1 Do direito à reserva da intimidade da vida privada aos regimes de protecção de dados pessoais Noções coincidentes ou complementares? •O “right to privacy”: reserva de uma esfera privada e íntima, pessoal e de segredo, protegida de interferência externa; um direito absoluto ou relativo? •A protecção legal de dados pessoais informatizados: conjunto de princípios, direitos e garantias institucionais que regulam o registo, o tratamento e a comunicação de informação relativa a pessoas individuais. 2 A protecção jurídica de dados pessoais No direito internacional e europeu No direito português • A Convenção do Conselho da Europa para a Protecção dos Indivíduos face ao Tratamento Automático de Dados Pessoais- Convenção 108 (1981) • As Directrizes da OCDE sobre a Protecção da Vida Privada e os Fluxos Transfronteiras de Dados Pessoais (1981) • A directiva europeia sobre protecção de dados pessoais e livre circulação da informação (1995) •A Constituição da República Portuguesa (art. 35º) •A Lei nº 10/91, de 29 de Abril •A Lei nº 67/98, de 25 de Outubro 3 A protecção jurídica de dados pessoais: desenvolvimentos recentes •A decisão-quadro 2008/977/JAI do Conselho, de 27 de Novembro de 2008, relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal. •A proposta de regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados), 25.1.2012 •A proposta de directiva sobre o tratamento de dados pessoais no âmbito da actividade policial e judiciária, 25.1.2012 4 A Convenção 108 do Conselho da Europa (CCE) • “O objectivo desta Convenção é garantir, no território de cada uma das • Fundamento: o art. 8º da partes e para cada Convenção Europeia dos indivíduo o respeito dos Direitos do Homem seus direitos e liberdades (reserva da intimidade da fundamentais, vida privada) particularmente do direito à intimidade da vida privada” (art. 1º) 5 A protecção de dados pessoais: quadro geral • O conceito de “dados pessoais” • O regime dos dados sensíveis • Os princípios de tratamento de dados (garantias funcionais) • As garantias institucionais (comissões de protecção de dados) • Os direitos individuais • Os fluxos transfronteiras de dados 6 Artigo 5º (CCE): princípio da qualidade dos dados • Os dados de carácter pessoal que sejam objecto de um tratamento automatizado devem ser: • a) Obtidos e tratados de forma leal e lícita; • b) Registados para finalidades determinadas e legítimas, não podendo ser utilizados de modo incompatível com essas finalidades; • c) Adequados, pertinentes e não excessivos em relação às finalidades para as quais foram registados: • d) Exactos e, se necessário, actualizados; • e) Conservados de forma que permitam a identificação das pessoas a que respeitam por um período que não exceda o tempo necessário às finalidades determinantes do seu registo. 7 Artigo 6º (CCE): categorias de dados “sensíveis” • Os dados de carácter pessoal que revelem a origem racial, as opiniões políticas, as convicções religiosas ou outras, bem como os dados de carácter pessoal relativos à saúde ou à vida sexual, só poderão ser objecto de tratamento automatizado desde que o direito interno preveja garantias adequadas. O mesmo vale para os dados de carácter pessoal relativos a condenações penais. 8 Artigo 8º (CCE): direitos dos indivíduos Qualquer pessoa poderá: a) Tomar conhecimento da existência de um ficheiro automatizado de dados de carácter pessoal e das suas principais finalidades, bem como da identidade e da residência habitual ou principal estabelecimento do responsável pelo ficheiro; b) Obter, a intervalos razoáveis e sem demoras ou despesas excessivas, a confirmação da existência ou não no ficheiro automatizado de dados de carácter pessoal que lhe digam respeito, bem como a comunicação desses dados de forma inteligível; c) Obter, conforme o caso, a rectificação ou a supressão desses dados, quando tenham sido tratados com violação das disposições do direito interno que apliquem os princípios básicos definidos nos artigos 5º e 6º da presente Convenção; d) Dispor de uma via de recurso se não for dado seguimento a um pedido de confirmação ou conforme o caso, de comunicação, de rectificação ou de supressão, tal como previsto na alíneas b) e c) deste artigo. 9 Artigo 9º (CCE): excepções e restrições 1- Não é admitida qualquer excepção às disposições dos artigos 5º, 6º e 8º da presente Convenção salvo dentro dos limites estabelecidos neste artigo. 2- É possível derrogar as disposições dos artigos 5º, 6º e 8º da presente Convenção quando tal derrogação, prevista pela lei da Parte, constitua medida necessária numa sociedade democrática: a) Para protecção da segurança do Estado, da segurança pública, dos interesses monetários do Estado ou para repressão das infracções penais; b) Para protecção do titular dos dados e dos direitos e liberdades de outrem. 