segurança
na UE
 A instituição do Espaço de Liberdade,
Segurança e Justiça pelo Tratado de
Amesterdão (1997): reforço da segurança
externa quando se reduz o controlo da
segurança interna.
 Os sistemas de informação
 SIS I (1990); SIS II (2013) - base de dados das polícias
nacionais e das autoridades alfandegárias
 Eurodac - impressões digitais de requerentes de asilo
(2000)
 VIS - Visa Information System (2008)
7
8
O reforço das
políticas de
segurança na
Europa
Os ataques
terroristas de
Nova Iorque, 11/9
Madrid, 11/3
Londres, 7/7
1. Regulamento do Conselho (CE)
n.º 2252/2004 sobre o
‘passaporte electrónico’
contendo dados biométricos.
2. Acordos com os EUA para a
transferência de dados de
passageiros aéreos (PNR).
3. Directiva 2006/24/CE – retenção
de dados de telecomunicações.
E no plano nacional …
Governo cede dados dos BI portugueses aos Estados
Unidos por LUÍS FONTES Diário de Notícias 02 Janeiro 2011
Em nome da luta contra o terrorismo, os EUA querem
aceder aos elementos do Arquivo de Identificação
Os Estados Unidos (EUA) querem ter acesso a bases de dados biométricas e
biográficas dos portugueses que constam no Arquivo de Identificação Civil e
Criminal. O FBI, com a justificação da luta contra o terrorismo, quer também
aceder à ainda limitada base de dados de ADN de Portugal. O acordo com o
Governo português está feito e só falta ser ratificado na Assembleia da
República. No entanto, este mês vai sair um parecer da Comissão Nacional de
Protecção de Dados (CNPD) que alerta para os problemas que constam no
texto do acordo bilateral.
9
Que protecção dos dados pessoais?
Um enquadramento legal insuficiente…
 “Decision 2008/977/JHA contains too wide an exception on
the purpose limitation principle. … this and other
weaknesses may directly affect the possibilities for
individuals to exercise their rights… .” (EC, 2010)
 “… The Commission has no powers to enforce its rules, as it
is a Framework Decision, and this has contributed to
uneven implementation. In addition, the scope of the
Framework decision is limited to cross-border processing.”
(EC, 2010)
 São várias as excepções aos princípios de protecção de dados (e.g.
limitação do fim; consentimento; cf. Artigo 3.º) e aos direitos dos
titulares dos dados (e.g. acesso; informação).
 É deixada larga margem de discricionariedade às autoridades
competentes na interpretação e aplicação destes princípios e
excepções.
10
Decisão 2008/977/JAI – Artigo 3.º
1.
Os dados pessoais podem ser recolhidos pelas autoridades
competentes apenas para finalidades especificadas,
explícitas e legítimas, no âmbito das suas funções, e podem
ser tratados exclusivamente para a finalidade para que
foram recolhidos. …
2. O tratamento posterior para outras finalidades é
admissível desde que:
a) Não seja incompatível com a finalidade determinante da
recolha dos dados;
b) As autoridades competentes estejam autorizadas a tratar
esses dados em conformidade com as disposições legislativas que
lhes são aplicáveis; e
c) O tratamento seja necessário e proporcionado para a
prossecução dessa finalidade.
11
Mais acesso, mais informação
A acção vigorosa da Comissão
Europeia visando promover o
amplo acesso das polícias e dos
serviços de segurança aos
sistemas de informação (v.g. SIS,
VIS e Eurodac).
O princípio da
disponibilidade
da
informação(av
ailability of
information)
• “Security in the EU depends on effective
mechanisms for exchanging information
between national authorities and other
European players.” (CE, 2009)
• “effectiveness, enhanced interoperability
and synergies among European
databases in the area of JHA.” (CE, 2005)
• “In relation to the objective of
combating terrorism and crime, the
Council now identifies the absence of
access by internal security authorities to
VIS data as a shortcoming. The same
could also be said for SIS II immigration
and Eurodac data” (CE, 2005).
12
O discurso político europeu sobre a segurança
e os direitos: um discurso “conciliatório”
• Uma ‘win-win situation’, não um conflito
de valores ou de direitos.
– “a liberdade e a segurança andam de mãos dadas”
(António Vitorino, ex-comissário europeu
responsável pelo Espaço de LSJ).
