Faculdade de Direito da Universidade Nova de Lisboa 2012/2013 Andreia de Brito, n.º3219 Filipa Tenazinha, n.º3223 Patrícia Pereira, n.º3220 É a Autoridade Nacional de Controlo de Dados Pessoais; Funciona junto da Assembleia da República; É uma entidade administrativa independente e com poderes de autoridade; Atribuição genérica: controlar e fiscalizar o tratamento de dados pessoais efetuado por entidades públicas ou privadas em todo o território nacional, em conformidade com os quadros normativos vigentes, cooperando ainda com as autoridades de controlo de proteção de dados de outros Estados, nomeadamente na defesa e no exercício dos direitos de pessoas residentes no estrangeiro. Compete à CNPD emitir parecer sobre disposições legais ex ante, que integrem iniciativas legislativas nacionais, comunitárias ou internacionais, e que de algum modo convoquem matérias relativas à proteção de dados; Realiza um juízo de ponderação de valores entre a proteção dos dados pessoais e os interesses diversos na utilização desses dados, por vezes não alheios aos interesses dos próprios titulares. o o • • Deliberação nº 890/2010 Aplicável aos tratamentos de dados pessoais com finalidades de medicina preventivas e curativa no âmbito dos controlos de substâncias psicoativas efetuados a trabalhadores. Os princípios orientadores apresentados pela CNPD ao nível da intervenção em meio laboral sobre a matéria de consumo de substâncias psicoativas deve assentar em: Promover a prevenção e o tratamento com programas de informação, formação e qualificação sobre as substâncias psicoativas integrados em programas de saúde mais amplos; Garantir a confidencialidade de toda a informação em todos os pontos do processo de deteção, tratamento e reabilitação; • Inexistência de qualquer forma de discriminação, por parte dos empregadores, dos trabalhadores que se querem sujeitar a tratamentos, sendo-lhes garantidos o posto de trabalho e as mesmas oportunidades de promoção, considerando-se, enquanto durar o tratamento, a sua eventual transferência para funções que não constituam risco para a segurança do próprio ou de terceiros, sem perda de direitos ou outras regalias; • Absoluta aceitação voluntária por parte do trabalhador não se lhe podendo impor qualquer tratamento contra vontade; • Consideração de que o problema de consumo de substâncias psicoativas deve ser entendido como uma questão de saúde e tratado como tal no que respeita a todos os aspetos nomeadamente incapacidade temporária, subsídio de doença e outros benefícios sociais; • Procedimentos integrados exclusivamente no âmbito da medicina do trabalho não devendo existir em qualquer outro contexto; • Procedimentos estatuídos em regulamento onde constem: as substâncias alvo da deteção, as categorias profissionais que se justifica serem alvo dos testes, as circunstâncias da aplicação dos testes, os profissionais envolvidos sendo sempre obrigados a sigilo e submetidos à responsabilidade do médico de trabalho, a frequência dos testes, a homologação dos aparelhos de testes, a oportunidade da contraprova e sua gratuitidade, os procedimentos a adotar em caso de teste positivo, a comunicação à entidade patronal unicamente por ficha de aptidão com a menção de apto, a sujeição a processo disciplinar face a uma prestação laboral considerada fraca e inaceitável independentemente do consumo; • Reconhecimento de que os testes se destinam exclusivamente verificar a aptidão do trabalhador para o desempenho das suas funções e só podem ser efetuados no estrito cumprimento da lei (Código de Trabalho e Lei 102/2009, de 10 de Setembro); • Reconhecimento de que o teste de despistagem de consumos de substâncias psicoativas põe em causa direitos, liberdades e garantias consagradas nos artigos 25º e 26º da Constituição da República Portuguesa, nomeadamente o direito à integridade pessoal e à reserva da intimidade da vida privada; • Condenação da criação de sanções à margem da lei como seja considerar justa causa de despedimento o mero consumo de substâncias psicoativas em si. o o Deliberação nº 72/2006 Acesso a dados pessoais de saúde, cujos titulares hajam já falecido, por companhias de seguros e familiares. CNPD emitiu deliberação n.