3- Podem ser previstas por lei restrições ao exercício dos direitos referidos nas alíneas b), c) e d) do artigo 8º relativamente aos ficheiros automatizados de dados de carácter pessoal utilizados para fins de estatística ou de pesquisa científica quando manifestamente não haja risco de atentado à vida privada dos seus titulares. 10 Artigo 12º (CCE): fluxos transfronteiras de dados pessoais 1- … 2- Uma Parte não poderá, com a exclusiva finalidade de protecção da vida privada, proibir ou submeter a autorização especial os fluxos transfronteiras de dados de carácter pessoal com destino ao território de uma outra Parte. 3- Contudo, qualquer Parte terá a faculdade de introduzir derrogações às disposições do nº 2: a) Na medida em que a sua legislação preveja uma regulamentação específica para certas categorias de dados de carácter pessoal ou de ficheiros automatizados de dados de carácter pessoal, em virtude da natureza desses dados ou ficheiros, salvo se a regulamentação da outra Parte previr uma protecção equivalente; b) Quando a transferência for efectuada a partir do seu território para o território de um Estado não contratante, através do território de uma outra Parte, a fim de evitar que essas transferências se subtraiam à legislação da Parte referida no início deste número. 11 12 A directiva europeia 95/46/CE relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados • Fundamentos: • assegurar um quadro mínimo de princípios uniformes susceptível de facilitar os fluxos transfronteiras de dados no mercado interno. • “Os Estados-Membros não podem restringir ou proibir a livre circulação de dados pessoais entre EM por razões relativas à protecção do direito à vida privada no que diz respeito ao tratamento de dados pessoais.” (art. 1º, nº 2). • “a directiva, embora tenha como objectivo principal garantir a livre circulação de dados pessoais, prevê... que os Estados Membros assegurarão... a protecção das liberdades e direitos ..” 13 A directiva europeia 95/46/CE “ (5) Considerando que a integração económica e social resultante do estabelecimento e funcionamento do mercado interno …irá necessariamente provocar um aumento sensível dos fluxos transfronteiras de dados pessoais entre todos os intervenientes, privados ou públicos, na vida económica e social dos Estadosmembros; que o intercâmbio de dados pessoais entre empresas estabelecidas em diferentes Estados-membros tende a intensificar-se; que as administrações dos Estados-membros são chamadas, por força do direito comunitário, a colaborar e a trocar entre si dados pessoais …, no âmbito do espaço sem fronteiras internas que o mercado interno constitui…” 14 A directiva europeia 95/46/CE “(14) Considerando que, tendo em conta a importância do desenvolvimento que, no âmbito da sociedade de informação, sofrem actualmente as técnicas de captação, transmissão, manipulação, gravação, conservação ou comunicação de dados de som e de imagem relativos às pessoas singulares, há que aplicar a presente directiva ao tratamento desses dados.” 15 A directiva europeia 95/46/CE “(13) Considerando que as actividades referidas nos títulos V e VI do Tratado da União Europeia, relativas à segurança pública, à defesa, à segurança do Estado ou às actividades do Estado no domínio penal, não são abrangidas pelo âmbito de aplicação do direito comunitário, sem prejuízo das obrigações que incumbem aos Estados-membros nos termos do no 2 do artigo 56º e dos artigos 57º e 100º A do Tratado …” 16 Definições a) «Dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social; b) b) «Tratamento de dados pessoais» («tratamento»), qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição; 17 Definições c) «Ficheiro de dados pessoais» («ficheiro»), qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, que seja centralizado, descentralizado ou repartido de modo funcional ou geográfico; d) «Responsável pelo tratamento», a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; e) «Subcontratante», a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento; 18 Âmbito de aplicação (art. 3º) 1.A presente directiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados. 2. A presente directiva não se aplica ao tratamento de dados pessoais: - efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado …, e as actividades do Estado no domínio do direito penal, efectuado por uma pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas. 19 Princípios de tratamento dos dados pessoais(art. 6.