– “security in Europe is a precondition of prosperity
and freedom.” (EC, 2006)
– “[information technologies] can serve to protect and
amplify the fundamental rights of the individual.”
(EC, 2010)
13
Mas … o ‘European Data Protection
Supervisor’ vê nestas medidas…
• uma tendência mais geral para atribuir às autoridades
policiais e judiciárias acesso aos vários sistemas de
informação e de identificação;
• mais um passo na tendência para facilitar o acesso
pelas autoridades a dados de indivíduos insuspeitos da
prática de qualquer crime, assim como …
• … a dados recolhidos para fins não relacionados com o
combate ao crime (v.g. PNR; pedidos de asilo, …).
(EDPS, 2010)
14
Críticas da doutrina
• “The fundamental right to data protection is
continuously eroded or downright overridden by
alleging the prevailing interests of security and
market logic.”
• “… no real debate or analysis of the necessity or
proportionality of measures taken for fighting
terrorism and no real evaluation of the balancing
vis-à-vis fundamental rights.”
(Rodotà, 2006)
15
E a Carta?
Que consequências possíveis?
1. Todas as pessoas têm direito à protecção dos dados de
carácter pessoal que lhes digam respeito.
2. Esses dados devem ser objecto de um tratamento leal, para
fins específicos e com o consentimento da pessoa interessada
ou com outro fundamento legítimo previsto por lei. Todas as
pessoas têm o direito de aceder aos dados …
3. O cumprimento destas regras fica sujeito a fiscalização por
parte de uma autoridade independente.
Artigo 8.º, Carta dos Direitos Fundamentais
16
A estratégia europeia
no domínio dos direitos humanos
• ‘Strategy for the effective implementation of
the Charter of Fundamental Rights’ (COM (2010)
573 final):
– “The Charter’s new status as a binding normative
document will boost up the Union’s work in this
field.”
– “The Charter is not a text setting out abstract
values, it is an instrument to enable people to enjoy
the rights enshrined within it when they are in a
situation governed by Union law.”
17
A proposta de regulamento da CE
(25 Janeiro 2012)
“A definite cause for
celebration for human
rights.” (De Hert and
Papakonstantinou, 2012)
 Maior harmonização dos
regimes entre os EstadosMembros.
 Reforço dos mecanismos
de supervisão e controlo
institucional.
 Reforço das obrigações de
controladores e
processadores de dados.
18
A proposta de directiva da CE
(25 Janeiro 2012)
 Dois instrumentos, um
regulamento e uma directiva,
em lugar de apenas um
instrumento geral.
 Uma linguagem permissiva (“as
far as possible”, “all reasonable
steps”).
 Limitações ao direito de
acesso.
 Ausência de um princípio de
transparência.
“A single instrument would give
more guarantees to citizens, render
the task of police authorities easier,
as well as enabling data protection
authorities the same extensive and
harmonised powers vis-à-vis police
and judicial authorities …” (EDPS,
2011)
•
“... impõe-se que as regras para a
transferência internacional de
pessoais sejam bem definidas, as
condições bem delimitadas e as
salvaguardas acauteladas. Tal não
acontece, de maneira nenhuma, no
texto desta Proposta de Directiva ...”
(CNPD, 2012).
19
Conclusões
 Assiste-se a um movimento deliberado da UE de
encorajamento à utilização de dados pessoais para fins
de segurança em detrimento da protecção de dados
pessoais.
• As instituições europeias têm adoptado uma retórica
conciliatória que apresenta, regularmente, a segurança e
os direitos fundamentais como duas faces de uma
mesma moeda.
• No entanto, esta retórica conciliatória é inconsistente
com políticas e medidas adoptadas, reconhecidamente
lesivas desses direitos, designadamente, dos princípios
de protecção dos dados pessoais.
20
Conclusões
• Defender o direito fundamental à protecção de dados
não significa que este deva prevalecer absolutamente
sobre outros valores fundamentais numa sociedade
democrática.
• Mas a consagração deste direito deve ter
consequências na natureza e no âmbito da protecção
a conceder, de forma a garantir:
① a aplicação, em todos os casos, dos princípios da
protecção de dados;
② que os direitos dos titulares possam ser efectivamente
exercidos;
③ que as limitações ao direito fundamental sejam
excepcionais e devidamente justificadas.
21