º 51/2001, onde concluiu que os Hospitais e instituições de saúde apenas podem comunicar esses dados em vida quando haja consentimento do titular. Quanto às seguradoras, não teriam direito de acesso. Os familiares apenas gozavam de um direito à curiosidade (autópsia e causa da morte). Ressalva: situações de responsabilidade civil. o Após 5 anos, pelo número de pedidos de acesso a estes dados, a CNPD reavaliou a questão. o Conclusões Direito fundamental vs. Interesse constitucionalmente protegido; Ausência de base legal que permita acesso pelas seguradoras e familiares; o o Consentimento expresso, inequívoco e especificado enquanto requisito; o Mesmo quando haja consentimento, apenas abrange as matérias relativas à origem, causas e evolução da doença. o o Em suma, a CNPD manteve a sua posição, tão restritiva quanto possível, do acesso a estes dados por seguradoras e familiares para efeitos de pagamento/recebimento de indemnizações por morte. Deliberação nº 629/2010 Aplicável ao tratamento de dados de gravação de chamadas. o Relação contratual, o Situações de emergência, e o Monotorização da qualidade do atendimento. Entende-se por comunicações eletrónicas “qualquer informação trocada ou enviada entre um número finito de partes mediante a utilização de um serviço de comunicações eletrónicas acessível ao público”, segundo o art. 2º, número 1, alínea a) da referida lei. O art. 4º consagra o princípio geral do sigilo das comunicações : “as empresas que oferecem redes e/ou serviços de comunicações eletrónicas devem garantir a inviolabilidade das comunicações e respetivos dados de tráfego realizadas através de redes públicas de comunicações e de serviços de comunicações eletrónicas acessíveis ao público.” Diz-nos ainda o nº 2 do artigo 4º que “é proibida a escuta, a instalação de dispositivos de escuta, o armazenamento ou outros meios de interceção ou vigilância de comunicações e dos respetivos dados de tráfego por terceiros sem o consentimento prévio e expresso dos utilizadores, com exceção dos casos previstos na lei.” o Exceções: • Quando exista consentimento prévio e expresso dos utilizadores (artigo 4º, número 2); • Quando se encontrem preenchidos os requisitos cumulativos do artigo 4º, número 3: - sejam realizadas no âmbito de práticas comerciais lícitas, para efeito de prova de uma transação comercial, - feitas no âmbito de uma relação contratual, - o titular dos dados tenha sido disso informado, e - e tenha dado o seu consentimento; • Quando as gravações de comunicações de e para serviços públicos são destinadas a prover situações de emergência (artigo 4º, número 4). o • o • Notificação dos tratamentos: As gravações de chamadas constituem tratamento de dados pessoais e, por isso, devem estes tratamentos ser notificados previamente à CNPD por força do artigo 27º e 28º da LPD. Princípios gerais e Direitos do titular dos dados O princípio da finalidade - artigo 5º, número 1, alínea b) da LPD. • Princípios da transparência, do estrito respeito de reserva da vida privada e da conformação com os direitos e liberdades individuais, tal como se encontram enunciados no artigo 2º da LPD. • Princípio da boa fé, previsto no artigo 5º, número 1, alínea a) da LPD. Direito de informação: • Este é um direito essencial no regime da proteção de dados. O responsável pelo tratamento tem que informar o titular dos dados, conforme é referido no artigo 10º da LPD. o Direito de acesso, retificação e eliminação • O direito de acesso aos seus dados pessoais, por parte do titular, assim como o direito de os retificar, são direitos fundamentais que constam do artigo 35º da CRP. o o Quanto às condições de legitimidade: Relativamente a clientes: o Tratamento de dados pessoais decorrentes da gravação de chamadas efetuadas no âmbito de uma relação contratual: • São permitidas