º) • Os princípios da lealdade e licitude da recolha e tratamento dos dados – os dados devem ser recolhidos junto da pessoa a que respeitam, a qual deverá ser esclarecida sobre a eventual obrigatoriedade de fornecimento de dados e sobre a finalidade do ficheiro. • O princípio da qualidade dos dados – adequação, pertinência e proporcionalidade em relação aos fins; exactidão; actualização e conservação apenas durante o tempo necessário. • O princípio da finalidade – proibição da utilização de dados para fins diferentes dos que presidiram à sua recolha. 20 Legitimidade do tratamento (art. 7º) Os Estados-membros estabelecerão que o tratamento de dados pessais só poderá ser efectuado se: • A pessoa em causa tiver dado de forma inequívoca o seu consentimento; OU o tratamento for necessário para: a execução de um contrato no qual a pessoa em causa é parte cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito a protecção de interesses vitais da pessoa em causa a execução de uma missão de interesse público ou o exercício da autoridade prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa ... 21 Categorias especiais de dados (art. 8.º) 1. Os Estados-membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual. 22 Excepções aos princípios de protecção de dados sensíveis (art. 8.º) 2. O n.º 1 não se aplica quando: a) A pessoa em causa tiver dado o seu consentimento explícito para esse tratamento… OU b) O tratamento for necessário para o cumprimento das obrigações e dos direitos do responsável pelo tratamento no domínio da legislação do trabalho, desde que o mesmo seja autorizado por legislação nacional que estabeleça garantias adequadas; 23 Excepções aos princípios de protecção de dados sensíveis (art. 8.º) – cont. c) O tratamento for necessário para proteger interesses vitais da pessoa em causa ou de uma outra pessoa se a pessoa em causa estiver física ou legalmente incapaz de dar o seu consentimento; d) O tratamento for efectuado, no âmbito das suas actividades legítimas e com as garantias adequadas, por uma fundação, uma associação ou qualquer outro organismo sem fins lucrativos de carácter político, filosófico, religioso ou sindical, …; e) O tratamento disser respeito a dados manifestamente tornados públicos pela pessoa em causa ou for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial. 3. O nº 1 não se aplica quando o tratamento dos dados for necessário para efeitos de medicina preventiva, diagnóstico médico, prestação de cuidados ou tratamentos médicos ou gestão de serviços da saúde e quando o tratamento desses dados for efectuado por um profissional da saúde obrigado ao segredo profissional … 24 Direito à informação (art. 10.º) … o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos, as seguintes informações…: a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante; b) Finalidades do tratamento a que os dados se destinam; c) Outras informações, tais como: - os destinatários ou categorias de destinatários dos dados, - o carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder, - a existência do direito de acesso aos dados …e do direito de os rectificar, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos. 25 Direito de acesso (art. 11.º) Os Estados-membros garantirão às pessoas em causa o direito de obterem do responsável pelo tratamento: Livremente e sem restrições, com periodicidade razoável e sem demora ou custos excessivos: -a confirmação de terem ou não sido tratados dados que lhes digam respeito, e informações pelo menos sobre os fins a que se destina esse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados, -a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem dos dados, -o conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito, pelo menos no que se refere às decisões automatizadas referidas no nº 1 do artigo 15º; 26 Direito de oposição (art. 14.º) Os Estados-membros reconhecerão à pessoa em causa o direito de: a)Pelo menos nos casos referidos nas alíneas e) e f) do artigo 7º, se opor em qualquer altura, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, salvo disposição em contrário do direito nacional. …; b)Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de mala directa; … c)Os Estados-membros tomarão as medidas necessárias para garantir que as pessoas em causa tenham conhecimento do direito referido no primeiro parágrafo da alínea b). • O direito de oposição pode ser interpretado como uma forma de atenuar as limitações dos direitos individuais que resultam da aceitação do consentimento implícito em diversas circunstâncias. 27 O regime dos dados sensíveis, em síntese • As categorias indicadas na Directiva europeia correspondem às da CCE, acrescidas dos dados sobre filiação sindical. • Mas, abre-se um vasto leque de excepções: • Dados tratados para os fins próprios das organizações; • Dados médicos; • Dados necessários a contrato de trabalho; • Razões de interesse público. 28 O princípio do consentimento, em síntese • A Directiva esvazia o princípio do consentimento prévio do sujeito ao admitir que esse consentimento pode ser efectuado de modo implícito em várias circunstâncias. 29 “A directiva acaba, ‘de maneira hipócrita ou fraca’, por se ‘inclinar para o lado dos interesses do mercado, pois poucas pessoas irão defender os seus direitos perante o juiz’” (Frayssinet, 2001). 30 Derrogações e restrições (art. 13.º) 1. a) b) c) d) e) f) g) Os Estados-membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no nº 1 do artigo 6º, no artigo 10º, no nº 1 do artigo 11º e nos artigos 12º e 21º, sempre que tal restrição constitua uma medida necessária à protecção: Da segurança do Estado; Da defesa; Da segurança pública; Da prevenção, investigação, detecção e repressão de infracções penais e de violações da deontologia das profissões regulamentadas; De um interesse económico ou financeiro importante de um Estadomembro ou da União Europeia, incluindo nos domínios monetário, orçamental ou fiscal; De missões de controlo, de inspecção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d) e e); De pessoa em causa ou dos direitos e liberdades de outrem. 31 As garantias institucionais • Os Estados-Membros deverão instituir autoridades de controlo independentes com a missão de fiscalizarem a aplicação da directiva no território dos EM (art. 28º). • Os poderes das autoridades: inquérito; bloquear, apagar ou destruir os dados; intervir em processos judiciais; apreciar reclamações individuais; receber e apreciar notificações de responsáveis por ficheiros. 32 O regime dos fluxos transfronteiras de dados • “Os Estados-Membros estabelecerão que a transferência para um país terceiro de dados pessoais ... só pode realizar-se se ... o país terceiro em questão assegurar um nível de protecção adequado” (art. 25º) • A adequação será apreciada em função de todas as circunstâncias que rodeiem a transferência. Deverão ser tidas em conta a natureza dos dados, a finalidade, a duração do tratamento, os países envolvidos, as regras legais, bem como as regras profissionais e de segurança em vigor no país de destino. (art. 25º, nº 2). (“semelhança funcional”). 33 Tensões e negociações entre a UE e os EUA • A Decisão do Conselho • Os “Safe harbour principles” do Department of Commerce dos EUA 2007/551/PESC/JAI, de 23 Julho de 2007, relativa à assinatura, em nome da União Europeia, do Acordo entre a União Europeia e os Estados Unidos da América sobre a transferência de dados contidos nos registos de identificação dos passageiros (PNR) pelas transportadoras aéreas para o Departamento da Segurança Interna dos Estados Unidos e sobre o tratamento dos dados em causa pelo mesmo departamento (Acordo PNR 2007) 34 Safe harbor principles • Notice - Individuals must be informed that their data is being • • • • • • collected and about how it will be used. Choice - Individuals must have the ability to opt out of the collection and forward transfer of the data to third parties. Onward Transfer - Transfers of data to third parties may only occur to other organizations that follow adequate data protection principles. Security - Reasonable efforts must be made to prevent loss of collected information. Data Integrity - Data must be relevant and reliable for the purpose it was collected for. Access - Individuals must be able to access information held about them, and correct or delete it if it is inaccurate. Enforcement - There must be effective means of enforcing these rules. 35 Discussão Um regime que pressupõe um indivíduo/cidadão consciente dos riscos, informado sobre os seus direitos e activo na defesa destes. Um regime que pressupõe a capacidade e a vontade das autoridades de informar os indivíduos/cidadãos e de os proteger contra maus usos ou abusos dos dados pessoais. Mas corresponderão estes pressupostos à realidade dos factos? 36 O Tratado de Lisboa: novas perspectivas para a protecção dos dados pessoais? • “Todas as pessoas têm direito à protecção de dados de carácter pessoal que lhes digam respeito”. • Esses dados devem ser objecto de “um tratamento leal para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto na lei”. (art. 8º). • O regulamento (CE) nº 45/2001, visando proteger as pessoas físicas relativamente ao tratamento de dados de carácter pessoal pelas instituições e órgãos comunitários.