as gravações de chamadas desde que estejam reunidos cumulativamente os seguintes requisitos: - tenha sido cumprido o dever de informação relativamente ao titular dos dados, e - tenha sido dado por este consentimento prévio, expresso e inequívoco. • • Tratamento de dados pessoais decorrentes da gravação de chamadas no âmbito de uma situação de emergência: • O fundamento de legitimidade decorre da própria lei- art4º/4 da Lei nº 41/2004. o Tratamento de dados pessoais decorrentes da gravação de chamadas efetuadas no âmbito da monitorização da qualidade do atendimento: • O consentimento constitui condição legal de legitimidade para este tratamento, conforme refere o artigo 7º, número 2 da LPD. o o Relativamente a trabalhadores: o Tratamento de dados pessoais decorrentes da gravação de chamadas efetuadas no âmbito de uma relação contratual: • Impõe-se verificar se a medida a introduzir é ou não ofensiva dos direitos e garantias dos trabalhadores, e se se insere no amplo exercício do poder organizativo do empregador. o Tratamento de dados pessoais decorrentes da gravação de chamadas efetuadas no âmbito da monitorização da qualidade do atendimento: • O Código do Trabalho e o Regime do Contrato de Trabalho em Funções Públicas contêm uma proibição genérica que recai sobre a utilização dos meios de vigilância à distância no local de trabalho com a finalidade de controlar o desempenho profissional do trabalhador – artigo 20º, número 1 do Código do Trabalho e artigo 11º, número 1 do Regime do Contrato de Trabalho em Funções Públicas. o Nesta deliberação, a CNPD estabelece requisitos a que a adoção de um mecanismo de monitorização da qualidade do serviço que contemple a utilização de instrumento de gravação de chamadas deverá estar adstrito: • As gravações de chamadas deverão ser recolhidas de forma aleatória, não incidindo sobre o mesmo trabalhador de forma sistemática, Apenas deverão ser objeto deste sistema uma percentagem do volume total de chamadas efetuadas que não ultrapasse os 5%, Seja cumprido o direito de informação, Seja obtido o consentimento expresso e inequívoco de todos os intervenientes, e Não sejam recolhidos dados utilizados para efeito de avaliação do desempenho do trabalhador. • • • • o Comunicação dos dados o Interconexão de dados o Transferência de dados para fora da UE o • Prazo de conservação O tempo de conservação dos dados deve ser definido de acordo com a finalidade do tratamento em questão. • Desta forma, o artigo 5º, número 1, alínea e), dispõe que os dados pessoais “devem ser conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento”. • A CNPD, de acordo com o artigo 23º, alínea f) da LPD tem competência para fixar o prazo de conservação dos dados. Tratamento de dados pessoais decorrentes da gravação de chamadas efetuadas no âmbito de uma relação contratual: o 90 dias Tratamento de dados pessoais decorrentes da gravação de chamadas efetuadas no âmbito de uma situação de emergência: o 90 dias Tratamento de dados pessoais decorrentes da gravação de chamadas efetuadas no âmbito da monitorização da qualidade do atendimento o 30 dias o Parecer n.º 36/2004 Anteprojeto de diploma e respetivos anexos relativo à criação da Base de Dados da Adoção. o Ministério da Segurança Social, da Família e da Criança (MSSFC) solicitou parecer à CNPD em 2004. o Em 2005, e no seguimento dos ajustes sugeridos pela CNPD, foi autorizada a constituição da Base de Dados (autorização n.º 679/2005), embora com o voto de vencido de Ana Luísa Geraldes. o No art. 11º-B do Decreto-Lei nº 185/93, de 22 de Maio (aditado pelo art. 7º da Lei n.º 31/2003, de 22 Agosto), estava já prevista a criação da BDA. o Até à criação da BDA: tratamento fragmentado dos dados, por Distritos. Fenómeno social de migração em função dos locais com tempo de espera mais reduzido. o Finalidade da BDA: agilizar os processos e aumentar as possibilidades de adoção. o BDA, conforme idealizada pelo MSSFC, iria conter dados de natureza sensível, entre os quais a raça e etnia -> Princípio de proibição de tratamento (art. 35º/3 CRP, com exceções –> LPD art. 7º dispõe que é possível proceder ao tratamento destes dados mediante disposição legal, consentimento expresso ou autorização da CNPD. o CNPD pronunciou-se sobre a forma do ato legislativo. • Lei da Assembleia da República ou Decreto-Lei autorizado, pois é uma matéria da reserva de competências da A.R. (Art. 165º/1 al. b) e art. 35º. Jurisprudência do Tribunal Constitucional, que entendeu que a matéria referente aos direitos, liberdades e garantias seria da competência relativa da A.R.). CNPD alerta para uma possível inconstitucionalidade orgânica do Anteprojeto. o Quanto à matéria, CNPD apontou incongruências e incompletudes. • Exemplo 1 - O responsável pelo tratamento teria competência para decidir de reclamações sobre o exercício de direitos dos titulares, o que se encontra em contravenção com o disposto nos art. 22º e 23º al. g) da LPD, que atribui esta competência à CNPD, razão pela qual esta entidade sugeriu a eliminação do artigo 7º/3). • • Exemplo 2 - Art. 10º do Anteprojeto previa que a comunicação de dados da BDA apenas poderia ser feita nos termos daquele diploma, o que contraria o art. 35º/3 da CRP e os art. 6º e 7º da LPD (permite-se a comunicação por força de previsão legal, entre outras, como sucede por exemplo com os artigos 519º e 519º A do Código de Processo Civil). o Instituto de Informática e Estatística da Segurança Social (IIESS) enviou pedido de autorização à CNPD para o tratamento destes dados; o CNPD emitiu um projeto de decisão não favorável a que constassem dessa base dados relativos à etnia e raça; o O IIESS vem reiterar o pedido de constituição da BDA com a inclusão desses dados, porque embora não sejam essenciais para o cumprimento da finalidade, existem motivos de interesse público que o justificam e existem garantias de não discriminação. o CNPD equipara o tratamento destes dados aos dados de saúde -> fundamento legal suficiente (art. 1973º/2 do Código Civil e na Convenção Relativa à Proteção das Crianças e à Cooperação em Matéria de Adoção Internacional de 1993, no seu art. 16º, em vigor em Portugal a partir de 1 de Julho de 2004). o Quanto à raça e etnia, entende a CNPD que o art. 11º-B do Decreto-Lei n.º 185/93 não é disposição legal suficiente, nos termos que exige a Convenção, no seu art. 16º/1 al. b). o Esta disposição não é também suficiente nos termos em que exige o art. 7º/2 da LPD. Porquê? CNPD pode autorizar o tratamento, mas apenas a título excecional. CNPD defendeu no Parecer que esta é uma competência da AR, à qual não se deve substituir; A dispensabilidade do tratamento destes dados leva a que a CNPD conclua pelo não preenchimento do 7º/2; Garantias de não discriminação estão verificadas: acesso só por pessoas credenciadas; exigência de password. • • • o Voto de vencido de Ana Geraldes. o Conclusão: BDA autorizada nos moldes em que a CNPD a conformou. Parecer nº10/2013 o Projeto de Decreto-Lei que estabelece as medidas específicas de apoio à preparação internacional das seleções ou outras representações internacionais. o O projeto contém alguns artigos que apontam para a realização de operações de tratamento dos dados das pessoas individuais acima indicadas mas não inclui quaisquer disposições que consagram um regime específico de proteção de dados pessoais aplicáveis a esses tratamentos. o Concluiu a CNPD: • Não regula especificamente a aplicação dos princípios da finalidade e da proporcionalidade à recolha, processamento, registo, conservação e comunicação de dados pessoais; • Não disciplina o exercício dos direitos dos titulares aos dados à informação, acesso e retificação dos seus dados pessoais e o cumprimento das obrigações dos responsáveis pelo tratamento desses dados, nomeadamente, quanto à garantia da qualidade dos dados, prazos de conservação e medidas de segurança da informação. • Remissão explícita, quanto a todos estes aspetos, para a disciplina que consta atualmente da Lei nº 67/98, de 26 de Outubro.